Подесите безбедно пријављивање без лозинке на ваш удаљени Убунту сервер користећи ССХ кључеве
ССХ је сигуран мрежни протокол клијент-сервер који помаже клијентском рачунару да се повеже и комуницира са удаљеним сервером. ССХ веза осигурава да се команде које се укуцају у терминал шаљу на удаљени сервер преко шифрованог канала.
Постоје два типа механизама за аутентификацију који се користе за повезивање са удаљеним сервером, аутентификација заснована на лозинки (склона нападима грубом силом) и аутентификација заснована на ССХ кључевима (која је веома безбедна).
У аутентификацији заснованој на ССХ кључу, пар кључева се генерише на клијентском рачунару, који се назива јавни кључ и приватни кључ. Копија овог јавног кључа је доступна на удаљеном серверу. Када клијент пошаље захтев за повезивање серверу, сервер генерише насумични стринг и шифрује га помоћу јавног кључа. Овај стринг се може дешифровати само помоћу приватног кључа доступног на клијентском рачунару. Овај метод осигурава да серверу могу приступити само клијенти који садрже приватни кључ.
У овом водичу ћемо видети како да подесите ССХ кључеве на Убунту 20.04 ЛТС серверу.
Проверите да ли имате неки постојећи ССХ кључ на рачунару
Да бисте проверили да ли ССХ кључ кључева већ постоји на вашем рачунару, унесите ову команду у свој терминал.
лс -л ~/.ссх/ид_*.пубАко се горња команда врати Нема такве датотеке или директоријума или без подударања, онда то значи да пар кључева ССХ не постоји.
Ако имате постојећи пар кључева ССХ, можете користити исти пар кључева за приступ два удаљена сервера или можете креирати други пар кључева који има другачије име. Пређимо на следећи корак и видимо како да генеришемо ССХ кључеве за оба случаја.
Креирање ССХ кључева на клијентском рачунару
Да бисте генерисали нови пар ССХ кључева на рачунару, унесите команду као што је приказано у наставку.
ссх-кеигенПодразумевано, ССХ кључеви имају 2048 бита. За бољу сигурност, ако желите да генеришете ССХ кључеве са вишим битовима, користите следећу команду.
ссх-кеиген -б 4096Ако се команда успешно покрене, на екрану ће се појавити следећа порука.
генерисање јавног/приватног пара кључева РСА. Унесите датотеку у коју ћете сачувати кључ (/хоме/харсхит/.ссх/ид_рса):
Сада ако немате ниједан постојећи пар ССХ кључева на рачунару, једноставно притисните Ентер, али ако имате постојећи ССХ кључ, сачувајте кључ са другим именом датотеке као што је приказано испод.
Унесите датотеку у коју ћете сачувати кључ (/хоме/иоур_наме/.ссх/ид_рса): /хоме/иоур_наме/.ссх/ид_рса_ккк
Заменити ккк на крају назива датотеке са одговарајућим именом, као што је приказано испод и притисните Ентер.
Унесите датотеку у коју желите да сачувате кључ (/хоме/иоур_наме/.ссх/ид_рса): /хоме/иоур_наме/.ссх/ид_рса_цлиент_1
Следећи упит ће од вас тражити да унесете приступну фразу произвољне дужине, што ће обезбедити сигурност на два нивоа на вашем уређају.
Унесите приступну фразу (празно ако нема приступне фразе): Поново унесите исту приступну фразу:Уношење ове приступне фразе ће осигурати да чак и ако особа добије приступ вашем приватном кључу, неће моћи да приступи вашем удаљеном серверу без ове приступне фразе.
Када се цео процес заврши, на екрану ће се појавити следећа порука.
ССХ кључеви су генерисани на вашем систему. Сада је време да копирате јавни кључ на удаљени сервер.
Копирање јавног кључа на удаљени Убунту сервер
Најлакши и најбржи метод за копирање јавног кључа на удаљени сервер је коришћење ссх-цопи-ид корисност. Али ако овај услужни програм није доступан на вашој машини из неког разлога, можете користити и друге методе наведене у овом одељку.
Коришћење услужног програма ссх-цопи-ид
Тхе ссх-цопи-ид услужни програм је подразумевано доступан на вашој Убунту машини која копира јавни кључ са вашег уређаја у одговарајући директоријум ваше удаљене Убунту машине.
