5.3.6. Вход по ключу

5.3.6. Вход по ключу

Намного удобнее и даже безопаснее способ авторизации по ключу, а вход по паролю может быть даже заблокирован. Обращение к системе по SSH не совсем безопасно. Злоумышленник может подсмотреть пароль, когда вы будете вводить его в другой программе. Тогда зачем шифровать SSH-соединение, если секретное слово может быть выявлено при работе с другими программами?

Для каждого подключения должны быть свои пароли. Но помнить их все очень сложно, поэтому лучше для авторизации использовать ключи, которые итак защищены, дальше некуда. Нужно сделать только небольшие изменения в конфигурации.

Для начала нужно создать новый ключ. Для этого используется программа ssh-keygen. Ей нужно передать два параметра:

-t — тип ключа. Здесь можно указывать rsa или dsa для второй версии SSH или rsa1 — для первой. Для примера будем использовать rsa ключ;

-f — файл, в котором будет сохранен закрытый ключ. Открытый ключ получит такое же имя, но с расширением pub;

-b — длина ключа, которая может быть минимально 512. По умолчанию установлено значение 1024, оставим его, и не будем указывать этот параметр.

Итак, для генерации ключа выполним команду:

ssh-keygen -t rsa -f ~/.ssh/myrsakey

Обратите внимание, что я указал сохранение ключа в директории .ssh — своей домашней директории (об этом свидетельствует знак "~"). Это директория, в которой SSH будет искать все настройки. Если вы еще не подключались к серверу, то этот путь и ключ отсутствуют. Для исправления ситуации нужно перейти в свою домашнюю директорию и создать папку .ssh:

cd /home/flenov

mkdir .ssh

Если при генерации ключа не указывать файл для его сохранения, то по умолчанию он будет создан в директории ~/.ssh/ с именем id_rsa для RSA-шифрования. Для DSA-шифрования файл будет располагаться там же, но с именем id_dsa. Я специально задал имя, чтобы показать, как с ним работать.

Если программа запустилась успешно, то на экране вы должны увидеть следующее приглашение:

Generating public/private rsa key pair.

Enter passphrase (empty for no passphrase) :

В данном сообщении говорится, что начат процесс генерации публичного и закрытого RSA-ключей. Вам предлагается ввести пароль или оставить его пустым. Я рекомендую лучше указать достаточно длинный пароль (не менее 10 символов, а лучше фразу). После нажатия клавиши <Enter> вам предложат подтвердить комбинацию, чтобы исключить ошибки при вводе.

Если все прошло успешно, то вы должны увидеть следующее сообщение:

Your identification has been saved in ~/ssn/myrsakey.

Your public key has been saved in ~/ssh/myrsakey.pub.

В первой строке нас проинформировали о том, что закрытый ключ сохранен в файле ~/ssh/myrsakey, а открытый — в ~/ssh/myrsakey.pub.

Получив ключи, вы должны отправить файл ~/ssh/myrsakey.pub на удаленный компьютер, чтобы SSH-сервер мог использовать его для аутентификации. Для передачи можно смело использовать открытые каналы связи, потому что публичный ключ ничего не стоит без фразы, которую вы ввели, и без секретного ключа. Даже если хакер сможет получить файл myrsakey.pub, пользы от этого не будет никакой.

Администратор сервера должен добавить содержимое публичного ключа в файл .ssh/authorized_keys. Для этого можно выполнить на сервере следующую команду:

cat myrsakey.pub .ssh/authorized_keys

Теперь можно подключаться к серверу, используя публичный ключ для подтверждения личности. Но перед этим убедитесь, что в конфигурационном файле сервера включены следующие директивы:

RSAAuthentication yes

PubkeyAuthentication yes

Для подключения к серверу выполните команду:

ssh -i ~/.ssh/myrsakey

С помощью параметра -i мы указываем файл публичного ключа. Если этого не сделать, то будет использоваться id_rsa — файл по умолчанию, его имя задает директива IdentityFile в конфигурационном файле SSH-клиента.

Теперь сервер будет запрашивать у вас не пароль, а слово, которое вы указали при генерации публичного ключа:

Enter passphrase for key

Если в конфигурационном файле SSH-сервера изменить параметр PasswordAuthentication на no, то пароль проверяться не будет, а связь будет устанавливаться только на основании ключей. Для обеспечения безопасной связи этого достаточно.

