Linux аутентификация по ключу

SSH авторизация по ключу

Настроив ssh авторизацию по ключу вы не только улучшите безопасность сервера, но и еще немного упростите себе жизнь. Вместо использования паролей, которые легко перехватить кейлоггером, в процессе ssh авторизации на сервере мы будем использовать RSA ключи. Для обеспечения хорошего уровня безопасности будет достаточно использовать длину ключа равной 2048 бит. Чтобы усложнить кражу, желательно хранить секретный ключ на зашифрованном разделе.

Если вы решили настроить на вашем сервере ssh авторизацию по ключу, первое, что необходимо сделать — это сгенерировать секретный и публичный RSA-ключи. Под Linux для генерации ключей я буду использовать ssh-keygen , для Windows есть утилита PuTTYgen. После генерации, публичный ключ копируется на сервер, а секретный ключ остается храниться на локальном компьютере.

Думаю, что с генерацией ключей в PuTTYgen проблем быть не должно. Запускаете программу, нажимаете Generate и потом начинаете беспорядочно водить курсор по экрану. Затем копируете публичный ключ из поля ‘Public key for pasting into OpenSSH authorized_keys file’ и жмете Save private key , чтобы сохранить публичный и приватный ключ.

Публичный ключ должен следующим образом:

Скопируйте его в содержимое файла

Для генерации пары ключей в Linux выполните команду:

Программа предложит указать каталог, в который будут будут сохранены файлы ключей и попросит ввести секретную фразу. Нажимаем Enter чтобы использовать параметры по умолчанию.

Если в предыдущем шаге вы не меняли настройки, программа сохранит ключи в каталог .ssh в домашней директории пользователя. Чтобы перейти в каталог с ключами выполните команду:

В каталоге лежат два файла: id_rsa — секретный ключ, id_rsa.pub — публичный ключ. Скопируйте в надежное место файл секретного ключа, а публичный ключ перенесите на сервер.

Заносим сгенерированный нами открытый ключ в авторизованные ключи сервера. Для этого скопируйте содержимое id_rsa.pub в конец файла authorized_keys :

Настройте ssh авторизацию по ключу в конфиге OpenSSH сервера:

Приведите текущие настройки в соответствие параметрам ниже:

Чтобы отключить вход по паролю, изменяем значение параметра:

Перезапустим ssh сервер для применения настроек.

На этом настройка сервера закончена, далее переходим к настройке клиента.

Настройка ssh авторизации по ключу в Linux

Для ssh авторизации по ключу в Linux, создайте файл

/.ssh/config и скопируйте в него строки ниже. Затем по аналогии укажите адрес сервера и расположение файла секретного ключа.

Устанавливаем права на файл:

Чтобы зайти на сервер используя SSH авторизация по ключу, выполните команду:

Если хотите вручную указать размещение ключа, выполните команду:

Настройка ssh авторизации по ключу в PuTTY

Для авторизации по ключу в PuTTY укажите расположение ключа в меню SSH — Auth . Если ключ id_rsa сгенерирован в Linux, нужно перевести его в формат ppk с помощью утилиты PuTTYgen.

Источник

Настройка аутентификации на основе SSH-ключей на сервере Linux

SSH (secure shell) – это криптографический протокол для управления и взаимодействия с серверами. В случае с сервером Linux большая часть работы происходит в терминале через соединение SSH.

Существует несколько различных способов подключения к серверу по SSH. В этом руководстве мы рассмотрим аутентификацию на основе ключей SSH. Ключи SSH – это простой, но чрезвычайно безопасный способ входа на сервер.

Как работают SSH-ключи?

Существует несколько различных способов входа в SSH-сервер. В этом руководстве мы рассмотрим настройку аутентификации на основе ключей SSH. Ключи SSH – это простой, но чрезвычайно безопасный способ входа на ваш сервер.

