Введение
Secure Shell (SSH) — это криптографический сетевой протокол, используемый для безопасного соединения между клиентом и сервером и поддерживающий различные механизмы аутентификации.
Двумя наиболее популярными механизмами являются аутентификация на основе пароля и аутентификация на основе открытого ключа. Использование ключей SSH более безопасно и удобно, чем традиционная аутентификация по паролю.
В этом руководстве объясняется, как создавать ключи SSH в Windows с помощью PuTTYgen. Мы также покажем вам, как настроить аутентификацию на основе ключей SSH и подключиться к вашим удаленным серверам Linux без ввода пароля.
Скачать PuTTYgen
PuTTYgen — это утилита с открытым исходным кодом, которая позволяет генерировать SSH-ключи для самого популярного SSH-клиента Windows PuTTY.
PuTTYgen доступен как отдельный исполняемый файл, а также является частью установочного пакета PuTTY.msi. Если вы не установили PuTTYgen, перейдите на страницу загрузки PuTTY и загрузите установочный пакет PuTTY. Установка проста, дважды щелкните установочный пакет и следуйте инструкциям.
Создание ключей SSH с помощью PuTTYgen
Чтобы сгенерировать пару ключей SSH в Windows с помощью PuTTYgen, выполните следующие действия.
Запустите инструмент PuTTYgen, дважды щелкнув его .exe -файл или перейдя в меню « Пуск» Windows → PuTTY (64-разрядная версия) → PuTTYgen.
В поле «Тип генерируемого ключа» оставьте RSA по умолчанию. «Количество битов в сгенерированном ключе», 2048, достаточно для большинства людей. Кроме того, вы можете изменить его на 4096.
Нажмите кнопку « Создать », чтобы начать процесс создания новой пары ключей.
Вам будет предложено навести указатель мыши на пустую область раздела «Ключ», чтобы сгенерировать случайность. По мере перемещения указателя зеленый индикатор прогресса продвигается вперед. Процесс должен занять несколько секунд.
При желании, если вы хотите использовать парольную фразу, введите ее в поле «Ключевая фраза-пароль» и подтвердите ту же фразу-пароль в поле «Подтвердить фразу-пароль». Если вы решите использовать кодовую фразу, вы получите дополнительный уровень безопасности, защитив закрытый ключ от несанкционированного использования.
Если вы установите парольную фразу, вам нужно будет вводить парольную фразу каждый раз, когда используется закрытый ключ.
Сохраните закрытый ключ, нажав кнопку «Сохранить закрытый ключ». Вы можете сохранить файл в любом каталоге, используя расширение.ppk (PuTTY Private Key), но рекомендуется сохранять его в месте, где его легко найти. Обычно для файла закрытого ключа используется описательное имя.
При желании вы также можете сохранить открытый ключ, хотя позже его можно будет сгенерировать повторно, загрузив закрытый ключ.
Щелкните правой кнопкой мыши текстовое поле «Открытый ключ для вставки в файл author_keys OpenSSH» и выберите все символы, нажав «Выбрать все». Откройте текстовый редактор, вставьте символы и сохраните его. Убедитесь, что вы приклеили весь ключ. Рекомендуется сохранить файл в том же каталоге, где был сохранен закрытый ключ, используя то же имя, что и закрытый ключ, и.txt или.pub в качестве расширения файла.
Это ключ, который вы добавите на свой сервер Linux.
Скопируйте открытый ключ на свой Linux-сервер.
Теперь, когда вы сгенерировали пару ключей SSH, следующим шагом будет копирование открытого ключа на сервер, которым вы хотите управлять.
Запустите программу PuTTY и войдите на удаленный сервер Linux.
Если каталог SSH пользователя не существует, создайте его с помощью команды mkdir и установите правильные разрешения:
mkdir -p ~/.sshchmod 0700 ~/.sshОткройте текстовый редактор и вставьте открытый ключ, созданный на предыдущем шаге, в ~/.ssh/authorized_keys:
nano ~/.ssh/authorized_keys
Весь текст открытого ключа должен быть на одной строке.
Запустите следующую команду chmod, чтобы убедиться, что только пользователь может читать и записывать ~/.ssh/authorized_keys:
chmod 0600 ~/.ssh/authorized_keys
Войдите на сервер, используя ключи SSH
Pageant — это агент аутентификации PuTTY SSH, который хранит закрытые ключи в памяти. Двоичный файл Pageant является частью установочного пакета.msi PuTTY, и его можно запустить, перейдя в меню « Пуск» Windows → PuTTY (64-разрядная версия) → Pageant.
Когда вы запустите Pageant, он поместит значок в системный трей. Дважды щелкните значок, и откроется окно Pageant.
Чтобы загрузить ключ, нажмите кнопку «Добавить ключ», после чего откроется диалоговое окно для нового файла. Найдите файл закрытого ключа и нажмите «Открыть». Если вы не установили парольную фразу, ключ загрузится немедленно. В противном случае вам будет предложено ввести парольную фразу.
Введите пароль, и Pageant загрузит закрытый ключ.
После выполнения вышеуказанных шагов вы сможете войти на удаленный сервер без запроса пароля.
Чтобы проверить это, откройте новый сеанс PuTTY SSH и попробуйте войти на свой сервер. PuTTY будет использовать загруженный ключ и войдет на сервер Linux без ввода пароля.
Отключить аутентификацию по паролю SSH
Чтобы добавить дополнительный уровень безопасности серверу, вы можете отключить аутентификацию по паролю для SSH.
Прежде чем отключать аутентификацию по паролю SSH, убедитесь, что вы можете войти на сервер без пароля, а пользователь, под которым вы входите, имеет привилегии sudo.
Войдите на свой удаленный сервер и откройте файл конфигурации SSH /etc/ssh/sshd_config с помощью текстового редактора:
sudo nano /etc/ssh/sshd_config
Найдите следующие директивы и измените их следующим образом:
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
После завершения сохраните файл и перезапустите службу SSH, набрав:
sudo systemctl restart ssh
На данный момент аутентификация на основе пароля отключена.
Вывод
В этом руководстве вы узнали, как сгенерировать новую пару ключей SSH и как настроить аутентификацию на основе ключей SSH. Вы можете добавить один и тот же ключ на несколько удаленных серверов. Мы также показали вам, как отключить аутентификацию по паролю SSH и добавить дополнительный уровень безопасности на ваш сервер.
