Generovanie kľúčov SSH v systémoch macOS Sierra (10.12) a High Sierra (10.13)

Tento tutoriál vám ukáže, ako vygenerovať a zabezpečiť kľúče SSH v systémoch macOS Sierra (10.12) a macOS High Sierra (10.13). SSH kľúče vám umožňujú prihlásiť sa na váš server bez hesla. Zvyšujú pohodlie aj bezpečnosť tým, že sú výrazne odolnejšie voči útokom hrubou silou.

SSH (Secure Shell) je protokol najčastejšie používaný na vzdialenú správu a prenos súborov často označovaný ako sFTP (Secure File Transfer Protocol). Pri prístupe na vzdialený server, ako je Vultr VPS, sa odporúča použiť SSH s PKE (Public Key Exchange), ktorý používa pár kľúčov, kde sa verejný kľúč poskytuje serveru a súkromný kľúč je uložený na vašom počítači.

Kľúče SSH možno automaticky pridať na servery počas procesu inštalácie pridaním verejných kľúčov do ovládacieho panela Vultr. Na tejto stránke môžete spravovať svoje kľúče SSH . Je dôležité si zapamätať, že toto sú len vaše verejné kľúče (zvyčajne označené .pub), nikdy by ste nemali odhaľovať svoje súkromné ​​kľúče.

Typy kľúčov

Je možné vybrať niekoľko rôznych typov kľúčov. Použite -targument pri generovaní, ako napríklad ssh-keygen -t ed25519. Typ kľúča ED25519, ktorý používa podpis eliptickej krivky, je bezpečnejší a výkonnejší ako DSA alebo ECDSA. Väčšina moderného softvéru SSH (napríklad OpenSSH od verzie 6.5) podporuje typ kľúča ED25519, ale stále môžete nájsť softvér, ktorý je nekompatibilný, takže predvoleným typom kľúča je stále RSA.

Predvolený typ kľúča je 2048-bitový RSA, ktorý ponúka dobrú bezpečnosť a kompatibilitu. Pre vyššiu bezpečnosť si môžete vybrať väčšiu veľkosť kľúča pomocou -bargumentu o generovaní, napríklad ssh-keygen -b 4096vytvoriť 4096-bitový kľúčový pár RSA.

Generovanie kľúčov

Ak chcete vygenerovať kľúč SSH, musíte ho otvoriť Terminal.appv časti „Aplikácie > Pomôcky > Terminál“.

Ak chcete vytvoriť 4096-bitový pár kľúčov RSA, zadajte:

ssh-keygen -b 4096

Potom uvidíte:

Generating public/private rsa key pair.
Enter file in which to save the key (/Users/username/.ssh/id_rsa): 

Stlačením klávesu Enter/Return uložíte nový pár kľúčov do tohto predvoleného umiestnenia, čo sa odporúča. Potom budete mať možnosť vytvoriť prístupovú frázu, ktorá zašifruje kľúč, aby ho nebolo možné použiť bez autorizácie. Odporúča sa tiež použiť prístupovú frázu.

Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in id_rsa.   
Your public key has been saved in id_rsa.pub.   
The key fingerprint is:
SHA256:0irBXp+xKwT5e0ZFklbEVkzxu0Bzv9PmvstFD5w6zlQ [email protected]   
The key's randomart image is: 
+---[RSA 4096]----+
|         =o++.   |
|        + + ..   |
|     . . +  o o  |
|   .o  .  .. + + |
|    ooo S.  . E o|
|   . oo+.+   + ++|
|    o..o+   + .o=|
|     .o o. + ..oo|
|       +.   o  ==|
+----[SHA256]-----+

V tomto bode bol váš pár kľúčov vytvorený a uložený v ~/.ssh/id_rsa. Na sprístupnenie kľúča systému a uloženie prístupovej frázy do systémovej kľúčenky budeme musieť vykonať niekoľko dodatočných krokov. Všimnite si, že je to potrebné iba vtedy, ak nechcete byť požiadaní o heslo pri každom jeho použití.

Pridajte nový pár kľúčov k agentovi SSH

Zadajte ssh-add -K ~/.ssh/id_rsa. Potom budete vyzvaní na zadanie prístupovej frázy a uvidíte nasledovné:

Identity added: id_rsa ([email protected])

Ak by ste chceli použiť tento kľúč SSH na prihlásenie na server, ktorý už bol vytvorený, môžete použiť ssh-copy-idnástroj na uloženie verejného kľúča na server, ku ktorému chcete pristupovať.

Pridajte nový kľúč na vzdialený server

Použitie ssh-copy-id:

# Substitute your server IP
ssh-copy-id -i ~/.ssh/id_rsa [email protected]

Konzola si vyžiada vaše prihlasovacie heslo, pretože vzdialený server ešte nepozná váš kľúč. Uvidíte nasledovné:

/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "id_rsa.pub"

Number of key(s) added:        1

Now try logging into the machine, with: "ssh '[email protected]'"
and check to make sure that only the key(s) you wanted were added.

Teraz sa môžete pokúsiť prihlásiť na vzdialený server pomocou ssh [email protected]a mali by ste byť pripojení bez výzvy na zadanie hesla.