SSH-avaimien luominen macOS Sierrassa (10.12) ja High Sierrassa (10.13)

Tämä opetusohjelma näyttää, kuinka voit luoda ja suojata SSH-avaimia macOS Sierrassa (10.12) ja macOS High Sierrassa (10.13). SSH-avainten avulla voit kirjautua sisään palvelimellesi ilman salasanaa. Ne lisäävät käyttömukavuutta ja turvallisuutta olemalla huomattavasti kestävämpiä raakoja hyökkäyksiä vastaan.

SSH (Secure Shell) on protokolla, jota käytetään useimmiten etähallintaan ja tiedostojen siirtoon, jota usein kutsutaan nimellä sFTP (Secure File Transfer Protocol). Kun käytät etäpalvelinta, kuten Vultr VPS:ää, on suositeltavaa käyttää SSH:ta ja PKE:tä (Public Key Exchange), joka käyttää avainparia, jossa julkinen avain toimitetaan palvelimelle ja yksityinen avain on tallennettu koneellesi.

SSH-avaimet voidaan lisätä automaattisesti palvelimille asennuksen aikana lisäämällä julkiset avaimesi Vultr-ohjauspaneeliin. Voit hallita SSH-avaimia tällä sivulla . On tärkeää muistaa, että nämä ovat vain julkisia avaimesi (yleensä merkitty -merkillä .pub), sinun ei tule koskaan paljastaa yksityisiä avaimiasi.

Avaintyypit

Valittavissa on useita erilaisia ​​avaintyyppejä. Käytä -targumenttia sukupolven jälkeen, kuten ssh-keygen -t ed25519. ED25519-avaintyyppi, joka käyttää elliptistä käyrää, on turvallisempi ja tehokkaampi kuin DSA tai ECDSA. Useimmat nykyaikaiset SSH-ohjelmistot (kuten OpenSSH versiosta 6.5 lähtien) tukevat ED25519-avaintyyppiä, mutta saatat silti löytää ohjelmistoja, jotka eivät ole yhteensopivia, joten oletusavaintyyppi on edelleen RSA.

Oletusavaintyyppi on 2048-bittinen RSA, joka tarjoaa hyvän suojan ja yhteensopivuuden. Turvallisuuden parantamiseksi voit valita suuremman avaimen koon -bgeneroinnin argumentin avulla, esimerkiksi ssh-keygen -b 4096luodaksesi 4096-bittisen RSA-avainparin.

Avaimen sukupolvi

SSH-avaimen luomiseksi sinun on avattava Terminal.app"Sovellukset> Apuohjelmat> Pääte"-kohta.

Luo 4096-bittinen RSA-avainpari kirjoittamalla:

ssh-keygen -b 4096

Sitten näet:

Generating public/private rsa key pair.
Enter file in which to save the key (/Users/username/.ssh/id_rsa): 

Enter/Return- näppäimen painaminen tallentaa uuden avainparisi tähän oletussijaintiin, mikä on suositeltavaa. Tämän jälkeen sinulla on mahdollisuus luoda tunnuslause, joka salaa avaimen, jotta sitä ei voida käyttää ilman lupaa. Myös tunnuslauseen käyttö on suositeltavaa.

Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in id_rsa.   
Your public key has been saved in id_rsa.pub.   
The key fingerprint is:
SHA256:0irBXp+xKwT5e0ZFklbEVkzxu0Bzv9PmvstFD5w6zlQ [email protected]   
The key's randomart image is: 
+---[RSA 4096]----+
|         =o++.   |
|        + + ..   |
|     . . +  o o  |
|   .o  .  .. + + |
|    ooo S.  . E o|
|   . oo+.+   + ++|
|    o..o+   + .o=|
|     .o o. + ..oo|
|       +.   o  ==|
+----[SHA256]-----+

Tässä vaiheessa avainparisi on luotu ja tallennettu kansioon ~/.ssh/id_rsa. Jotta avain saataisiin järjestelmän käyttöön ja tunnuslause voidaan tallentaa järjestelmän avainnippuun, meidän on suoritettava useita lisävaiheita. Huomaa, että tätä tarvitaan vain, jos et halua kysyä avaimen salasanaa joka kerta, kun sitä käytetään.

Lisää uusi avainpari SSH-agenttiin

Syötä ssh-add -K ~/.ssh/id_rsa. Sen jälkeen sinua pyydetään antamaan tunnuslause ja näet seuraavan:

Identity added: id_rsa ([email protected])

Jos haluat kirjautua tällä SSH-avaimella jo luodulle palvelimelle, voit käyttää ssh-copy-idtyökalua tallentaaksesi julkisen avaimen palvelimelle, jota haluat käyttää.

Lisää uusi avain etäpalvelimeen

Käyttää ssh-copy-id:

# Substitute your server IP
ssh-copy-id -i ~/.ssh/id_rsa [email protected]

Konsoli pyytää kirjautumissalasanasi, koska etäpalvelin ei ole vielä tietoinen avaimestasi. Näet seuraavat asiat:

/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "id_rsa.pub"

Number of key(s) added:        1

Now try logging into the machine, with: "ssh '[email protected]'"
and check to make sure that only the key(s) you wanted were added.

Voit nyt yrittää kirjautua sisään etäpalvelimelle ssh [email protected]ja sinun pitäisi muodostaa yhteys ilman salasanakehotetta.