Генериране на SSH ключове на macOS Sierra (10.12) и High Sierra (10.13)

Този урок ще ви покаже как да генерирате и защитите SSH ключове на macOS Sierra (10.12) и macOS High Sierra (10.13). SSH ключовете ви позволяват да влезете в сървъра си без парола. Те повишават удобството, както и сигурността, като са значително по-устойчиви на атаки с груба сила.

SSH (Secure Shell) е протокол, който най-често се използва за дистанционно управление и за прехвърляне на файлове, често обозначаван като sFTP (Secure File Transfer Protocol). При достъп до отдалечен сървър, като Vultr VPS, се препоръчва да използвате SSH с PKE (Обмен на публичен ключ), който използва двойка ключове, където публичният ключ се предоставя на сървъра, а частният ключ се съхранява на вашата машина.

SSH ключовете могат да се добавят автоматично към сървърите по време на инсталационния процес, като добавите вашите публични ключове в контролния панел на Vultr. Можете да управлявате вашите SSH ключове на тази страница . Важно е да запомните, че това са само вашите публични ключове (обикновено обозначавани с .pub), никога не трябва да излагате личните си ключове.

Типове ключове

Има няколко различни типа ключове, които могат да бъдат избрани. Използвайте -tаргумента при генериране, като ssh-keygen -t ed25519. Типът ключ ED25519, който използва подпис с елиптична крива, е по-сигурен и по-ефективен от DSA или ECDSA. Повечето съвременни SSH софтуери (като OpenSSH от версия 6.5) поддържат типа ключ ED25519, но все пак може да намерите софтуер, който е несъвместим, така че типът ключ по подразбиране все още е RSA.

Типът ключ по подразбиране е 2048-битов RSA, който предлага добра сигурност и съвместимост. За по-висока сигурност можете да изберете по-голям размер на ключ, като използвате -bаргумента при генериране, като например ssh-keygen -b 4096да създадете 4096-битова двойка ключове RSA.

Генериране на ключове

За да генерирате SSH ключ, ще трябва да отворите Terminal.appв "Приложения> Помощни програми> Терминал".

За да създадете 4096-битова двойка ключове RSA, въведете:

ssh-keygen -b 4096

Тогава ще видите:

Generating public/private rsa key pair.
Enter file in which to save the key (/Users/username/.ssh/id_rsa): 

Натискането на Enter/Return ще запази новата ви двойка ключове на това местоположение по подразбиране, което се препоръчва. След това ще имате възможност да създадете парола, която ще криптира ключа, така че да не може да се използва без разрешение. Използването на пропуск също се препоръчва.

Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in id_rsa.   
Your public key has been saved in id_rsa.pub.   
The key fingerprint is:
SHA256:0irBXp+xKwT5e0ZFklbEVkzxu0Bzv9PmvstFD5w6zlQ [email protected]   
The key's randomart image is: 
+---[RSA 4096]----+
|         =o++.   |
|        + + ..   |
|     . . +  o o  |
|   .o  .  .. + + |
|    ooo S.  . E o|
|   . oo+.+   + ++|
|    o..o+   + .o=|
|     .o o. + ..oo|
|       +.   o  ==|
+----[SHA256]-----+

В този момент вашата двойка ключове е създадена и съхранена в ~/.ssh/id_rsa. За да направим ключа достъпен за системата и да запазим паролата в системния ключодържател, ще трябва да изпълним няколко допълнителни стъпки. Имайте предвид, че това е необходимо само ако предпочитате да не бъдете подканени за ключовия парол всеки път, когато се използва.

Добавете нова двойка ключове към SSH агент

Въведете ssh-add -K ~/.ssh/id_rsa. След това ще бъдете подканени за паролата и ще видите следното:

Identity added: id_rsa ([email protected])

Ако искате да използвате този SSH ключ, за да влезете в сървър, който вече е създаден, можете да използвате ssh-copy-idинструмента, за да съхранявате публичния ключ на сървъра, до който искате да получите достъп.

Добавете нов ключ към отдалечения сървър

Използвайки ssh-copy-id:

# Substitute your server IP
ssh-copy-id -i ~/.ssh/id_rsa [email protected]

Конзолата ще поиска вашата парола за влизане, тъй като отдалеченият сървър все още не е наясно с вашия ключ. Ще видите следното:

/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "id_rsa.pub"

Number of key(s) added:        1

Now try logging into the machine, with: "ssh '[email protected]'"
and check to make sure that only the key(s) you wanted were added.

Вече можете да опитате да влезете в отдалечения сървър с ssh [email protected]и трябва да сте свързани без подкана за парола.