ССХ приступ помоћу РСА кључева

Мало упутство о организовању ССХ приступа удаљеном Линук серверу. Подсјетимо да је стандардна метода провјере аутентичности корисника на Уник серверу (Линук, ФрееБСД) приликом приступа путем ССХ-а пар пријава и лозинка. Али унос у њих није увек згодан, поготово ако има пуно таквих сервера. Постоји алтернатива овом типу приступа - организовање ССХ приступа коришћењем пар РСА кључева (јавних и приватних) и запорке (која је, генерално, необвезна).

У овом чланку ћемо размотрити употребу ове врсте приступа, која се може имплементирати помоћу једног од најпопуларнијих програма за рад на ССХ-у.   - ПуТТИ.

За рад су нам потребне следеће услуге из породице ПуТТИ:

  • путтиген.еке - пакет за креирање кључних парова
  • путти.еке - ссх терминал
  • псцп.еке - сцп програм за копирање датотека

Направите пар РСА кључева

Да бисте то учинили, покрените услужни програм ПуТТИген, уверите се да је тип кључа „ССХ-2 РСА"И притисните дугме"Генеришу".

Након тога почиње генерација пара кључева, а да бисте генерисали случајни низ, морате насумично да превучете миш око траке напретка.

У пољу "Кључни коментар" можете да одредите опис кључа (биће приказан током аутентификације кључа).

У пољу "Кључна лозинка" и „Потврди лозинку“ одређује лозинку за активирање кључа (тражит ће се приликом повезивања). Ако не поставите лозинку, веза ће се успоставити без лозинке: врло је згодна, али није баш сигурна, јер да би приступио серверу, нападач мора само да украде датотеку приватним кључем од вас (због чега је препоручљиво чувати тајну приватног кључа: на спољном УСБ уређају, шифрованој јачини итд.).

Затим притиснемо дугмадСачувај јавни кључ"И"Сачувај приватни кључ"И сачувајте јавне и приватне кључеве, респективно, у датотеку са именима, на пример:"публиц.кеи"И"привате.ппк".

Конфигуришите јавни кључ на Линук серверу.

Датотека јавног кључа "публиц.кеи»Потребно је копирати на Линук сервер на који се планирате повезати. Да бисте то учинили, користите услужни програм псцп.еке. Наредба датотеке за копирање изгледаће отприлике овако:

псцп ц: \ кеи \ публиц.кеи роот@192.168.1.21: / тмп / фоо

Затим копирани кључ мора бити смештен у директоријум корисника у датотеци ~ / .ссх / ауторизирани_кејеви .

Да бисте то учинили, идите на сервер преко ССХ (као и обично) и покрените следећу команду:

$ ссх-кеиген -и -ф /тмп/фоо/публиц.кеи >> /хоме/миусер/.ссх/аутхоризед_кеис

где миусер, име корисника коме ће се омогућити пријава помоћу овог кључа.

Такође, не заборавите да будете сигурни да је на серверу омогућена ауторизација кључева. Да бисте то учинили, следеће редове треба коментирати у датотеци / етц / ссх / ссхд_цонфиг:

Аутентификација РСА да
ПубкеиАутхентицатион да
АутхоризедКеисФиле .ссх / ауторизирани_кључи

Повезујемо се преко ССХ помоћу кључа

Покрећемо ПуТТИ и на левој страни екрана идемо на Цоннецтионс -> ССХ -> Аутх.

Пронађите линију "Приватно кључ датотека за аутентификација », тада морате да кликнете дугме „Прегледај“ и специфицирате нашу датотеку приватним кључем „приват.ппк“.
Затим на главној картици наведите име / ип адресу нашег Линук сервера и започните везу. Након тога ће вас систем, као и обично, тражити да наведете пријаву, а затим лозинку кључа (ако је била наведена). Ако лозинка није наведена, конзола сервера ће се отворити без лозинке.
Да не бисте ушли у подешавања Аутх и одредили датотеку кључева при свакој вези, можете да сачувате подешавања, јер на главној картици постоје тастери Саве (сачувај ПуТТИ поставке) и Лоад (лоад сеттингс).. Сва сачувана подешавања Путти-ја су похрањена у регистру, тако да их у основи можете пренијети са једног рачунара на други једноставним извозом / увозом дијела регистра (за више детаља погледајте чланак Пријенос поставки ПуТТИ).

Поред тога, како не бисте ручно унели корисничко име сваки пут, корисничка пријава се такође може сачувати у ПуТТИ (Веза \ Подаци \ Аутоматско пријава корисничког имена).

Ако то не успе, анализираћемо дневник /вар/лог/аутх.лог на серверу.