Acest articol descrie modul de a crea o cheie privată și publică, și configurați serverul OpenSSH de a utiliza în loc de o parola cheie.
Creați o cheie privată și publică
Rețineți că „ssh-rsa ... xahria @ mydesktop“ este o singură linie, mai degrabă decât mai multe.
ssh-keygen creează două fișiere: id_rsa și id_rsa.pub. În prima cheie privată este stocată într-un fișier protejat printr-o expresie de acces introdus în timpul creării. oricine această cheie nu ar trebui să fie trecut. fișier id_rsa.pub - o cheie publică. Cheia publică va trece cel care ar trebui să poată verifica semnătura. În acest caz, vom plasa cheia publică pe server, la care accesul avem nevoie.
Numele fișierului poate fi modificat folosind opțiunea -f numele fișierului. Dacă nu specificați numele fișierului, cheile vor fi stocate în directorul $ HOME / .ssh / numit id_rsa
Activarea autentificării Pubkey pe server
Odată ce am creat cheile, trebuie să activați tipul de server de autentificare SSH. În primul rând, vom defini tipul de autentificare - Pubkey sau de identitate, setați următoarele în sshd_config:
Cifrele de mai sus sunt permise autentificării identitate / Pubkey pentru protocolul SSH versiunea 1 și 2, și verificați disponibilitatea unei chei publice în fișierul $ HOME / .ssh / authorized_keys.
Verificați disponibilitatea acestor linii în fișierul de configurare sshd_config (de obicei localizate în directorul / etc / ssh /), adăugați și reporniți serviciul, dacă este necesar.
Adăugarea de server de chei publice
Normele privind următoarele acțiuni:
- Creați fișierul authorized_keys în directorul
conținutul authorized_keys fișier
fișier authorized_keys conține o listă de cuvinte cheie, câte unul pe fiecare rând. În ea prescriem cheie generată pe aparat.
Puteți verifica. funcționează totul:
Clientul dvs. SSH va încerca mai întâi să treacă de autentificare Pubkey / Identitate, iar în caz de eșec - autentificare prin parolă. Acesta va căuta cheia în numele fișierului, implicit, dacă nu se specifică în mod clar cheia.
Cum este procesul de conectare etapele:
Toate acestea este transparent pentru utilizator. Dacă doriți să urmăriți faza de conectare, apoi utilizați -v-cheie:
Pentru claritate, în acest exemplu, vom introduce cuvântul cod greșit pentru a decripta cheia privată. Este posibil să observați că s-au găsit identitatea și id_rsa fișiere, deși ele pot fi utilizate numai cu SSHv2.
Alegerea chei
Dacă aveți o cheie pentru fiecare tip, puteți utiliza numele de fișiere și ssh-client standard pe cont propriu și de a găsi utilizările lor, dar se poate întâmpla să utilizați pentru a autentifica fișiere diferite:
Folosit pentru a determina tasta puteți utiliza opțiunile private_key_file AS-i:
Următoarea opțiune va crea în dvs.
afișare indicație /.ssh/config espolzuemogo cheie:
Vă rugăm să rețineți că variabila de configurare este întotdeauna IdentityFile, utilizate sau Pubkey de identitate.
Securitatea expresia de acces
cheile private pot fi criptate și o frază de acces, deoarece protejează cheia de a fi compromisă. Chiar dacă setați drepturile de acces corespunzătoare, dar nu protejează expresia de acces cheie, fara probleme vor putea admira rădăcină cheie. Deci, nu te jos pe frâne acest caz.
authorized_keys2
Versiunile mai vechi ale OpenSSH folosind două chei publice diferite pentru a avea acces la server - authorized_keys pentru Identități (SSHv1) și authorized_keys2 pentru Pubkeys (SSHv2). Mai târziu, sa decis că este prost și acum folosește un singur fișier pentru toate tipurile de chei, dar fără a tasta corespunzătoare va fi verificată și authorized_keys2. Versiunile ulterioare ale OpenSSH pot opri sprijinirea authorized_keys2 toate.
Să nu se gândească la această limitare, de a crea o legătură greu de authorized_keys2 authorized_keys fișier.
Așa că ne satisface nevoile de orice versiune de OpenSSH.