Да бисте копирали јавни ссх кључ, једноставно унесите команду у свој терминал, као што је приказано испод.
ссх-цопи-ид корисничко име@име хостаЗаменити корисничко име и име хоста у горњој команди са корисничким именом и именом хоста вашег сервера.
Следећа порука ће се појавити на вашем терминалу ако се први пут повезујете са својим хостом, откуцајте да и притисните Ентер.
Аутентичност хоста '172.105.КСКС.КСКС (172.105.КСКС.КСКС)' се не може утврдити. ЕЦДСА отисак кључа је кк:кк:кк:кк:77:фе:73:кк:кк:55:00:ад:д6:кк:кк:кк. Да ли сте сигурни да желите да наставите са повезивањем (да/не)? да
Сада ссх-цопи-ид услужни програм ће скенирати датотеку са именом ид_рса.пуб који садржи јавни ССХ кључ. Када се процес скенирања заврши, од вас ће бити затражено да унесете лозинку вашег удаљеног сервера, као што је приказано у наставку. Унесите лозинку и притисните Ентер.
/уср/бин/ссх-цопи-ид: ИНФО: покушавам да се пријавим са новим кључем(овима), да филтрирам све који су већ инсталирани /уср/бин/ссх-цопи-ид: ИНФО: 1 кључ(ови) ) остаје да се инсталира -- ако се од вас сада затражи да инсталирате нове кључеве роот@172.105.КСКС.КСКС лозинку:
Када се кључ дода, следећа порука ће се појавити на вашем терминалу као излаз.
Број додатих кључева: 1 Сада покушајте да се пријавите на машину са: "ссх 'роот@172.105.КСКС.КСКС'" и проверите да ли су додати само кључ(ови) које желите.
У случају да имате више ССХ кључева на свом клијентском рачунару, онда да бисте копирали одговарајући јавни кључ на удаљени рачунар, унесите команду у обрасцу приказаном испод.
ссх-цопи-ид -и ид_рса_ккк.пуб корисничко име@хост💡 Савет
Не заборавите да ставите .пуб на крај назива датотеке док куцате у терминалу.
Копирање јавног кључа методом цеви
Унесите следећу команду у терминал иф ссх-цопи-ид услужни програм није доступан. Ова команда може изгледати мало дужа, али функционише како треба.
мачка ~/.ссх/ид_рса.пуб | ссх ремоте_усернаме@сервер_ип_аддресс "мкдир -п ~/.ссх && тоуцх ~/.ссх/аутхоризед_кеис && цхмод -Р го= ~/.ссх && цат >> ~/.ссх/аутхоризед_кеис"Заменити удаљено_корисничко име и серверова ајпи адреса са вашим корисничким именом и ИП адресом.
Ако имате више ССХ кључева доступних на рачунару, замените их ид_рса.пуб са јавном ССХ кључном датотеком по вашем избору. На пример, ид_рса_цлиент_1.пуб.
Унесите лозинку удаљеног корисника када се то од вас затражи и притисните Ентер.
лозинка роот@172.105.КСКС.КСКС:Када унесете лозинку, ид_рса.пуб датотека ће бити копирана у ауторизовани_кључеви датотеку удаљеног сервера.
Ручно копирање јавног кључа
Користите овај метод када немате приступ свом удаљеном систему путем аутентификације лозинком.
Отвори ид_рса.пуб датотеку користећи мачка команду у терминалу. Можете га отворити и из уређивача текста, сврха је само копирање садржаја датотеке.
мачка ~/.ссх/ид_рса.пубСадржај датотеке ће изгледати као што је приказано у наставку.
ССХ-РСА ААААБ3НзаЦ1иц2ЕААААДАКАБАААБАКЦомјФтуХвХК67уф3РКСг2вгК4ЕткБвБвЛЦтлц4цхГ + нЈ1цбуЈјЈ6Г8аз4ксРН1К7хрВ4дИР81Тк3гРАпиМдГцМвИнУ3Вб7Вк3нх9ГС4кнЛРХ1ввб149вогум2МицИЕС69Ксх0циб + ВвЈиЗ + дГО8зРНТ64 + СвфиецРВ0ллнБГВДРкрИГтМХЈкКз7ВДКуСизДит / Цк1НФКСкЦ6Плв3цЕМОхВХицм8бнСХСоВпр95иСккнокКс4 / 9иАлвОовкТпМпмДаДвуХКгХкцсОв9К4сз // 6Хи / 65 +? ккмиуЛиуИККСјДииИТјХТк + ВНи6С0иМЛоН6КсгДЛп0МфГ6кЛвЗ0З + цскдвИДКфМуХ иоур_наме @ иоур_ПЦ
Сада се пријавите на свој удаљени сервер и налепите копирани садржај користећи команду приказану испод. Заменити изнад_стринг са копираним садржајем.