Хотя пароли отправляются на сервер безопасным путем, как правило, они не достаточно сложные или слишком короткие, а потому в ходе повторяющейся атаки подбора их можно взломать. Современная вычислительная мощность в сочетании с автоматизированными сценариями позволяет взламывать аккаунты путем brute force атак. Конечно, есть и другие способы обеспечения дополнительной безопасности (fail2ban и т. п.), но ключи SSH являются надежной и безопасной альтернативой.

В аутентификации на основе ключей SSH используются два криптографических ключа. Каждая пара ключей состоит из открытого и закрытого ключа.

Закрытый ключ должен храниться в секрете. Если злоумышленник получит закрытый ключ, он сможет войти на серверы, связанные с этой парой ключей, без дополнительной аутентификации. В качестве дополнительной меры предосторожности ключ можно защитить парольной фразой.

Открытый ключ можно свободно распространять. Он позволяет зашифровывать сообщения, которые можно расшифровать только с помощью соответствующего закрытого ключа. Аутентификация по ключам основана на этом принципе.

Открытый ключ загружается на удаленный сервер, на котором нужно настроить аутентификацию по ключам SSH. Ключ добавляется в специальный файл

/.ssh/authorized_keys в учетной записи пользователя, с помощью которого нужно войти на сервер.

Когда клиент пытается аутентифицироваться с помощью SSH-ключей, сервер может проверить клиента на наличие у закрытого ключа. Если клиент может доказать, что ему принадлежит закрытый ключ, сервер запускает сеанс оболочки или выполняет требуемую команду.

Создание SSH-ключей

Для начала нужно сгенерировать пару ключей SSH на локальном компьютере.

Для этого существует утилита ssh-keygen, которая входит в стандартный набор инструментов OpenSSH. По умолчанию она создает пару 2048-битных ключей RSA, которые подходят в большинстве случаев.

Чтобы сгенерировать пару ключей на локальной машине, введите:

ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/username/.ssh/id_rsa):

Утилита предложит выбрать место хранения ключей. По умолчанию ключи будут храниться в каталоге

/.ssh в домашнем каталоге текущего пользователя. Закрытый ключ будет называться id_rsa, а связанный с ним открытый ключ – id_rsa.pub.

Как правило, на этом этапе лучше всего хранить ключи в каталоге по умолчанию. Это позволит SSH-клиенту автоматически найти SSH-ключи при попытке аутентификации. Если вы хотите выбрать нестандартный путь к ключам, введите его сейчас; чтобы принять значение по умолчанию, нажмите Enter.

Если на локальной машине уже есть пара ключей, вы увидите сообщение:

/home/username/.ssh/id_rsa already exists.
Overwrite (y/n)?

Если вы перепишете существующие ключи, вы не сможете использовать их при аутентификации. Подтверждая перезапись, будьте очень внимательны: этот процесс нельзя отменить.

Created directory ‘/home/username/.ssh’.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:

Затем утилита предложит ввести парольную фразу для защиты ключа. Это действие опционально.

Вы можете задаться вопросом, какие преимущества дают ключи SSH, если все еще нужно вводить парольную фразу. Вот некоторые из преимуществ:

• Закрытый SSH-ключ (который можно защитить парольной фразой) никогда не бывает доступным в сети. Парольная фраза шифрует ключ на локальной машине. Это значит, что сетевые brute force атаки не смогут взломать парольную фразу и получить доступ к закрытому ключу.
• Закрытый ключ хранится в каталоге с ограниченным доступом. Клиент SSH не сможет распознать закрытые ключи, которые хранятся в открытых каталогах. Сам ключ также должен иметь ограниченные разрешения (права на чтение и запись должны быть только у владельца). Это означает, что другие пользователи в системе не могут его отследить.
• Чтобы взломать парольную фразу закрытого SSH-ключа, злоумышленник должен иметь доступ к системе, то есть доступ к вашей учетной записи пользователя или к учетной записи root. В таком случае парольная фраза может помешать злоумышленнику использовать другие ваши серверы. Это даст вам время на создание и внедрение новой пары ключей SSH.

