OpenNet статия - SSH сървър за разпознаване с помощта на клавишите (SSH удостоверяване Пам)
Превод: Sgibnev Михаил
OpenSSH освен паролите поддържа няколко различни начина за идентификация. Той може да бъде конфигуриран да използва методи PAM (за включване удостоверяване модули), протокол / отговор, Kerberos, аутентикация, доверени хостове и такива Екзотика като ключове X509. Но най-популярните е метод за самоличност / Pubkey.
Ето и някои от положителните аспекти на този вид удостоверяване:- Никой не може да влезете в сървъра с профила си, тъй като те трябва да имат частен ключ и парола.
- Администраторът на сървъра дори да премахнете паролата за него, за да се освободи от дискредитиране.
- Можете да използвате SSH-агент полезност, и ще предоставя информация за разпознаване за вас.
- Можете да зададете някои ограничения, като например забрана на пренасочване на порт, изпълнението на някои програми и т.н.
Създаване на идентичност / Pubkey
При първоначалното прилагане SSHv1 бихте могли да създадете идентичност, която е един чифт RSA публични и частни ключове. Форматът на тези ключови SSHv2 е бил променен, стоманени подкрепена RSA ключове и DSA, а това удостоверяване е преименуван Pubkey. В контекста на тази статия, тези означения ще бъдат използвани взаимозаменяемо, тъй като прилагане еднакви функции.
Използване на помощната програма за SSH-търсени ще се създадат необходимите бутони:Както можете да видите, SSH-търсени създава два файла: id_rsa и id_rsa.pub. В първия частен ключ се съхранява във файл, защитен с пропуск, който сте въвели при създаването, никой да не се рови в този файл. Вторият файл - Вашата публичния ключ, той не съдържа никакви тайни и могат да бъдат достъпни от всяка контра-кръст. В случай на загуба, че могат да бъдат възстановени от частния ключ.
Видове ключове за SSH
Когато създавате ключовете ви посочи -t опция RSA. Този параметър, ние посочете вида на клавиш, за да се създаде. Възможно е също така да се създаде rsa1 ключове, RSA или DSA. Обърнете внимание на разликите между тях:
Можете да промените името на файла, използвайки опцията -f за име на файла. Ако не укажете името на файла, ключовете ще се съхраняват в директорията $ HOME / .ssh / с името взето по подразбиране за този тип ключ.
Резолюция Идентичност / Pubkey удостоверяване на сървъра
След като сме създали ключовете, трябва да се даде възможност на вида на сървъра и удостоверяването SSH. На първо място, ние определяме типа на удостоверяване - Pubkey или лична, задайте следното в sshd_config:Проверете за наличността на тези редове в конфигурационния файл sshd_config (обикновено намиращи се в директорията / и т.н. / SSH /), добавете и рестартирайте услугата, ако е необходимо.
съдържание на authorized_keys файловите
authorized_keys файл съдържа списък с ключови думи, по една на ред. В него ние предписва ключ, генериран от нас в колата си.Изборът ключове
/.ssh/config дисплей индикация espolzuemogo ключ:парола за сигурност
Вашите лични ключове могат да бъдат криптирани и пропуск, тъй като тя предпазва вашия ключ не е засегната. Дори и ако сте задали съответните права за достъп, но не предпазва ключов пропуск, без никакви проблеми, ще могат да се възхищаваме си ключ корен. Така че не паднем на спирачките този случай.
authorized_keys2
По-старите версии на OpenSSH, използвайки два различни публичен ключ за достъп до сървъра - authorized_keys за идентичности (SSHv1) и authorized_keys2 за Pubkeys (SSHv2). По-късно е взето решение, че е глупаво и сега използва един файл за всички видове ключове, но без правилното ключът ще бъде проверена и authorized_keys2. По-късни версии на OpenSSH може и да спрат подкрепата authorized_keys2 всички.
Не е да се мисли за това ограничение, създаване на твърда връзка към authorized_keys2 authorized_keys файл.