Расположение ssh ключей linux

Настройка аутентификации на основе SSH-ключей на сервере Linux

SSH (secure shell) – это криптографический протокол для управления и взаимодействия с серверами. В случае с сервером Linux большая часть работы происходит в терминале через соединение SSH.

Существует несколько различных способов подключения к серверу по SSH. В этом руководстве мы рассмотрим аутентификацию на основе ключей SSH. Ключи SSH – это простой, но чрезвычайно безопасный способ входа на сервер.

Как работают SSH-ключи?

Существует несколько различных способов входа в SSH-сервер. В этом руководстве мы рассмотрим настройку аутентификации на основе ключей SSH. Ключи SSH – это простой, но чрезвычайно безопасный способ входа на ваш сервер.

Хотя пароли отправляются на сервер безопасным путем, как правило, они не достаточно сложные или слишком короткие, а потому в ходе повторяющейся атаки подбора их можно взломать. Современная вычислительная мощность в сочетании с автоматизированными сценариями позволяет взламывать аккаунты путем brute force атак. Конечно, есть и другие способы обеспечения дополнительной безопасности (fail2ban и т. п.), но ключи SSH являются надежной и безопасной альтернативой.

В аутентификации на основе ключей SSH используются два криптографических ключа. Каждая пара ключей состоит из открытого и закрытого ключа.

Закрытый ключ должен храниться в секрете. Если злоумышленник получит закрытый ключ, он сможет войти на серверы, связанные с этой парой ключей, без дополнительной аутентификации. В качестве дополнительной меры предосторожности ключ можно защитить парольной фразой.

Открытый ключ можно свободно распространять. Он позволяет зашифровывать сообщения, которые можно расшифровать только с помощью соответствующего закрытого ключа. Аутентификация по ключам основана на этом принципе.

Открытый ключ загружается на удаленный сервер, на котором нужно настроить аутентификацию по ключам SSH. Ключ добавляется в специальный файл

/.ssh/authorized_keys в учетной записи пользователя, с помощью которого нужно войти на сервер.

Когда клиент пытается аутентифицироваться с помощью SSH-ключей, сервер может проверить клиента на наличие у закрытого ключа. Если клиент может доказать, что ему принадлежит закрытый ключ, сервер запускает сеанс оболочки или выполняет требуемую команду.

Создание SSH-ключей

Для начала нужно сгенерировать пару ключей SSH на локальном компьютере.

Для этого существует утилита ssh-keygen, которая входит в стандартный набор инструментов OpenSSH. По умолчанию она создает пару 2048-битных ключей RSA, которые подходят в большинстве случаев.

Чтобы сгенерировать пару ключей на локальной машине, введите:

ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/username/.ssh/id_rsa):

Утилита предложит выбрать место хранения ключей. По умолчанию ключи будут храниться в каталоге

/.ssh в домашнем каталоге текущего пользователя. Закрытый ключ будет называться id_rsa, а связанный с ним открытый ключ – id_rsa.pub.

Как правило, на этом этапе лучше всего хранить ключи в каталоге по умолчанию. Это позволит SSH-клиенту автоматически найти SSH-ключи при попытке аутентификации. Если вы хотите выбрать нестандартный путь к ключам, введите его сейчас; чтобы принять значение по умолчанию, нажмите Enter.

Если на локальной машине уже есть пара ключей, вы увидите сообщение:

/home/username/.ssh/id_rsa already exists.
Overwrite (y/n)?

Если вы перепишете существующие ключи, вы не сможете использовать их при аутентификации. Подтверждая перезапись, будьте очень внимательны: этот процесс нельзя отменить.

Created directory ‘/home/username/.ssh’.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:

Затем утилита предложит ввести парольную фразу для защиты ключа. Это действие опционально.

Вы можете задаться вопросом, какие преимущества дают ключи SSH, если все еще нужно вводить парольную фразу. Вот некоторые из преимуществ:

• Закрытый SSH-ключ (который можно защитить парольной фразой) никогда не бывает доступным в сети. Парольная фраза шифрует ключ на локальной машине. Это значит, что сетевые brute force атаки не смогут взломать парольную фразу и получить доступ к закрытому ключу.
• Закрытый ключ хранится в каталоге с ограниченным доступом. Клиент SSH не сможет распознать закрытые ключи, которые хранятся в открытых каталогах. Сам ключ также должен иметь ограниченные разрешения (права на чтение и запись должны быть только у владельца). Это означает, что другие пользователи в системе не могут его отследить.
• Чтобы взломать парольную фразу закрытого SSH-ключа, злоумышленник должен иметь доступ к системе, то есть доступ к вашей учетной записи пользователя или к учетной записи root. В таком случае парольная фраза может помешать злоумышленнику использовать другие ваши серверы. Это даст вам время на создание и внедрение новой пары ключей SSH.