Поскольку закрытый ключ никогда не отображается в сети и защищен с помощью ограниченных привилегий, этот файл не должен быть доступен никому, кроме вашего пользователя (и пользователя root). Парольная фраза служит дополнительным уровнем защиты в случае нарушения этих условий.

При этом парольная фраза остается опциональным уровнем безопасности. Если вы добавите парольную фразу, вам придется вводить ее каждый раз, когда вы используете этот ключ (хотя программное обеспечение агента SSH может автоматизировать этот процесс). Многие рекомендуют использовать парольную фразу, но если вы не хотите, вы можете просто нажать Enter, чтобы обойти этот запрос.

Your identification has been saved in /home/username/.ssh/id_rsa.
Your public key has been saved in /home/username/.ssh/id_rsa.pub.
The key fingerprint is:
a9:49:2e:2a:5e:33:3e:a9:de:4e:77:11:58:b6:90:26 username@remote_host
The key’s randomart image is:
+—[ RSA 2048]—-+
| ..o |
| E o= . |
| o. o |
| .. |
| ..S |
| o o. |
| =o.+. |
|. =++.. |
|o=++. |
+——————+

Итак, теперь у вас есть пара SSH-ключей. Далее нужно добавить открытый ключ на удаленный сервер.

Копирование открытого ключа на удаленный сервер

Теперь нужно выгрузить открытый ключ на удаленный сервер.

Выбранный вами метод во многом зависит от имеющихся у вас инструментов и текущей конфигурации сервера. Мы предлагаем вам несколько методов, которые дают одинаковый конечный результат.

1: Копирование ключа с помощью ssh-copy-id

Утилита ssh-copy-id – самый простой и быстрый способ скопировать открытый ключ на сервер. Если эта утилита доступна, рекомендуется использовать ее.

В большинстве дистрибутивов утилита ssh-copy-id входит в стандартный набор инструментов OpenSSH, потому она может уже быть в локальной системе. Чтобы она сработала, у вас должна быть настроена простая парольная SSH-аутентификация.

Укажите в команде удаленный хост, к которому нужно подключиться, и аккаунт пользователя сервера. В этот аккаунт утилита скопирует открытый ключ.

Команда может вернуть:

The authenticity of host ‘111.111.11.111 (111.111.11.111)’ can’t be established.
ECDSA key fingerprint is fd:fd:d4:f9:77:fe:73:84:e1:55:00:ad:d6:6d:22:fe.
Are you sure you want to continue connecting (yes/no)? yes

Это значит, что локальная машина не распознает удаленный хост. Это произойдет при первом подключении к новому хосту. Введите yes и нажмите Enter, чтобы продолжить.

Затем утилита просканирует локальный аккаунт, найдет id_rsa.pub и запросит пароль удаленного пользователя.

/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed — if you are prompted now it is to install the new keys
username@111.111.11.111’s password:

Введите пароль (при вводе он не будет отображаться из соображений безопасности) и нажмите Enter. Утилита подключится к учетной записи на удаленном хосте, используя предоставленный пароль. Затем он скопирует содержимое ключа

/.ssh/id_rsa.pub в файл authorized_keys в домашнем каталоге

/.ssh удаленной учетной записи.

На экране появится вывод:

Number of key(s) added: 1
Now try logging into the machine, with: «ssh ‘username@111.111.11.111′»
and check to make sure that only the key(s) you wanted were added.

Теперь открытый ключ загружен на удаленный сервер.

2: Копирование ключа с помощью SSH

Если у вас нет утилиты ssh-copy-id, но есть парольный SSH-доступ к удаленному серверу, вы можете загрузить ключ с помощью SSH.

Для этого нужно вывести открытый SSH-ключ на локальном компьютере и передать его через SSH-соединение на удаленный сервер. Затем можно убедиться, что каталог

/.ssh существует в удаленном аккаунте, а затем вывести открытый ключ, скопированный в файл authorized_keys.

