SSH Autentizace

Z Wiki UnArt Slavičín
Skočit na navigaciSkočit na vyhledávání

SSH je komunikační protokol na zabezpečeném kanálu. To ale neznamená, že je komunikace bezpečná. Na co bude zabezpečená komunikace pokud budete mít heslo na ploše v souboru hesla.txt. Jedním z řešení je autentizovat uživatele pomocí RSA klíčů. Uživatel nahraje na server svůj veřejný klíč a připojí se pomocí svého privátního klíče. Server (po zadání hesla) naším veřejným klíčem zakóduje bezpečnostní token, a pokud jej náš klient správně dekóduje (naším privátním klíčem) a pošle zpět, je vpuštěn do systému.

Pokud zároveň na serveru zakážeme možnost se přihlásit pomocí klasického hesla a jen s klíčem, stává se téměř dokonale bezpečný při útoku hrubou silou.


Je potřeba vygenerovat privátní klíč z něhož (pomocí asymetrické šifry) získáme klíč veřejný. Na to si stáhneme program PUTTY Key generator.

Při generování a zprovoznění autentizace postupujeme podle návodu:



1. Úplně dole vybereme druh SSH klíče. V našem případě SSH2-RSA



2. Vygenerujeme privátní klíč náhodným pohybem v zadané ploše

3. Do pole key-comment napíšeme popis klíče (třeba svoje jméno)

4. Do pole Key-passphrase napíšeme své heslo a ješte ho potvrdíme do pole Confirm-passphrase

5. Vyexportujeme privátní klíč zmáčknutím tlačítka Save private key a např. do key.ppk

6. Vyexportujeme veřejný klíč zmáčknutím tlačítka Save public key a např. do key.pub


Nahoře v ohraničeném rámečku vidíme veřejný klíč ve tvaru pro OpenSSH, které běží na všech našich linuxových strojích. Tento klíč se dá lehkou úpravou získat z již uloženého klíče v key.pub ale nač si ztěžovat život :-) Vykopírujeme jej a vložíme do souboru (třeba openSSH_key.pub) a nahrajem na server do domovského adresáře na příslušný stroj (pomocí scp, Winscp,...). Uložení klíče provedeme příkazem

cat openSSH_key.pub >> ~/.ssh/authorized_keys2

Nakonec souboru nastavíme práva pro čtení. Pozor! Pokud nenastavíte nebude autentizace fungovat!

chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys2



V Putty pro danou session vložíme náš privátní klíč a připojíme se na server. Po zadání loginu by měl server zobrazit následující zprávu a nakonec zadáme naše heslo.



Je vhodné vypnout přihlašování pomocí hesel (zvyšuje to bezpečnost - hacker nemůže heslo ani uhodnout). V /etc/ssh/sshd_conf upravíme:

PasswordAuthentication no
ChallengeResponseAuthentication no


--Sevcik.roman 15:16, 4. 1. 2008 (CET)