mysyslog.ru » ssh http://mysyslog.ru Всякая IT всячина Thu, 08 Jul 2010 13:51:16 +0000 http://wordpress.org/?v=2.8.5 en hourly 1 Использование аутентификации по публичному ключу в SSH. http://mysyslog.ru/posts/219 http://mysyslog.ru/posts/219#comments Mon, 21 Sep 2009 12:26:37 +0000 constantine.malov http://mysyslog.ru/?p=219 Вы когда-нибудь смотрели логи попыток аутентификации по ssh? Каждый день сотни ботов рыскают по интернету, пытаясь подобрать пароль и от вашего сервера. Вам не страшно? У вас пароль из двенадцати символов в разном регистре из букв, цифр и специальных символов? Думаю нет, и в один прекрасный день может оказаться, что ваш сервер уже не только ваш.
Есть простой способ оставить ботов с носом, достаточно использовать аутентификацию по публичному ключу.

Сперва нужно сгенерировать на клиентском компьютере (на компьютере с которого вы будете заходить по ssh на сервер) пару ключей (приватный и публичный ключи). Ключи должны быть в каталоге .ssh
cd ~/.ssh
$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/admin/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/admin/.ssh/id_rsa.
Your public key has been saved in /home/admin/.ssh/id_rsa.pub.
The key fingerprint is:
45:de:04:26:59:4f:11:a3:43:d3:d6:a4:82:84:dc:1c admin@it-computer01

Лучше поменять права на файл, так чтобы его нельзя было перезаписать:
$ chmod 400 id_rsa
Теперь нужно поместить публичный ключ на сервер, можно это сделать «руками», т. е. скопировать в буфер публичный ключ, зайти на сервер и добавить редактором в ~/.ssh/authorized_keys нужные строчки. А можно воспользоваться утилитой ssh-copy-id:
$ ssh-copy-id -i id_rsa.pub admin@server1.domain.ru
ssh-copy-id не только корректно скопирует ключ, но и проверит права на файл, его владельца, а так же вы копируете именно публичный ключ, а не приватный по ошибке.

При генерации пары ключей ssh-keygen запросит у вас пароль, его можно оставить пустым. Это конечно удобно, заход на сервер будет производиться без каких либо вопросов, но нужно помнить, если ваши ключи будут украдены, ничто не помешает злоумышленнику ими воспользоваться.

]]> http://mysyslog.ru/posts/219/feed 0