The authenticity of host '192.168.0.2 (192.168.0.2)' can't be established.
RSA key fingerprint is 30:77:af:cb:e9:1a:20:f4:58:0d:d7:7e:a0:07:89:53.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.0.2' (RSA) to the list of known hosts.
fearys@fearys's password:
Данное сообщение говорит нам, что мы подключаемся к неизвестному ранее хосту с RSA ключем, имеющим такой-то отпечаток и требуется подтверждение нашего подключения. При положительном ответе (yes), клиент добавляет публичный ключ сервера sshd (/etc/ssh/ssh_host_rsa_key.pub) в пользовательский файл ~/.ssh/known_hosts на локальном компьютере. Когда клиент соединяется с несколькими серверами в указанном файле может скопиться большое количество таких ключей. Для отслеживания принадлежности каждого ключа к каждому серверу, клиент добавляет к строке ключа IP сервера и тип шифрования. При последующих подключениях к серверу надпись выводиться не будет.
После этого потребуется ввести только пароль супер-пользователя.
!!! Важно помнить, что для доступа на сервер через ssh нужно использовать пароль от учетной записи супер-пользователя(root) [Пароль учетной записи(root) = Пароль для ssh].
2. Настройка аутентификации по публичному ключу
Генерируем публичный ключ и закрытый ключ на стороне клиента с помощью команды:
| ssh-keygen –t rsa –b 2048 |
При генерации ключей с помощью утилиты ssh-keygen входящей в состав набора программ Openssh воперационных системах linux по умолчанию ключи сохраняются по пути /root/.ssh/ имена файлов по умолчанию id_rsa и id_rsa.pub.
После генерации получаем два ключа, публичный – id_rsa.pub и закрытый ключ – id_rsa. Закрытый ключ можно обезопасить кодовой фразой.
!!!Важно помнить, что закрытый(секретный) ключ хранится на стороне клиента, а публичный(открытый) отправляется на сервер.
Для отправки публичного ключа с клиента под управлением операционной системы Windows на сервер Linux используется программа PSCP входящая в состав набора программ Putty используемая для защищенного копирования ключей c клиента на сервер.
Синтаксис команд: запуск программы производится из командной строки
Команда для отправки файла содержащего публичный ключ с Windows (локальный) на Linux (удаленный)
| pscp [Опции] [имя файла] [Имя пользователя]@[ip-адрес сервера или доменное имя сервера]:[каталог или путь к каталогу где будет сохранен файл] |
Пример:
| pscp –P 2205 public_key.pub fearys@192.168.0.2:/home/fearys/.ssh/ |
Для отправки файла содержащего публичный ключ с Linux (удаленный) на Windows (локальный) используется команда
| pscp [Опции] [Имя пользователя]@[ip-адрес сервера или доменное имя сервера]:[путь к нужному файлу] [путь где будет находится файл на windows] |
Пример:
| pscp –P 2205 fearys@192.168.0.2:home/fearys/.ssh/123.pub public_key.pub |
Для отправки ключа с клиента под управление операционной системы Linux на сервер Linux используется программа SCP аналог PSCP на операционных системах Windows.
Синтаксис команд SCP: запуск производится из терминала
Для отправки файла содержащего публичный ключ с Linux (локальный) на Linux (удаленный)
| scp [Опции] [имя файла] [Имя пользователя]@[ip-адрес сервера или доменное имя сервера]:[каталог или путь к каталогу где будет сохранен файл] |
Пример:
| scp –P 2205 public_key.pub fearys@192.168.0.2:/home/fearys/.ssh/ |
Для отправки файла содержащего публичный ключ с Linux (удаленный) на Linux (локальный)
| scp [Опции] [Имя пользователя]@[ip-адрес сервера или доменное имя сервера]:[путь к нужному файлу] [путь где будет находится файл на Linux] |
Пример:
| scp –P 2205 fearys@192.168.0.2:/home/fearys/.ssh/123.pub public_key.pub |
Скопировав публичный ключ на сервер Linux создадим в домашнем каталоге папку .ssh с файлом authorized_keys и запишем в него публичный ключ.
!!! Важно помнить что формат ключей генерируемый программой Puttygen отличает от формата ключей генерируемый программой ssh-keygen для использования ключей Putty в Openssh нужно конвертировать ключ с помощью ssh-keygen –i [ путь к публичному ключу].
Создадим папку.ssh в домашнем каталоге и присвоим права к папке командами ниже:
| mkdir /home/fearys/.ssh chmod 700 /home/fearys/.ssh chown -R fearys /home/user/.ssh |
Создадим файл authorizes_keys в папке .ssh и присвоим правакомандами ниже:
| touch /home/fearys/.ssh/authorizes_keys chmod 600 /home/fearys/.ssh/authorized_keys |
Переместим публичный ключ в файл authorized_keys командами ниже, если публичный ключ был сгенерирован программой Puttygen, конвертируем его в формат поддерживаемый Openssh
| cat public_key.pub >> authorized_keys |
После перемещения публичного ключа в файл authorized_keys удалим файл содержащий публичный ключ для того чтобы обезопасить сервер.
| rm public_key.pub или rm /home/fearys/.ssh/public_key.pub |
Для аутентификации по публичному ключу будет достаточно внести в конфигурационный файл следующие параметры, которые будут написаны в листинге ниже.
| UsePrivilegeSeparationyes # указывает, должен ли sshd разделять привилегии. Если да - то сначала будет создан непривилегированный дочерний процесс для входящего сетевого трафика. После успешной авторизации будет создан другой процесс с привилегиями вошедшего пользователя. PermitRootLogin forced-commands-only; # Указывает, возможен ли ssh-вход под суперпользователем (root). forced-commands-only” - суперпользователь сможет зайти, пользуясь аутентификацией на основе публичного ключа и только если передаст необходимую к исполнению команду. PermitEmptyPasswords no # запрет использования пустых паролей PasswordAuthentication no # рекомендуется отключить AuthorizedKeysFile %h/.ssh/authorized_key < # Указывает файл, в котором содержатся публичные ключи, используемые для аутентификации пользователей. %h — заменяется домашней директорией аутентифицируещегося пользователя. PubkeyAuthentication yes # аутентификация с помощью публичного ключа |
Для применения изменений перезапустим ssh-сервер.
| sudo service ssh restart |