Kuinka määrittää salasanattoman ssh-kirjautumisen

Secure Shell (SSH) on salausverkkoprotokolla, jota käytetään suojattuun yhteyteen asiakkaan ja palvelimen välillä ja joka tukee useita todennusmekanismeja. Kaksi suosituinta mekanismia ovat salasanapohjainen todennus ja julkiseen avaimeen perustuva todennus.

Tässä opetusohjelmassa osoitamme sinulle, kuinka määritetään SSH-avainpohjainen todennus ja miten muodostetaan yhteys Linux-palvelimeesi ilman salasanaa.

Asenna SSH-salasanaton kirjautuminen

Salasanattoman SSH-kirjautumisen määrittäminen Linuxissa sinun on luotava julkinen todennusavain ja liitettävä se etäisäntäkoneisiin ~/.ssh/authorized_keys tiedosto.

Seuraavat vaiheet kuvaavat salasanattoman SSH-kirjautumisen määritysprosessin:

1. Tarkista, onko olemassa SSH-avainparia.

   Ennen uuden SSH-avainparin luomista tarkista ensin, onko sinulla jo SSH-avainta asiakaskoneellasi, koska et halua korvata olemassa olevia avaimia.

   Suorita seuraava ls-komento nähdäksesi, onko olemassa olemassa olevia SSH-avaimia:

   ls -al ~/.ssh/id_*.pub

   Jos avaimia on olemassa, voit joko käyttää niitä ja ohittaa seuraavan vaiheen tai varmuuskopioida vanhat avaimet ja luoda uuden.

   Luo uusi SSH-avainpari.

   Seuraava komento luo uuden 4096-bittisen SSH-avainparin sähköpostiosoitteesi kanssa kommenttina:

   ssh-keygen -t rsa -b 4096 -C "[email protected]"

   Hyväksy tiedoston oletuspaikka ja -nimi painamalla Enter painiketta:

   Enter file in which to save the key (/home/yourusername/.ssh/id_rsa):

   Seuraavaksi ssh-keygen työkalu pyytää sinua kirjoittamaan suojatun tunnuslauseen. Haluatko käyttää tunnuslausea, se on sinun tehtäväsi, jos valitset salasanan, saat ylimääräisen suojauskerroksen. Useimmissa tapauksissa kehittäjät ja järjestelmänvalvojat käyttävät SSH: ta ilman salasanaa, koska ne ovat hyödyllisiä täysin automatisoiduissa prosesseissa. Jos et halua käyttää salasanaa, paina Enter

   Enter passphrase (empty for no passphrase):

   Koko vuorovaikutus näyttää tältä:

   

   

   Voit olla varma, että SSH-avaimet on luotu luetteloimalla uudet yksityiset ja julkiset avaimet seuraavilla:

   ls ~/.ssh/id_*

   /home/yourusername/.ssh/id_rsa /home/yourusername/.ssh/id_rsa.pub

   Kopioi julkinen avain

   Nyt kun olet luonut SSH-avainparin, sinun on kopioitava julkinen avain palvelimelle, jota haluat hallita, jotta voit kirjautua palvelimellesi ilman salasanaa.

   Helpoin tapa kopioida julkinen avain palvelimellesi on käyttää komentoa ssh-copy-id . Paikallisella konepäätteelläsi:

   ssh-copy-id remote_username@server_ip_address

   Sinua pyydetään antamaan remote_username salasana:

   remote_username@server_ip_address's password:

   Kun käyttäjä on todennettu, julkinen avain lisätään etäkäyttäjän authorized_keys tiedostoon ja yhteys suljetaan.

   Jos ssh-copy-id apuohjelma jostakin syystä ei ole käytettävissä paikallisella tietokoneellasi, voit käyttää seuraavaa komentoa kopioidaksesi julkisen avaimen:

   cat ~/.ssh/id_rsa.pub | ssh remote_username@server_ip_address "mkdir -p ~/.ssh && chmod 700 ~/.ssh && cat >> ~/.ssh/authorized_keys && chmod 600 ~/.ssh/authorized_keys"

   Kirjaudu palvelimellesi SSH-avaimilla

   Edellä olevien vaiheiden suorittamisen jälkeen sinun pitäisi pystyä kirjautumaan etäpalvelimeen ilman, että sinulta kysytään salasanaa.

   Testaa se vain yrittämällä kirjautua palvelimelle SSH: n kautta:

   ssh remote_username@server_ip_address

   Jos kaikki meni hyvin, kirjaudut sisään heti.

Poista SSH-salasanatunnistus käytöstä

Voit lisätä ylimääräisen suojauskerroksen palvelimellesi poistamalla käytöstä SSH: n salasanan todennuksen.

Ennen kuin poistat SSH-salasanan todennuksen käytöstä, varmista, että voit kirjautua palvelimellesi ilman salasanaa ja kirjautuneella käyttäjällä on sudo-oikeudet.

Seuraavat ohjeet kuvaavat sudo-käytön määrittämistä:

1. Kirjaudu etäpalvelimeen SSH-avaimilla joko käyttäjänä, jolla on sudo-oikeudet tai pääkäyttäjä:

   ssh sudo_user@server_ip_address

   Avaa SSH-määritystiedosto /etc/ssh/sshd_config , etsi seuraavat direktiivit ja muokkaa sitä seuraavasti:

   / Etc / ssh / sshd_config

   PasswordAuthentication no ChallengeResponseAuthentication no UsePAM no

   Kun olet valmis, tallenna tiedosto ja käynnistä SSH-palvelu uudelleen.

   Suorita seuraava komento Ubuntu- tai Debian-palvelimilla:

   sudo systemctl restart ssh

   Suorita seuraava komento CentOS- tai Fedora-palvelimilla:

   sudo systemctl restart sshd

johtopäätös

Tässä opetusohjelmassa olet oppinut määrittämään SSH-avainpohjaisen todennuksen, jonka avulla voit kirjautua etäpalvelimeen antamatta käyttäjän salasanaa. Voit lisätä saman avaimen useisiin etäpalvelimiin.

Olemme myös osoittaneet, kuinka poistaa SSH-salasanan todennus käytöstä ja lisätä ylimääräinen suojaustaso palvelimellesi.

SSH turvallisuus