Аутентификация с использованием открытых ключей

Требуется проводить аутентификацию сеансов SSH с применением ключей (вместо системных учетных записей). Это позволит вам использовать пароль SSH вместо данных учетной записи, что повышает уровень защиты этих данных. Кроме того, одна пара ключей (открытый и закрытый) может использоваться для произвольного количества удаленных хостов.

В следующем примере пользователь Valorie хочет подключиться с компьютера saturn к компьютеру jupiter. Для этого он должен сгенерировать Hajupiter новую, персональную пару ключей утилитой sshJceygen, а затем передать копию своего нового открытого ключа на saturn.

Следующая команда генерирует новую пару ключей RSA, защищенную паролем:

valorie jupiter: ssh-keygen -t rsa Generating public/private rsa key pair.

Enter passphrase (empty for no passphrase): Enter same passphrase again:

Your Identification has been saved in /home/valorie/.ssh/1d_rsa. Your public key has been saved in /home/valorie/.ssh/id rsa.pub. The key fingerprint is:

79:lf:a5:5f:5f:17:e5:a8:bc:02:50:8c:3a:le:el:dl valorieGjupiter Далее пользователь Valorie копирует новый ключ idjrsa.pub в свою учетную запись на компьютере saturn. Поскольку данные в файл authorized_keys на saturn заносятся впервые, для копирования можно воспользоваться командой scp: va1orie jupiter: scp -7.ssh/idjrsa.pub valor1e@satum: ssh/authorized_keys Теперь при входе на saturn пользователю Valorie будет предложено ввести пароль закрытого ключа SSHJK

va1orie jup1ter: ssh saturn

Enter passphrase for key home/valorie/ssh/idjrsa:

Linux saturn 2.4.21 1 Sun Aug 3 20:15:59 PDT 2003 1686 GNU/Linux

Libranet GNU/Linux

va1orie saturn: Сеанс завершается командой exit

Комментарий

OpenSSH использует ключи RSA и DSA. Оба вида ключей поддерживают SSH2, поэтому неважно, какой из них будет выбран. По умолчанию используются RSA.

Копирование ключа в файл authorized_keys на удаленном компьютере также может осуществляться простым копированием/вставкой. Откройте нормальный сеанс SSH:

ssh va1oriesaturn Password:

Затем запустите текстовый редактор на обоих концах подключения и выполните копирование/вставку.

Это можно проделать для любой учетной записи на доступном сервере SSII. Одной пары ключей должно быть достаточно; открытый ключ можно скопировать на любое количество хостов и использовать один и тот же пароль на всех хостах.

Следите за тем, с каким компьютером вы работаете! Легко ввести команду, полагая, что вы находитесь на локальном хосте, тогда как на самом деле вы подключены к удаленному компьютеру.

Защищайте ключи! Открытые ключи должны быть общедоступными для чтения, но запись в них должна разрешаться только владельцу (режим 644). Закрытые ключи должны быть недоступны по чтению/записи для всех, кроме их владельца (режим 600). Никогда, ни при каких условиях не передавайте закрытые ключи другим пользователям.

Помните, что некоторые текстовые редакторы автоматически создают резервные копии файлов. Либо отключите этот режим, либо немедленно удаляйте резервные копии ключей и других конфиденциальных файлов SSI I.


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок