Instalacja klucza do SSH

Autorem poni¿szego materia³u jest dr Piotr A. Dybczyñski,
Zak³ad Us³ug Informatycznych.

Instalacja klucza ssh:

Poni¿ej podajê recepturê, jak wyprodukowaæ klucz, który pozwoli na logowanie siê bez has³a na host.moja.domena.

1. Na komputerze z którego chcesz siê logowaæ na host.moja.domena bez has³a, na koncie z którego chcesz to robiæ wydajemy polecenie:

 ssh-keygen -t rsa

pojawi siê tekst:

 Generating public/private rsa key pair.
 Enter file in which to save the key (/home/dybol/.ssh/id_rsa):

zgadzamy siê na domy¶ln± lokalizacjê kluczy. Pojawi siê tekst:

 Enter passphrase (empty for no passphrase):

naciskamy enter dla pustej frazy (nie bêdziemy sami siebie sprawdzaæ), pojawi siê tekst:

 Enter same passphrase again:

i znowu naciskamy enter. Pojawi siê tekst podobny do:

 Your identification has been saved in /home/dybol/.ssh/id_rsa.
 Your public key has been saved in /home/dybol/.ssh/id_rsa.pub.
 The key fingerprint is:
 2c:3f:a4:be:46:23:47:19:f7:dc:74:9b:69:24:4a:44 dybol@mydesktop

co oznacza, ¿e w naszym katalogu domowym, w podkatalogu .ssh zapisane zosta³y dwa pliki:

klucz prywatny: id_rsa
klucz publiczny: id_rsa.pub

Pust± frazê szyfruj±c± mo¿na bezpiecznie podaæ tylko na komputerach, na których tylko my mamy prawa roota i pod warunkiem, ¿e katalog .ssh bêdzie mia³ mod 600. W ka¿dym innym przypadku proszê podaæ jak±¶ frazê (has³o szyfruj±ce klucz). Trzeba j± zapamiêtaæ, bo ka¿dorazowa próba u¿ycia klucza zacznie siê od pytania o tê frazê.

Teraz kopiujemy plik id_rsa.pub do katalogu domowego na host.moja.domena, np komend±:

 scp id_rsa.pub host.moja.domena:id_rsa_mydesktop.pub

zostaniemy poproszeni o podanie has³a i plik zostanie skopiowany. Teraz (mo¿e ju¿ po raz ostatni z has³em) logujemy siê na host.moja.domena:

 ssh host.moja.domena

podajemy has³o i kontynuujemy zadanie:

je¶li nie ma na naszym koncie domowym na host.moja.domena podkatalogu .ssh tworzymy go:

 host.moja.domena# mkdir .ssh
 host.moja.domena# chmod 700 .ssh
 host.moja.domena# cd .ssh

nastêpnie dopisujemy skopiowany wcze¶niej klucz do pliku authorized_keys:

 host.moja.domena# cat ../id_rsa.pub >> authorized_keys

je¶li pliku authorized_keys nie by³o w .ssh zostanie utworzony, je¶li plik by³, klucz zostanie dopisany jako nastêpna linia.

Upewniamy siê, ¿e nikt klucza nie podejrzy:

 host.moja.domena# chmod 600 authorized_keys

i ju¿!!! Kasujemy plik ~/id_rsa.pub na host.moja.domena i wylogowujemy siê.

Kolejna próba logowania z tego samego konta:

 ssh host.moja.domena

powinna udaæ siê bez konieczno¶ci podawania has³a!

Dla dociekliwych polecam link (z którego korzysta³em przygotowuj±c ten tekst):

http://www.securityfocus.com/infocus/1810

Powy¿sz± procedurê nale¿y wykonaæ na ka¿dym koncie z którego chcesz logowaæ siê na host.moja.domena (plik authorized_keys mo¿e zawieraæ wiele linii po jednym kluczu w ka¿dej), szczególnie jak administrator zapowiada zablokowanie logowania z has³em .

Edytuj