ецхо абове_стринг >> ~/.ссх/аутхоризед_кеисКонфигурисање више ССХ кључева (опционо)
Овај корак је за људе који имају више ССХ кључева подешених на свом клијентском рачунару. Прескочите овај одељак ако имате само једно подешавање ССХ кључа.
Да бисмо управљали вишеструким ССХ кључевима, сада ћемо креирати а цонфиг фајл унутар .ссх директоријум користећи наредбу приказану испод.
цд ~/.ссх вим цонфигТип и да уђете у командни режим и унесете детаље више хостова, као што је приказано у следећем примеру:
Хост ремоте-убунту-сервер ХостНаме 172.105.КСКС.КСКС Усер роот ИдентитиФиле ~/.ссх/ид_рса_цлиент_1 Хост ремоте-убунту-сервер ХостНаме 172.106.КСКС.КСКС Усер роот ИдентитиФиле ~/.ссх/ид_рса_цлиент_Слично, откуцајте детаље о другим удаљеним серверима и њиховим кључевима. Када је процес завршен, притисните изаћи и :вк да сачувате и изађете.
Сада су наредни процеси исти за оба поседовања једног или више ССХ кључева на клијентском рачунару.
Пријавите се на свој удаљени сервер користећи ССХ кључеве
Када је процес копирања вашег јавног кључа завршен, пријавите се на свој удаљени сервер уписивањем команде као што је приказано у наставку.
ссх удаљено_корисничко име@ип_адреса сервераАко сте унели приступну фразу док сте генерисали пар кључева, од вас ће бити затражено да је унесете. Нова сесија ће се отворити након што се процес аутентификације заврши.
Сада сте успешно конфигурисали аутентификацију засновану на ССХ кључевима на вашем удаљеном серверу. Али аутентификација заснована на лозинки је и даље активна на вашем серверу, што значи да је ваш удаљени сервер и даље склон нападима грубе силе.
Дакле, сада ћемо потпуно онемогућити механизам за пријаву заснован на лозинки са нашег удаљеног сервера.
Онемогућите механизам за пријаву заснован на лозинки
Пре него што извршите било какве промене, уверите се да роот корисник или било који корисник са судо функцијом за ваш удаљени налог има приступ вашем серверу користећи систем за аутентификацију засновану на ССХ кључу. Овај корак ће закључати или онемогућити пријаву засновану на лозинки у потпуности, тако да је кључно да најмање једна корисничка роот привилегија има приступ серверу преко ССХ кључа.
Пријавите се на свој удаљени Убунту сервер и откуцајте наредбу приказану испод.
судо вим /етц/ссх/ссхд_цонфиг- Притисните
изаћи,/и укуцајте „Потврда лозинке“ и притиснитеући. - Сада притисните
ии промените вредност „ПассвордАутхентицатион да“ у „ПассвордАутхентицатион не“. - Притисните
изаћии поновите горњи процес да бисте пронашли „ЦхалленгеРеспонсеАутхентицатион“, „УсеПАМ“ и променили њихове вредности унетакође.
ПассвордАутхентицатион без ЦхалленгеРеспонсеАутхентицатион без УсеПАМ брКада су све вредности постављене на не, притисните изаћи, тип :вк и ударио ући.
Да бисте активирали све промене, поново покрените ссх сервис користећи наредбу испод.
судо системцтл рестарт ссхСада отворите нови прозор терминала на рачунару и проверите да ли провера аутентичности вашег ССХ кључа ради исправно пре него што затворите тренутну сесију.
Када се процес верификације заврши, затворите све активне сесије.
Сада смо успешно конфигурисали аутентификацију засновану на ССХ кључу на нашем Убунту 20.04 серверу. Сада нико не може да се пријави на ваш сервер користећи механизам за пријаву заснован на лозинки.