Используйте операторы перенаправления >>, чтобы вставить передаваемые данные, не перезаписывая весь файл. Команда добавит ключ в файл и не удалит другие ключи, если таковые существуют.

/.ssh/id_rsa.pub | ssh username@remote_host «mkdir -p

/.ssh/authorized_keys»
The authenticity of host ‘111.111.11.111 (111.111.11.111)’ can’t be established.
ECDSA key fingerprint is fd:fd:d4:f9:77:fe:73:84:e1:55:00:ad:d6:6d:22:fe.
Are you sure you want to continue connecting (yes/no)? yes

Это значит, что локальная машина не распознает удаленный хост. Это произойдет при первом подключении к новому хосту. Введите yes и нажмите Enter, чтобы продолжить.

Затем будет запрошен пароль удаленного пользователя.

После этого содержимое ключа

/.ssh/id_rsa.pub будет скопировано в файл authorized_keys в домашнем каталоге

/.ssh удаленной учетной записи.

3: Копирование открытого ключа вручную

Если у вас не настроена парольная аутентификация SSH, вам нужно будет скопировать ключ вручную.

Открытый ключ из файла id_rsa.pub нужно добавить в файл

/.ssh/authorized_keys на удаленной машине.

Чтобы вывести содержимое id_rsa.pub, введите на локальной машине:

/.ssh/id_rsa.pub
ssh-rsa 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 demo@test

Любым доступным методом получите доступ к удаленному хосту.

На удаленном хосте создайте каталог

Затем нужно создать файл authorized_keys и поместить в него ключ из id_rsa.pub.

Для этого можно использовать следующую команду:

Примечание: Вместо public_key_string укажите свой открытый ключ.

Аутентификация через SSH-ключи

Переместив открытый ключ на удаленный сервер, попробуйте подключиться к нему с помощью SSH-ключей.

Базовая команда выглядит так:

Если вы впервые подключаетесь к этому хосту, вы можете увидеть сообщение вроде этого:

The authenticity of host ‘111.111.11.111 (111.111.11.111)’ can’t be established.
ECDSA key fingerprint is fd:fd:d4:f9:77:fe:73:84:e1:55:00:ad:d6:6d:22:fe.
Are you sure you want to continue connecting (yes/no)? yes

Это значит, что локальная машина не распознает удаленный хост. Введите yes и нажмите Enter, чтобы продолжить.

Если вы не настраивали парольную фразу для закрытого ключа, вы сразу же войдете в систему. Если вы создали парольную фразу для закрытого ключа, вам необходимо будет ввести ее сейчас. После этого должен быть создан новый сеанс оболочки для удаленного пользователя.

Отключение парольной аутентификации

Если вы смогли войти в свою учетную запись с помощью SSH-ключей без пароля, значит, вы успешно настроили аутентификацию на основе SSH-ключей для своей учетной записи. Однако механизм парольной аутентификации все еще включен, что означает, что ваш сервер по-прежнему уязвим к brute-force атакам.

Прежде чем выполнять этот раздел, убедитесь, что у учетной записи root или у пользователя с доступом sudo на удаленном сервере настроена аутентификация на основе ключей SSH. В ходе этого раздела все пароли будут заблокированы, поэтому важно обеспечить себе административный доступ в случае неполадок.

Итак, подключитесь к удаленному серверу с помощью SSH-ключей как пользователь root или sudo. Откройте конфигурационный файл демона SSH.

sudo nano /etc/ssh/sshd_config

Найдите директиву PasswordAuthentication, раскомментируйте ее и присвойте значение no. Теперь вы не сможете подключаться с помощью пароля.

Сохраните и закройте файл. Перезапустите сервис, чтобы обновить настройки:

# Ubuntu/Debian
sudo systemctl restart ssh
# CentOS/Fedora
sudo service sshd restart

Источник