Generování klíčů SSH na macOS Sierra (10.12) a High Sierra (10.13)

Tento tutoriál vám ukáže, jak vygenerovat a zabezpečit klíče SSH na macOS Sierra (10.12) a macOS High Sierra (10.13). SSH klíče vám umožňují přihlásit se k vašemu serveru bez hesla. Zvyšují pohodlí i bezpečnost tím, že jsou výrazně odolnější vůči útokům hrubou silou.

SSH (Secure Shell) je protokol nejčastěji používaný pro vzdálenou správu a přenos souborů často označovaný jako sFTP (Secure File Transfer Protocol). Při přístupu na vzdálený server, jako je Vultr VPS, se doporučuje použít SSH s PKE (Public Key Exchange), který používá pár klíčů, kde je veřejný klíč poskytnut serveru a soukromý klíč je uložen na vašem počítači.

Klíče SSH lze automaticky přidat na servery během procesu instalace přidáním veřejných klíčů do ovládacího panelu Vultr. Své klíče SSH můžete spravovat na této stránce . Je důležité si uvědomit, že se jedná pouze o vaše veřejné klíče (obvykle označené .pub), nikdy byste neměli odhalovat své soukromé klíče.

Typy klíčů

Existuje několik různých typů klíčů, které lze vybrat. Použijte -targument při generování, například ssh-keygen -t ed25519. Typ klíče ED25519, který používá podpis eliptické křivky, je bezpečnější a výkonnější než DSA nebo ECDSA. Většina moderního softwaru SSH (jako je OpenSSH od verze 6.5) podporuje typ klíče ED25519, ale stále můžete najít software, který je nekompatibilní, takže výchozí typ klíče je stále RSA.

Výchozí typ klíče je 2048bitový RSA, který nabízí dobré zabezpečení a kompatibilitu. Pro vyšší zabezpečení můžete zvolit větší velikost klíče pomocí -bargumentu o generování, například ssh-keygen -b 4096vytvořit 4096bitový pár klíčů RSA.

Generování klíčů

Chcete-li vygenerovat klíč SSH, budete jej muset otevřít Terminal.appv části „Aplikace > Nástroje > Terminál“.

Chcete-li vytvořit 4096bitový pár klíčů RSA, zadejte:

ssh-keygen -b 4096

Pak uvidíte:

Generating public/private rsa key pair.
Enter file in which to save the key (/Users/username/.ssh/id_rsa): 

Stisknutím klávesy Enter/Return uložíte nový pár klíčů do tohoto výchozího umístění, což je doporučeno. Poté budete mít možnost vytvořit přístupovou frázi, která zašifruje klíč, aby jej nebylo možné bez autorizace použít. Doporučuje se také použít přístupovou frázi.

Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in id_rsa.   
Your public key has been saved in id_rsa.pub.   
The key fingerprint is:
SHA256:0irBXp+xKwT5e0ZFklbEVkzxu0Bzv9PmvstFD5w6zlQ [email protected]   
The key's randomart image is: 
+---[RSA 4096]----+
|         =o++.   |
|        + + ..   |
|     . . +  o o  |
|   .o  .  .. + + |
|    ooo S.  . E o|
|   . oo+.+   + ++|
|    o..o+   + .o=|
|     .o o. + ..oo|
|       +.   o  ==|
+----[SHA256]-----+

V tomto okamžiku byl váš pár klíčů vytvořen a uložen do ~/.ssh/id_rsa. Abychom zpřístupnili klíč systému a uložili heslo do systémové klíčenky, budeme muset provést několik dalších kroků. Všimněte si, že to je potřeba pouze v případě, že nechcete být vyzváni k zadání hesla při každém jeho použití.

Přidejte nový klíčový pár do agenta SSH

Zadejte ssh-add -K ~/.ssh/id_rsa. Poté budete vyzváni k zadání přístupové fráze a uvidíte následující:

Identity added: id_rsa ([email protected])

Pokud byste chtěli tento klíč SSH použít k přihlášení na server, který již byl vytvořen, můžete tento ssh-copy-idnástroj použít k uložení veřejného klíče na serveru, ke kterému chcete přistupovat.

Přidejte nový klíč na vzdálený server

Použití ssh-copy-id:

# Substitute your server IP
ssh-copy-id -i ~/.ssh/id_rsa [email protected]

Konzole si vyžádá vaše přihlašovací heslo, protože vzdálený server ještě nezná váš klíč. Uvidíte následující:

/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "id_rsa.pub"

Number of key(s) added:        1

Now try logging into the machine, with: "ssh '[email protected]'"
and check to make sure that only the key(s) you wanted were added.

Nyní se můžete pokusit přihlásit ke vzdálenému serveru pomocí ssh [email protected]a měli byste být připojeni bez výzvy k zadání hesla.