Použijte ssh-keygen příkaz k vygenerování páru klíčů veřejného/soukromého ověřování . Autentizační klíče umožňují uživateli připojit se ke vzdálenému systému bez zadání hesla. Klíče musí být generovány pro každého uživatele zvlášť. Pokud generujete páry klíčů jako uživatel root, může klíče používat pouze root.
Generování klíčů a konfigurace ssh bez hesla pomocí příkazu ssh-keygen
1. Použijte -t možnost určit typ klíče. Příklad:
# ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub. The key fingerprint is: 3a:b8:10:71:b7:ee:66:15:0f:a2:b0:89:ef:65:0b:f0 root@geeklab The key's randomart image is: +--[ RSA 2048]----+ | | | | | . . . | | .o ...o | |...+ ...S+ | |.oo..o .. . | | .E + +. | | .= +o. | | .. oo. | +-----------------+
Pomocí volby –t zadejte typ klíče, který chcete vytvořit. Možné hodnoty jsou
a. „rsa1 ” pro protokol verze 1
b. „dsa “, „ecdsa “ nebo „rsa ” pro protokol verze 2.
2. Máte možnost zadat přístupové heslo pro zašifrování soukromé části klíče. Pokud zašifrujete svůj osobní klíč, musíte zadat přístupovou frázi pokaždé, když klíč použijete. To zabrání útočníkovi, který má přístup k vašemu soukromému klíči a může se za vás vydávat a získat přístup ke všem počítačům, ke kterým máte přístup, aby to mohl udělat. Útočník stále potřebuje zadat přístupovou frázi.
3. Příkaz ssh-key v příkladu z kroku 1 vygeneroval dva klíče v adresáři ~/.ssh:
$ ls ~/.ssh id_rsa id_rsa.pub
4. Chcete-li se přihlásit do vzdáleného systému nebo do něj zkopírovat soubory bez zadání hesla, zkopírujte veřejný klíč (~/.ssh/id_rsa.pub v tomto příkladu) na ~/.ssh/authorized_keys na vzdáleném systému. Nastavte oprávnění vzdáleného adresáře ~/.ssh na 700 . Chcete-li povolit více připojení, připojte veřejný klíč k souboru author_keys ve vzdáleném systému namísto jeho kopírování. Následující příklad připojuje veřejný klíč:
$ cat id_rsa.pub >> authorized_keys
5. Poté můžete použít nástroje ssh nebo scp pro přístup ke vzdálenému systému bez zadání hesla.
Vynucení autentizace na základě klíče
1. Zabezpečení systému můžete ještě dále zlepšit vypnutím standardního ověřování heslem a vynucením ověřování na základě klíče. Chcete-li tak učinit, nastavte Ověření heslem možnost ne v /etc/ssh/sshd_config konfigurační soubor takto:
# vi /etc/ssh/sshd_config PasswordAuthentication no
2. Toto zakazuje uživatelé, jejichž klíče nejsou v authorized_keys soubor konkrétního uživatele na serveru pro připojení přes ssh. Připojení je odepřeno a zobrazí se následující zpráva:
$ ssh remote_host Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
3. Nastavení Ověření heslem možnost ano , což je výchozí nastavení, umožňuje uživateli použít heslo pro ověření.