Поскольку закрытый ключ никогда не отображается в сети и защищен с помощью ограниченных привилегий, этот файл не должен быть доступен никому, кроме вашего пользователя (и пользователя root). Парольная фраза служит дополнительным уровнем защиты в случае нарушения этих условий.

При этом парольная фраза остается опциональным уровнем безопасности. Если вы добавите парольную фразу, вам придется вводить ее каждый раз, когда вы используете этот ключ (хотя программное обеспечение агента SSH может автоматизировать этот процесс). Многие рекомендуют использовать парольную фразу, но если вы не хотите, вы можете просто нажать Enter, чтобы обойти этот запрос.

Your identification has been saved in /home/username/.ssh/id_rsa.
Your public key has been saved in /home/username/.ssh/id_rsa.pub.
The key fingerprint is:
a9:49:2e:2a:5e:33:3e:a9:de:4e:77:11:58:b6:90:26 username@remote_host
The key’s randomart image is:
+—[ RSA 2048]—-+
| ..o |
| E o= . |
| o. o |
| .. |
| ..S |
| o o. |
| =o.+. |
|. =++.. |
|o=++. |
+——————+

Итак, теперь у вас есть пара SSH-ключей. Далее нужно добавить открытый ключ на удаленный сервер.

Копирование открытого ключа на удаленный сервер

Теперь нужно выгрузить открытый ключ на удаленный сервер.

Выбранный вами метод во многом зависит от имеющихся у вас инструментов и текущей конфигурации сервера. Мы предлагаем вам несколько методов, которые дают одинаковый конечный результат.

1: Копирование ключа с помощью ssh-copy-id

Утилита ssh-copy-id – самый простой и быстрый способ скопировать открытый ключ на сервер. Если эта утилита доступна, рекомендуется использовать ее.

В большинстве дистрибутивов утилита ssh-copy-id входит в стандартный набор инструментов OpenSSH, потому она может уже быть в локальной системе. Чтобы она сработала, у вас должна быть настроена простая парольная SSH-аутентификация.

Укажите в команде удаленный хост, к которому нужно подключиться, и аккаунт пользователя сервера. В этот аккаунт утилита скопирует открытый ключ.

Команда может вернуть:

The authenticity of host ‘111.111.11.111 (111.111.11.111)’ can’t be established.
ECDSA key fingerprint is fd:fd:d4:f9:77:fe:73:84:e1:55:00:ad:d6:6d:22:fe.
Are you sure you want to continue connecting (yes/no)? yes

Это значит, что локальная машина не распознает удаленный хост. Это произойдет при первом подключении к новому хосту. Введите yes и нажмите Enter, чтобы продолжить.

Затем утилита просканирует локальный аккаунт, найдет id_rsa.pub и запросит пароль удаленного пользователя.

/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed — if you are prompted now it is to install the new keys
username@111.111.11.111’s password:

Введите пароль (при вводе он не будет отображаться из соображений безопасности) и нажмите Enter. Утилита подключится к учетной записи на удаленном хосте, используя предоставленный пароль. Затем он скопирует содержимое ключа

/.ssh/id_rsa.pub в файл authorized_keys в домашнем каталоге

/.ssh удаленной учетной записи.

На экране появится вывод:

Number of key(s) added: 1
Now try logging into the machine, with: «ssh ‘username@111.111.11.111′»
and check to make sure that only the key(s) you wanted were added.

Теперь открытый ключ загружен на удаленный сервер.

2: Копирование ключа с помощью SSH

Если у вас нет утилиты ssh-copy-id, но есть парольный SSH-доступ к удаленному серверу, вы можете загрузить ключ с помощью SSH.

Для этого нужно вывести открытый SSH-ключ на локальном компьютере и передать его через SSH-соединение на удаленный сервер. Затем можно убедиться, что каталог

/.ssh существует в удаленном аккаунте, а затем вывести открытый ключ, скопированный в файл authorized_keys.

Используйте операторы перенаправления >>, чтобы вставить передаваемые данные, не перезаписывая весь файл. Команда добавит ключ в файл и не удалит другие ключи, если таковые существуют.