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг

3.2. Вход в систему

Из книги Linux для пользователя автора Костромин Виктор Алексеевич

3.2. Вход в систему Как вы понимаете, в ответ на это приглашение необходимо ввести имя пользователя, а потом, по запросу, и пароль для входа в систему. Если это первый вход в систему после ее установки, то входить надо под именем root. Это единственный пользователь, для


Вход в Windows

Из книги Реестр Windows автора Климов Александр

Вход в Windows Автоматический вход в WindowsСуществует возможность автоматического входа в Windows, минуя экран приветствия. Учтите, что данный способ не совсем безопасен, так как любой может войти в систему, если не требуется вводить пароль. Для автоматического входа в систему


3.3. Вход в систему

Из книги Тонкости реестра Windows Vista. Трюки и эффекты автора Клименко Роман Александрович

3.3. Вход в систему Данный раздел посвящен основным трюкам, с помощью которых можно упростить процесс входа в операционную


Автоматический вход в систему

Из книги Delphi. Учимся на примерах автора Парижский Сергей Михайлович

Автоматический вход в систему Операционная система Windows Vista поддерживает механизм автоматического входа пользователей в систему. Существует несколько способов активирования этого механизма.Например, его можно активировать с помощью реестра. Для этого достаточно


Глава 10 Вход в систему

Из книги Linux-сервер своими руками автора Колисниченко Денис Николаевич

Глава 10 Вход в систему Постановка задачи Разработать программу, которая осуществляет вход в систему. Интерфейс входа в систему сначала скрывает все от пользователя, а затем просит ввести пароль. Если пароль верный, то разблокируем систему и выходим из программы. В


3.1. Вход в систему

Из книги Очень хороший самоучитель пользователя компьютером. Как самому устранить 90% неисправностей в компьютере и увеличить его возможности автора Колисниченко Денис Николаевич

3.1. Вход в систему Linux — это многозадачная и многопользовательская система. А это значит, что в системе могут одновременно работать несколько пользователей, которые будут использовать многозадачный интерфейс (запускать несколько программ одновременно). И это в отличие


Вход в программу SETUP

Из книги XSLT автора Хольцнер Стивен

Вход в программу SETUP SETUP[2] – программа установки параметров BIOS, первоначальной настройки компьютера. Запускается нажатием специальной клавиши, которая зависит от производителя и версии BIOS. Данная программа позволяет произвести первоначальную настройку аппаратных


Вход в режим паузы

Из книги Реестр Windows 7 автора Климов Александр Петрович

Вход в режим паузы Имеется целый ряд возможностей для перевода программы в режим паузы, который можно сравнить со стоп-кадром анимации.* Запуск программы сразу в режиме паузы с помощью команды Step Into (см. ниже раздел "Сквозь программу по шагам").* Назначение точки останова


Вход в систему

Из книги Недокументированные и малоизвестные возможности Windows XP автора Клименко Роман Александрович

Вход в систему Первое, что видит пользователь, когда включает компьютер, – это экран приветствия. Здесь нужно ввести свои логин и пароль, чтобы войти в Windows 7. Оказывается, это окно можно настроить с помощью редактирования некоторых значений параметров. Часть этих


Вторичный вход в систему

Из книги Linux глазами хакера автора Флёнов Михаил Евгеньевич

Вторичный вход в систему Служба реализует возможность запуска программ от имени другого пользователя. Если она будет остановлена, то вы не сможете воспользоваться командой runas (формат запуска программы от имени другого пользователя таков: runas / user:«пользователь»


Сетевой вход в систему

Из книги Как приручить компьютер за несколько часов автора Ремнева Ирина

Сетевой вход в систему Служба поддерживает возможность входа в систему данного компьютера с помощью сетевого компьютера, входящего в домен, как будто пользователь входит локально. Если данный компьютер не входит в домен, не подключен к сети или сетевой вход в оболочку


6.2.2. Доменный вход

Из книги автора

6.2.2. Доменный вход Если вы настроили сервер Linux так, чтобы пользователи Windows могли входить в систему через smb, используя его как домен, то необходимо убрать комментарии с секции [netlogon]:; [netlogon]; comment = Network Logon Service; path = /usr/local/samba/lib/netlogon; guest ok = yes; writable = noВ этой секции так же


10.5.2. Компьютерам вход запрещен

Из книги автора

10.5.2. Компьютерам вход запрещен Как говорит великая администраторская мудрость — на сетевой экран надейся, а сам не плошай. Firewall позволяет запретить доступ к серверу на определенные порты с конкретных компьютеров. Конфигурационный файл /etc/ftphosts выполняет схожие задачи —


Вход и выход

Из книги автора

Вход и выход Итак, мы остановились на том, что открыли окошко Internet Explorer.Компьютер попросит вас ввести имя пользователя и пароль. Их вам даст провайдер, который будет подключать вас к Интернету. Если вы нажмете кнопочку Подключиться, то компьютер подключит вас к