Генерисање ССХ кључева на мацОС Сиерра (10.12) и Хигх Сиерра (10.13)

Овај водич ће вам показати како да генеришете и обезбедите ССХ кључеве на мацОС Сиерра (10.12) и мацОС Хигх Сиерра (10.13). ССХ кључеви вам омогућавају да се пријавите на свој сервер без лозинке. Они повећавају удобност као и сигурност јер су знатно отпорнији на нападе грубом силом.

ССХ (Сецуре Схелл) је протокол који се најчешће користи за даљинско управљање и за пренос датотека који се често означава као сФТП (Сецуре Филе Трансфер Протоцол). Када приступате удаљеном серверу као што је Вултр ВПС, препоручује се коришћење ССХ са ПКЕ-ом (размена јавних кључева) који користи пар кључева где се јавни кључ обезбеђује серверу, а приватни кључ чува на вашој машини.

ССХ кључеви се могу аутоматски додати на сервере током процеса инсталације додавањем ваших јавних кључева у Вултр контролну таблу. На овој страници можете управљати својим ССХ кључевима . Важно је запамтити да су ово само ваши јавни кључеви (обично означени са .pub), никада не би требало да излажете своје приватне кључеве.

Типови кључева

Постоји неколико различитих типова кључева који се могу изабрати. Користите -tаргумент по генерацији, као што је ssh-keygen -t ed25519. Тип кључа ЕД25519, који користи потпис елиптичке криве, је сигурнији и ефикаснији од ДСА или ЕЦДСА. Већина модерних ССХ софтвера (као што је ОпенССХ од верзије 6.5) подржава тип кључа ЕД25519, али и даље можете пронаћи софтвер који је некомпатибилан, тако да је подразумевани тип кључа и даље РСА.

Подразумевани тип кључа је 2048-битни РСА који нуди добру сигурност и компатибилност. За већу сигурност, можете одабрати већу величину кључа користећи -bаргумент приликом генерисања, као што ssh-keygen -b 4096је креирање 4096-битног РСА пара кључева.

Генерисање кључева

Да бисте генерисали ССХ кључ, мораћете да отворите Terminal.appу „Апликације > Услужни програми > Терминал“.

Да бисте креирали 4096-битни РСА пар кључева, унесите:

ssh-keygen -b 4096

Тада ћете видети:

Generating public/private rsa key pair.
Enter file in which to save the key (/Users/username/.ssh/id_rsa): 

Притиском на Ентер/Ретурн сачуваћете ваш нови пар кључева на овој подразумеваној локацији, што се препоручује. Тада ћете имати опцију да креирате приступну фразу, која ће шифровати кључ тако да се не може користити без овлашћења. Такође се препоручује коришћење приступне фразе.

Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in id_rsa.   
Your public key has been saved in id_rsa.pub.   
The key fingerprint is:
SHA256:0irBXp+xKwT5e0ZFklbEVkzxu0Bzv9PmvstFD5w6zlQ [email protected]   
The key's randomart image is: 
+---[RSA 4096]----+
|         =o++.   |
|        + + ..   |
|     . . +  o o  |
|   .o  .  .. + + |
|    ooo S.  . E o|
|   . oo+.+   + ++|
|    o..o+   + .o=|
|     .o o. + ..oo|
|       +.   o  ==|
+----[SHA256]-----+

У овом тренутку, ваш пар кључева је креиран и ускладиштен у ~/.ssh/id_rsa. Да бисмо кључ учинили доступним систему и сачували приступну фразу у системском привезку кључева, мораћемо да извршимо неколико додатних корака. Имајте на уму да је ово потребно само ако не желите да се од вас тражи кључна приступна фраза сваки пут када се користи.

Додајте нови пар кључева ССХ агенту

Ентер ssh-add -K ~/.ssh/id_rsa. Тада ће вам бити затражен приступни израз и видећете следеће:

Identity added: id_rsa ([email protected])

Ако желите да користите овај ССХ кључ за пријаву на сервер који је већ креиран, можете користити ssh-copy-idалат за складиштење јавног кључа на серверу којем желите да приступите.

Додајте нови кључ удаљеном серверу

Користећи ssh-copy-id:

# Substitute your server IP
ssh-copy-id -i ~/.ssh/id_rsa [email protected]

Конзола ће захтевати вашу лозинку за пријаву пошто удаљени сервер још увек није свестан вашег кључа. Видећете следеће:

/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "id_rsa.pub"

Number of key(s) added:        1

Now try logging into the machine, with: "ssh '[email protected]'"
and check to make sure that only the key(s) you wanted were added.

Сада можете покушати да се пријавите на удаљени сервер помоћу ssh [email protected]и требало би да будете повезани без упита за лозинку.