SSH raktų generavimas „macOS Sierra“ (10.12) ir „High Sierra“ (10.13)

Šioje pamokoje bus parodyta, kaip generuoti ir apsaugoti SSH raktus „macOS Sierra“ (10.12) ir „macOS High Sierra“ (10.13). SSH raktai leidžia prisijungti prie serverio be slaptažodžio. Jie padidina patogumą ir saugumą, nes yra žymiai atsparesni brutalios jėgos atakoms.

SSH (Secure Shell) yra protokolas, dažniausiai naudojamas nuotoliniam valdymui ir failų perdavimui, dažnai vadinamas sFTP (saugaus failų perdavimo protokolu). Kai pasiekiate nuotolinį serverį, pvz., Vultr VPS, rekomenduojama naudoti SSH su PKE (viešųjų raktų mainai), kuri naudoja raktų porą, kurioje viešasis raktas pateikiamas serveriui, o privatus raktas saugomas jūsų kompiuteryje.

SSH raktai gali būti automatiškai pridedami prie serverių diegimo proceso metu, pridedant viešuosius raktus Vultr valdymo skydelyje. Šiame puslapyje galite tvarkyti savo SSH raktus . Svarbu atsiminti, kad tai tik jūsų viešieji raktai (paprastai žymimi .pub), niekada neturėtumėte atskleisti savo privačių raktų.

Raktų tipai

Galima pasirinkti kelis skirtingus raktų tipus. Naudokite -targumentą kartodami, pvz., ssh-keygen -t ed25519. ED25519 rakto tipas, kuriame naudojamas elipsinės kreivės parašas, yra saugesnis ir našesnis nei DSA arba ECDSA. Dauguma šiuolaikinių SSH programinės įrangos (pvz., OpenSSH nuo 6.5 versijos) palaiko ED25519 rakto tipą, tačiau vis tiek galite rasti nesuderinamos programinės įrangos, todėl numatytasis rakto tipas vis dar yra RSA.

Numatytasis rakto tipas yra 2048 bitų RSA, kuris užtikrina gerą saugumą ir suderinamumą. Norėdami užtikrinti didesnį saugumą, galite pasirinkti didesnį rakto dydį naudodami -bgeneravimo argumentą, pvz., ssh-keygen -b 4096sukurti 4096 bitų RSA raktų porą.

Raktų generavimas

Norėdami sugeneruoti SSH raktą, turėsite atidaryti Terminal.appjį „Programos > Priemonės > Terminalas“.

Norėdami sukurti 4096 bitų RSA raktų porą, įveskite:

ssh-keygen -b 4096

Tada pamatysite:

Generating public/private rsa key pair.
Enter file in which to save the key (/Users/username/.ssh/id_rsa): 

Paspaudus Enter/Return naujoji raktų pora bus išsaugota šioje numatytoje vietoje, o tai rekomenduojama. Tada turėsite galimybę sukurti slaptafrazę, kuri užšifruos raktą, kad jo nebūtų galima naudoti be leidimo. Taip pat rekomenduojama naudoti slaptafrazę.

Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in id_rsa.   
Your public key has been saved in id_rsa.pub.   
The key fingerprint is:
SHA256:0irBXp+xKwT5e0ZFklbEVkzxu0Bzv9PmvstFD5w6zlQ [email protected]   
The key's randomart image is: 
+---[RSA 4096]----+
|         =o++.   |
|        + + ..   |
|     . . +  o o  |
|   .o  .  .. + + |
|    ooo S.  . E o|
|   . oo+.+   + ++|
|    o..o+   + .o=|
|     .o o. + ..oo|
|       +.   o  ==|
+----[SHA256]-----+

Šiuo metu jūsų klavišų pora buvo sukurta ir išsaugota ~/.ssh/id_rsa. Kad raktas būtų pasiekiamas sistemai ir slaptafrazę išsaugotume sistemos raktų grandinėje, turėsime atlikti kelis papildomus veiksmus. Atminkite, kad tai reikalinga tik tuo atveju, jei nenorite, kad kiekvieną kartą ją naudojant būtų prašoma įvesti rakto slaptafrazę.

Pridėti naują raktų porą prie SSH agento

Įveskite ssh-add -K ~/.ssh/id_rsa. Tada būsite paraginti įvesti slaptafrazę ir pamatysite:

Identity added: id_rsa ([email protected])

Jei norite naudoti šį SSH raktą prisijungdami prie jau sukurto serverio, galite naudoti ssh-copy-idįrankį viešajam raktui saugoti serveryje, kurį norite pasiekti.

Pridėkite naują raktą prie nuotolinio serverio

Naudojant ssh-copy-id:

# Substitute your server IP
ssh-copy-id -i ~/.ssh/id_rsa [email protected]

Konsolė paprašys jūsų prisijungimo slaptažodžio, nes nuotolinis serveris dar nežino jūsų rakto. Pamatysite:

/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "id_rsa.pub"

Number of key(s) added:        1

Now try logging into the machine, with: "ssh '[email protected]'"
and check to make sure that only the key(s) you wanted were added.

Dabar galite bandyti prisijungti prie nuotolinio serverio naudodami ssh [email protected]ir turėtumėte prisijungti be slaptažodžio raginimo.