/.ssh/id_rsa.pub | ssh username@remote_host «mkdir -p

/.ssh/authorized_keys»
The authenticity of host ‘111.111.11.111 (111.111.11.111)’ can’t be established.
ECDSA key fingerprint is fd:fd:d4:f9:77:fe:73:84:e1:55:00:ad:d6:6d:22:fe.
Are you sure you want to continue connecting (yes/no)? yes

Это значит, что локальная машина не распознает удаленный хост. Это произойдет при первом подключении к новому хосту. Введите yes и нажмите Enter, чтобы продолжить.

Затем будет запрошен пароль удаленного пользователя.

После этого содержимое ключа

/.ssh/id_rsa.pub будет скопировано в файл authorized_keys в домашнем каталоге

/.ssh удаленной учетной записи.

3: Копирование открытого ключа вручную

Если у вас не настроена парольная аутентификация SSH, вам нужно будет скопировать ключ вручную.

Открытый ключ из файла id_rsa.pub нужно добавить в файл

/.ssh/authorized_keys на удаленной машине.

Чтобы вывести содержимое id_rsa.pub, введите на локальной машине:

/.ssh/id_rsa.pub
ssh-rsa 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 demo@test

Любым доступным методом получите доступ к удаленному хосту.

На удаленном хосте создайте каталог

Затем нужно создать файл authorized_keys и поместить в него ключ из id_rsa.pub.

Для этого можно использовать следующую команду:

Примечание: Вместо public_key_string укажите свой открытый ключ.

Аутентификация через SSH-ключи

Переместив открытый ключ на удаленный сервер, попробуйте подключиться к нему с помощью SSH-ключей.

Базовая команда выглядит так:

Если вы впервые подключаетесь к этому хосту, вы можете увидеть сообщение вроде этого:

The authenticity of host ‘111.111.11.111 (111.111.11.111)’ can’t be established.
ECDSA key fingerprint is fd:fd:d4:f9:77:fe:73:84:e1:55:00:ad:d6:6d:22:fe.
Are you sure you want to continue connecting (yes/no)? yes

Это значит, что локальная машина не распознает удаленный хост. Введите yes и нажмите Enter, чтобы продолжить.

Если вы не настраивали парольную фразу для закрытого ключа, вы сразу же войдете в систему. Если вы создали парольную фразу для закрытого ключа, вам необходимо будет ввести ее сейчас. После этого должен быть создан новый сеанс оболочки для удаленного пользователя.

Отключение парольной аутентификации

Если вы смогли войти в свою учетную запись с помощью SSH-ключей без пароля, значит, вы успешно настроили аутентификацию на основе SSH-ключей для своей учетной записи. Однако механизм парольной аутентификации все еще включен, что означает, что ваш сервер по-прежнему уязвим к brute-force атакам.

Прежде чем выполнять этот раздел, убедитесь, что у учетной записи root или у пользователя с доступом sudo на удаленном сервере настроена аутентификация на основе ключей SSH. В ходе этого раздела все пароли будут заблокированы, поэтому важно обеспечить себе административный доступ в случае неполадок.

Итак, подключитесь к удаленному серверу с помощью SSH-ключей как пользователь root или sudo. Откройте конфигурационный файл демона SSH.

sudo nano /etc/ssh/sshd_config

Найдите директиву PasswordAuthentication, раскомментируйте ее и присвойте значение no. Теперь вы не сможете подключаться с помощью пароля.

Сохраните и закройте файл. Перезапустите сервис, чтобы обновить настройки:

# Ubuntu/Debian
sudo systemctl restart ssh
# CentOS/Fedora
sudo service sshd restart

Источник

Настройка пары ключей ssh на linux сервере

1947 просмотров 1 2020-12-14

Для повышения безопасности ssh-соединения рекомендуется отказаться от логина по паролю, и подключаться к удалённому серверу с помощью ключей. Это действие аналогично отпиранию замка с помощью ключа. Логин по паролю в конце-концов может быть взломан методом перебора, либо утечкой пароля. Тогда как логин по ключам достаточно стоек к взлому.

Здесь будет рассказано, как создать пару ключей на клиентской машине, работающей под ОС Ubuntu 18.04. Однако, данное руководство будет актуально и на других версиях linux, с некоторыми оговорками.

1. Создание пары ключей RSA

Для того, чтобы заходить на сервер по ключу, необходимо сгенерировать пару ключей: открытую и закрытую. Открытый (или публичный) ключ мы помещаем на сервер, а закрытый хранится у нас. По этой паре мы можем осуществлять логин на сервер. На данный сервер сможет заходить тот, у кого есть вторая часть ключа.

Сгенерируем пару ключей.

