Secure Shell (SSH) — это сетевой протокол для создания безопасного соединения между клиентом и сервером. С помощью SSH вы можете запускать команды на удаленных машинах, создавать туннели, пересылать порты и многое другое.
SSH поддерживает различные механизмы аутентификации. Двумя наиболее распространенными являются аутентификация на основе пароля и открытого ключа.
Аутентификация с использованием открытого ключа основана на использовании цифровых подписей, и она более безопасна и удобна, чем традиционная парольная аутентификация.
В этой статье объясняется, как сгенерировать ключи SSH в системах Ubuntu 20.04. Мы также покажем вам, как настроить аутентификацию на основе ключа SSH и подключиться к удаленным серверам Linux без ввода пароля.
Содержание
Создание ключей SSH в Ubuntu
Скорее всего, у вас уже есть пара ключей SSH на вашем клиентском компьютере Ubuntu. Если вы сгенерируете новую пару ключей, старый будет перезаписан. Чтобы проверить, существуют ли файлы ключей, выполните следующую команду ls :
ls -l ~/.ssh/id_*.pubЕсли команда возвращает что-то вроде No such file or directory или no matches found , это означает, что у пользователя нет ключей SSH, и вы можете перейти к следующему шагу и сгенерировать пару ключей SSH. В противном случае, если у вас есть пара ключей SSH, вы можете либо существующие, либо сделать резервную копию старых ключей и сгенерировать новую пару.
Чтобы сгенерировать новую 4096-битную пару ключей SSH с вашим адресом электронной почты в качестве комментария, запустите:
ssh-keygen -t rsa -b 4096 -C "[email protected]"Вам будет предложено указать имя файла:
Enter file in which to save the key (/home/yourusername/.ssh/id_rsa):
Расположение по умолчанию и имя файла подходят большинству пользователей. Нажмите Enter чтобы принять и продолжить.
Далее вас попросят ввести безопасную парольную фразу. Парольная фраза добавляет дополнительный уровень безопасности. Если вы установите парольную фразу, вам будет предлагаться вводить ее каждый раз, когда вы используете ключ для входа на удаленный компьютер.
Если вы не хотите устанавливать кодовую фразу, нажмите Enter .
Enter passphrase (empty for no passphrase):
В целом взаимодействие выглядит так:
Чтобы убедиться, что ваша новая пара ключей SSH создана, введите:
ls ~/.ssh/id_*/home/yourusername/.ssh/id_rsa /home/yourusername/.ssh/id_rsa.pub
Вот и все. Вы успешно создали пару ключей SSH на своем клиентском компьютере Ubuntu.
Скопируйте открытый ключ на удаленный сервер
Теперь, когда у вас есть пара ключей SSH, следующим шагом будет копирование открытого ключа на удаленный сервер, которым вы хотите управлять.
Самый простой и рекомендуемый способ скопировать открытый ключ на сервер — использовать инструмент ssh-copy-id . На вашем локальном компьютере введите:
ssh-copy-id remote_username@server_ip_addressВам будет предложено ввести пароль удаленного пользователя:
remote_username@server_ip_address's password:
После аутентификации пользователя открытый ключ ~/.ssh/id_rsa.pub будет добавлен к файлу удаленного пользователя ~/.ssh/authorized_keys , и соединение будет закрыто.
Number of key(s) added: 1
Now try logging into the machine, with: "ssh 'username@server_ip_address'"
and check to make sure that only the key(s) you wanted were added.
Если по какой-либо причине ssh-copy-id недоступна на вашем локальном компьютере, используйте следующую команду для копирования открытого ключа:
cat ~/.ssh/id_rsa.pub | ssh remote_username@server_ip_address "mkdir -p ~/.ssh && chmod 700 ~/.ssh && cat >> ~/.ssh/authorized_keys && chmod 600 ~/.ssh/authorized_keys"Войдите на свой сервер с помощью ключей SSH
После выполнения описанных выше действий вы сможете войти на удаленный сервер без запроса пароля.
Чтобы проверить это, попробуйте войти на свой сервер через SSH:
ssh remote_username@server_ip_addressЕсли вы не установили кодовую фразу для закрытого ключа, вы сразу же войдете в систему. В противном случае вам будет предложено ввести кодовую фразу.
Отключение аутентификации по паролю SSH
Отключение аутентификации по паролю добавляет дополнительный уровень безопасности вашему серверу.
Перед отключением парольной аутентификации SSH убедитесь, что вы можете войти на свой сервер без пароля, а пользователь, под которым вы входите, имеет права sudo .
Войдите на свой удаленный сервер:
ssh sudo_user@server_ip_addressОткройте файл конфигурации SSH в текстовом редакторе :
sudo nano /etc/ssh/sshd_configНайдите следующие директивы и измените их следующим образом:
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
После этого сохраните файл и перезапустите службу SSH, набрав:
sudo systemctl restart sshНа этом этапе аутентификация на основе пароля отключена.
Выводы
Мы показали вам, как сгенерировать новую пару ключей SSH и настроить аутентификацию на основе ключей SSH. Вы можете использовать один и тот же ключ для управления несколькими удаленными серверами. Вы также узнали, как отключить аутентификацию по паролю SSH и добавить дополнительный уровень безопасности на свой сервер.
По умолчанию SSH прослушивает порт 22. Изменение порта SSH по умолчанию снижает риск автоматических атак. Чтобы упростить рабочий процесс, используйте файл конфигурации SSH, чтобы определить все ваши SSH-соединения.
Если у вас есть какие-либо вопросы или отзывы, не стесняйтесь оставлять комментарии.
