SSH-võtmete genereerimine macOS Sierras (10.12) ja High Sierras (10.13)

See õpetus näitab, kuidas luua ja kaitsta SSH-võtmeid macOS Sierras (10.12) ja macOS High Sierras (10.13). SSH-võtmed võimaldavad teil oma serverisse sisse logida ilma paroolita. Need suurendavad mugavust ja turvalisust, olles oluliselt vastupidavamad toore jõu rünnakutele.

SSH (Secure Shell) on protokoll, mida kasutatakse kõige sagedamini kaughalduseks ja failiedastuseks, mida sageli nimetatakse sFTP-ks (Secure File Transfer Protocol). Kaugserverile (nt Vultr VPS) juurde pääsedes on soovitatav kasutada SSH-d koos PKE-ga (Public Key Exchange), mis kasutab võtmepaari, kus avalik võti antakse serverile ja privaatne võti on salvestatud teie arvutisse.

SSH-võtmeid saab installiprotsessi ajal automaatselt serveritesse lisada, lisades oma avalikud võtmed Vultri juhtpaneelile. Sellel lehel saate hallata oma SSH-võtmeid . Oluline on meeles pidada, et need on ainult teie avalikud võtmed (tavaliselt tähistatud tähisega .pub), te ei tohiks kunagi oma privaatvõtmeid paljastada.

Võtmetüübid

Valida saab mitut erinevat võtmetüüpi. Kasutage -tgenereerimise järel argumenti, näiteks ssh-keygen -t ed25519. ED25519 võtmetüüp, mis kasutab elliptilise kõvera signatuuri, on turvalisem ja tõhusam kui DSA või ECDSA. Enamik kaasaegseid SSH-tarkvarasid (näiteks OpenSSH alates versioonist 6.5) toetab võtmetüüpi ED25519, kuid võite siiski leida tarkvara, mis ei ühildu, seega on vaikevõtme tüüp endiselt RSA.

Vaikimisi võtmetüüp on 2048-bitine RSA, mis pakub head turvalisust ja ühilduvust. Suurema turvalisuse tagamiseks saate -bgenereerimise argumendi abil valida suurema võtme suuruse , näiteks ssh-keygen -b 40964096-bitise RSA-võtmepaari loomiseks.

Võtme genereerimine

SSH-võtme loomiseks peate avama Terminal.appjaotises "Rakendused> Utiliidid> Terminal".

4096-bitise RSA-võtmepaari loomiseks sisestage:

ssh-keygen -b 4096

Siis näete:

Generating public/private rsa key pair.
Enter file in which to save the key (/Users/username/.ssh/id_rsa): 

Enter/Return vajutamine salvestab teie uue võtmepaari sellesse vaikeasukohta, mis on soovitatav. Seejärel saate luua parooli, mis krüpteerib võtme nii, et seda ei saaks ilma loata kasutada. Soovitatav on kasutada ka parooli.

Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in id_rsa.   
Your public key has been saved in id_rsa.pub.   
The key fingerprint is:
SHA256:0irBXp+xKwT5e0ZFklbEVkzxu0Bzv9PmvstFD5w6zlQ [email protected]   
The key's randomart image is: 
+---[RSA 4096]----+
|         =o++.   |
|        + + ..   |
|     . . +  o o  |
|   .o  .  .. + + |
|    ooo S.  . E o|
|   . oo+.+   + ++|
|    o..o+   + .o=|
|     .o o. + ..oo|
|       +.   o  ==|
+----[SHA256]-----+

Praeguseks on teie võtmepaar loodud ja salvestatud ~/.ssh/id_rsa. Võtme süsteemile kättesaadavaks tegemiseks ja parooli salvestamiseks süsteemi võtmehoidjasse peame tegema mitu täiendavat sammu. Pange tähele, et seda on vaja ainult siis, kui soovite, et teil ei küsitaks võtme parooli iga kord, kui seda kasutatakse.

Lisage SSH-agendile uus võtmepaar

Sisestage ssh-add -K ~/.ssh/id_rsa. Seejärel küsitakse teilt parooli ja näete järgmist.

Identity added: id_rsa ([email protected])

Kui soovite seda SSH-võtit kasutada juba loodud serverisse sisselogimiseks, saate selle ssh-copy-idtööriista abil salvestada avaliku võtme serverisse, millele soovite juurde pääseda.

Lisa kaugserverisse uus võti

Kasutades ssh-copy-id:

# Substitute your server IP
ssh-copy-id -i ~/.ssh/id_rsa [email protected]

Konsool küsib teie sisselogimisparooli, kuna kaugserver ei ole teie võtmest veel teadlik. Näete järgmist.

/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "id_rsa.pub"

Number of key(s) added:        1

Now try logging into the machine, with: "ssh '[email protected]'"
and check to make sure that only the key(s) you wanted were added.

Nüüd saate proovida kaugserverisse sisse logida ssh [email protected]ja peaksite olema ühenduses ilma parooli küsimata.