Эта команда по умолчанию создать пару ключей RSA, длинной 2048 бит. Этой длинны вполне хватает по безопасности для большинства операций. Можно добавить флаг -b 4096, чтобы получить ключ длинной 4096 бит.

После выполнения этой команды, вы получите следующий вывод:

После чего можно нажать клавишу “Enter”, чтобы сохранить эту пару ключей в директорию .ssh/ внутри домашней директории, либо вы можете задать другую директорию.

Если ранее вы генерировали пару ssh-ключей, то вероятнее всего вы получите следующий вывод:

Обратите внимание, что если у вас уже есть ключ, и вы его используете, то при его перезаписи вы не сможете уже залогиниться на тот сервер, где храниться его публичная часть.

После успешной операции, вы увидите следующий вывод:

Таким образом вы можете задать ключевую фразу, это рекомендуется сделать. Эта фраза добавить ещё дин уровень безопасности, для предотвращения входа на сервер неавторизированных пользователей.

После этого, вы увидите следующий вывод:

Это говорит о том, что у вас появилась пара из открытого и закрытого ключа, которые могут быть использованы для логина на удалённый сервер. Далее необходимо скопировать открытый ключ на удалённый сервер.

Копирование открытого ключа с помощью программы ssh-copy-id

Программа ssh-copy-id присутствует во многих дистрибутивах linux, поэтому наиболее вероятно что этот вариант вам подойдёт по умолчанию.

Для копирования открытой части ключа, достаточно произвести копирования ключа следующей командой:

Если вы ни разу не заходили на сервер, то вероятнее всего вы получите следующее предупреждение:

Это означает, что ваша локальная машина не знает данный хост. Достаточно ввести “yes” и нажать “Enter”.

После чего программа будет искать в директории локального пользователя ключ id_rsa.pub (открытый), который мы создали ранее. Если утилита найдёт этот файл, то программа копирования запросит пароль для входа на удалённый хост.

Введите пароль, обратите внимание, что ввод пароля не отображается по соображениям безопасности. И нажимте ввод. После этого программа скопирует содержимое ключа из

/.ssh/id_rsa.pub в файл authorized_keys в поддиректории

/.ssh домашней директории вашего пользователя на удалённом хосте. В результате вы увидите следующее сообщение:

Таким образом ключ загружен на удалённый сервер.

Копирование ключа вручную

Иногда бывают случаи. когда отсутствует утилита ssh-copy-id (особенно на старых операционных системах). Поэтому можно скопировать ключ вручную. Один из вариантов – это передать ключ по ssh. Для этого мы будем считывать ключ, с помощью команды cat, затем передавать его через pipe команде ssh, которая создаст ключ и разместит его в файле.

Если это подключение будет в первый раз, нужно будет точно так же согласиться с данным соединением и затем ввести пароль.

Аналогично, можно все эти действия проделать вручную. Например, если вы не имеете доступ по ssh к удалённой машине. Для начала надо вывести содержимое открытого ключа на вашей локальной машине.

Вы получите содержимое файла ключа, которое будет выглядеть примерно так:

После чего на удалённой машине необходимо создать папку

/.ssh. Команда ниже создаст директорию, если её не существовало.

Теперь можем дописать публичный ключ нашей локальной машины на удалённую в конец файла authorized_keys :

Обратите внимание, что надо заменить “строка_публичного_ключа” на вывод команды cat

После чего, необходимо убедиться, что директория

/.ssh и файл authorized_keys имеют соответствующие права доступа:

Если вы используете акаунт root, для настройки ключей. То не забудьте поменять права пользователя, чтобы директория и файлы ключей принадлежали пользователю, а не root. Делается следующей командой:

Где, user следует заменить на имя вашего пользователя.

Подключение к удалённому серверу и отключение логина по паролю

После всех процедур вы можете попробовать подключиться к удалённому серверу.

Если при создании пары ключей вы не задали ключевую фразу (passphrase), вы будете залогинены автоматически. Если вы задали ключевую фразу, вам будет предложено её ввести. Это означает, что вы всё сделали верно. Теперь можно отключить логин по паролю. Для этого отредактируем файл sshd_config:

Вам нужно найти поле: PasswordAuthentication . Она может быть даже закомментирована. Её необходимо раскоментировать и поставить значение no.

Сохраните и закройте файл нажав CTRL + X , затем Y для подтверждения сохранения файла, а далее ENTER для выхода из текстового редактора nano. Для того, чтобы изменения вступили в силу, нам необходимо перезапустить демон sshd:

Всё, теперь можете открыть новое окно терминала, и проверить соединение по ssh по вашему логину. Всё должно работать без пароля.

Источник