SSH je skvělá technologie; můžete jej použít ke skrytí provozu VPN, zabezpečení připojení k webům a další. Jediný problém je, že pokaždé, když se pokusíte přihlásit ke vzdálenému počítači, musíte zadat své heslo, což může být únavné. Pokud jste vývojář, který se chce připojit k mnoha počítačům přes SSH najednou pomocí skriptu Bash, nebo jen někdo, kdo používá Secure Shell a už ho nebaví zadávat hesla, existuje řešení: SSH bez hesla. Tento proces zahrnuje vygenerování zabezpečeného klíče SSH na hostitelském počítači a jeho sdílení jako způsobu přístupu k počítači. To umožní každému, kdo má klíč, přihlásit se, i když nezná heslo. Zde je návod, jak to rozjet.
Table of Contents
Co jsou klíče SSH?
SSH klíč je jedinečný identifikační soubor, který se používá s Secure Shell. Účelem těchto klíčů je poskytnout uživateli jedinečnou identitu a při přihlašování je označit jako „důvěryhodné“. Tyto klíče samotné jsou více než soubory, které prokazují něčí identitu. SSH ve skutečnosti umožňuje uživatelům přihlásit se pomocí klíče, nikoli pomocí hesla. To znamená, že místo abyste byli nuceni zadávat heslo pokaždé, když se přihlašujete přes SSH, použijete klíč SSH.
Klíč SSH je bezpečně umístěn někde ve vaší instalaci Linuxu a odtud se můžete přihlásit ke vzdálenému počítači, jak chcete, bez hesla.
Generování bezpečných klíčů SSH
Generování bezpečného klíče SSH nejprve vyžaduje, aby byl SSH spuštěn a spuštěn. Pochopte, že to nutně neznamená, že musíte mít server SSH. Jen to, že na vašem počítači se systémem Linux běží základní nástroje a technologie SSH. Nejste si jisti, jak nastavit SSH? Postupujte podle našeho průvodce zde.
Klíče SSH vždy generujte na systému hostujícím server SSH. Nepokoušejte se je vygenerovat na serveru, který nehostuje relaci SSH, a zkopírujte je do hostitelského počítače SSH. To nebude fungovat.
Chcete-li zahájit proces generování klíče, otevřete terminál. V okně terminálu spusťte:
ssh-keygen -t rsa
Spuštění ssh-keygen vytiskne „Generování páru klíčů veřejného/soukromého rsa“. To znamená, že vám systém generuje jak veřejný klíč, tak soukromý klíč k použití. Veřejné klíče jsou ty, které může použít kdokoli, a měli byste je dobře rozdávat. Soukromý klíč je na druhou stranu něco, co byste nikdy neměli s nikým sdílet. Odtud název „soukromý“.
Klíče se samy uloží na /home/username/.ssh/id_rsa.
Poznámka: NESMAZUJTE složku ~/.ssh, protože obsahuje vaše klíče. Pokud s touto složkou jakýmkoli způsobem manipulujete a poté se pokusíte přihlásit k tomuto počítači vzdáleně, výzva SSH se nezdaří. Vytiskne také varování a uzamkne vás.
Klíče SSH na vzdáleném počítači
Nyní, když jsou klíče SSH (veřejné i soukromé) vytvořeny a připraveny k použití, budete je muset zkopírovat do systému, ze kterého se chcete přihlásit. Je důležité, abyste tento proces opakovali na všech počítačích, na kterých se plánujete přihlásit přes SSH. V opačném případě se uživatelé, kteří nemají klíč, budou muset přihlásit pomocí metody hesla.
Chcete-li přidat klíče do vzdáleného systému, postupujte podle tohoto příkladu. Ujistěte se, že to děláte z hostitelského počítače přes SSH.
ssh [email protected] mkdir -p .ssh
Spuštění tohoto příkazu ssh vytvoří skrytou složku ~/.ssh v domovském adresáři vzdáleného počítače (s uživatelem, který byl použit k přihlášení). Tato složka je důležitá, protože sem zkopírujeme nově vygenerované soubory klíčů SSH.
Chcete-li zkopírovat soubory klíčů SSH, spusťte další příkaz z hostitelského počítače SSH na vzdálený počítač, který potřebuje klíče:
cat .ssh/id_rsa.pub | ssh [email protected] 'cat >> .ssh/authorized_keys'
Kopírování bude trvat několik sekund v závislosti na rychlosti sítě. Po dokončení bude mít vzdálený počítač vygenerované klíče a bude se moci přihlásit k hostitelskému počítači SSH bez hesla.
Zálohování klíčů SSH
Klíče SSH jsou užitečné věci a každý z nich je jedinečný. Z tohoto důvodu je jejich zálohování nejlepším postupem. Potíž je v tom, že pokud jej uložíte jinam, někdo může najít váš klíč SSH, ponechat si jej a použít jej pro sebe. Otázka tedy zní, jaký je dobrý způsob, jak bezpečně zálohovat klíč SSH? Šifrování.
Nejrychlejší, nejefektivnější (a nejjednodušší způsob) šifrování je použití GnuPG. Samotný nástroj je zabudován do většiny šifrovacích nástrojů, které jsou již v Linuxu, a je výchozím bodem při vytváření šifrování souborů. Chcete-li nainstalovat GnuPG, otevřete terminál a vyhledejte ve správci balíčků „gpg“. Program by měl být snadno k nalezení, a to i na velmi obskurních distribucích Linuxu.
Jakmile je GPG spuštěno, spusťte proces šifrování komprimací adresáře ~/.ssh do archivního souboru tar. Díky tomu nebude potřeba jednotlivě šifrovat každý jednotlivý soubor ve složce ~/.ssh.
tar -czvf ssh-stuff.tar.gz /home/username/.ssh
Po dokončení komprese spusťte proces šifrování.
Poznámka: Před šifrováním spusťte v terminálu gpg a vygenerujte nový svazek klíčů.
gpg -c ssh-stuff.tar.gz
Po dokončení procesu šifrování GnuPG vloží soubor se štítkem „ssh-stuff.tar.gz.gpg“. Neváhejte a smažte původní, odemčenou verzi souboru. Chcete-li dešifrovat zálohu, postupujte takto:
gpg ssh-stuff.tar.gz.gpg