Створення ключів SSH в macOS Sierra (10.12) і High Sierra (10.13)

Цей підручник покаже вам, як створити та захистити ключі SSH в macOS Sierra (10.12) і macOS High Sierra (10.13). Ключі SSH дозволяють увійти на сервер без пароля. Вони підвищують зручність, а також безпеку, будучи значно більш стійкими до атак грубої сили.

SSH (Secure Shell) — це протокол, який найчастіше використовується для віддаленого керування та передачі файлів, який часто позначають як sFTP (Secure File Transfer Protocol). Під час доступу до віддаленого сервера, такого як Vultr VPS, рекомендується використовувати SSH з PKE (обмін відкритими ключами), який використовує пару ключів, де відкритий ключ надається серверу, а приватний ключ зберігається на вашому комп’ютері.

Ключі SSH можна автоматично додавати на сервери під час інсталяції, додавши ваші відкриті ключі в панель керування Vultr. Ви можете керувати своїми ключами SSH на цій сторінці . Важливо пам’ятати, що це лише ваші відкриті ключі (зазвичай позначаються .pub), ви ніколи не повинні розкривати свої закриті ключі.

Типи ключів

Можна вибрати кілька різних типів ключів. Використовуйте -tаргумент при генерації, наприклад ssh-keygen -t ed25519. Тип ключа ED25519, який використовує сигнатуру еліптичної кривої, є більш безпечним і ефективнішим, ніж DSA або ECDSA. Більшість сучасного програмного забезпечення SSH (наприклад, OpenSSH з версії 6.5) підтримує тип ключа ED25519, але ви все одно можете знайти програмне забезпечення, яке є несумісним, тому типом ключа за замовчуванням все ще є RSA.

Тип ключа за замовчуванням — 2048-бітний RSA, що забезпечує хорошу безпеку та сумісність. Для підвищення безпеки ви можете вибрати більший розмір ключа, використовуючи -bаргумент під час генерації, наприклад, ssh-keygen -b 4096створити 4096-бітну пару ключів RSA.

Генерація ключів

Щоб згенерувати ключ SSH, вам потрібно відкрити Terminal.appв «Програми > Утиліти > Термінал».

Щоб створити 4096-бітну пару ключів RSA, введіть:

ssh-keygen -b 4096

Тоді ви побачите:

Generating public/private rsa key pair.
Enter file in which to save the key (/Users/username/.ssh/id_rsa): 

Натискання клавіші Enter/Return збереже вашу нову пару ключів у цьому місці за замовчуванням, що рекомендується. Після цього у вас буде можливість створити парольну фразу, яка зашифрує ключ, щоб його не можна було використовувати без авторизації. Також рекомендується використовувати парольну фразу.

Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in id_rsa.   
Your public key has been saved in id_rsa.pub.   
The key fingerprint is:
SHA256:0irBXp+xKwT5e0ZFklbEVkzxu0Bzv9PmvstFD5w6zlQ [email protected]   
The key's randomart image is: 
+---[RSA 4096]----+
|         =o++.   |
|        + + ..   |
|     . . +  o o  |
|   .o  .  .. + + |
|    ooo S.  . E o|
|   . oo+.+   + ++|
|    o..o+   + .o=|
|     .o o. + ..oo|
|       +.   o  ==|
+----[SHA256]-----+

На цьому етапі ваша пара ключів створена та збережена в ~/.ssh/id_rsa. Щоб зробити ключ доступним для системи та зберегти парольну фразу в системному брелоку, нам потрібно буде виконати кілька додаткових кроків. Зауважте, що це потрібно лише в тому випадку, якщо ви не бажаєте вводити ключову фразу під час кожного її використання.

Додайте нову пару ключів до агента SSH

Введіть ssh-add -K ~/.ssh/id_rsa. Потім вам буде запропоновано ввести парольну фразу, і ви побачите таке:

Identity added: id_rsa ([email protected])

Якщо ви хочете використовувати цей ключ SSH для входу на вже створений сервер, ви можете використовувати цей ssh-copy-idінструмент для збереження відкритого ключа на сервері, до якого ви хочете отримати доступ.

Додати новий ключ на віддалений сервер

Використання ssh-copy-id:

# Substitute your server IP
ssh-copy-id -i ~/.ssh/id_rsa [email protected]

Консоль запитає ваш пароль для входу, оскільки віддалений сервер ще не знає про ваш ключ. Ви побачите наступне:

/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "id_rsa.pub"

Number of key(s) added:        1

Now try logging into the machine, with: "ssh '[email protected]'"
and check to make sure that only the key(s) you wanted were added.

Тепер ви можете спробувати увійти на віддалений сервер за допомогою, ssh [email protected]і ви повинні бути підключені без запиту пароля.