Jak włączyć logowanie SSH bez hasła w systemie Linux?

Dobrym pomysłem jest zalogowanie się na bezpieczny serwer bez hasła. Poważnie, pozbądź się go. Nie musisz używać hasła do jednej z najbardziej zagrożonych usług na serwerach internetowych, prawda?

Ok, wystarczy żartów. To jednak prawda. Podstawowe uwierzytelnianie oparte na hasłach w SSH to zły pomysł. Hasła są dość łatwe do złamania, a jeśli są jedyną rzeczą, która stoi między atakującym a nieograniczonym dostępem do twojego serwera, zdecydowanie powinieneś się denerwować.

Właśnie dlatego uwierzytelnianie oparte na kluczu RSA jest o wiele lepsze. Możesz skonfigurować serwer Linux tak, aby dostęp był dozwolony tylko z komputerów z kluczami RSA, które zostały już zaakceptowane. Wszystkie inne są natychmiast odrzucane. Jako dodatkowy bonus możesz utworzyć te klucze z hasłem lub bez, co zależy wyłącznie od Ciebie. Jednak w większości przypadków bezpieczny klucz bez hasła jest w porządku.

Jeśli używasz również urządzeń z systemem Linux w domu, masz dodatkową wygodę. Załóżmy, że chcesz rozgłaszać SSH do stacji roboczej z systemem Linux z laptopa. Czy na pewno chcesz podawać swoje hasło za każdym razem? Skonfiguruj klucze SSH i nie musisz.

Indeks

    Zainstaluj pakiety

    Jest kilka pakietów, których będziesz potrzebować. Prawdopodobnie masz już kilka, ale warto je sprawdzić. Pakiety są różne na serwerze i kliencie, ale jest duża szansa, że ​​obie maszyny są dla siebie nawzajem serwerem i klientem (sytuacja domowa), więc możesz chcieć zainstalować oba zestawy pakietów.

    Na serwerze

    Tylko usługa OpenSSH musi być zainstalowana i uruchomiona na serwerze. Nie jest to domyślne ustawienie w systemach Debian i Ubuntu. Jeśli jeszcze go nie zainstalowałeś, zrób to.

    sudo apt install openssh-server

    Na klienta

    Klient potrzebuje pakietu klienta OpenSSH. OpenSSH ma wbudowane narzędzie do generowania kluczy.

    sudo apt install openssh-client

    Wygeneruj swój klucz

    Wygenerowanie klucza jest bardzo łatwe. Wszystko, co musisz zrobić, to powiedzieć OpenSSH, że musisz wygenerować klucz. Dobrym pomysłem jest również określenie liczby bitów za pomocą flagi -b i wpisanie za pomocą -t. Najlepszy jest klucz 4096-bitowy. Oferuje silniejsze szyfrowanie.

    ssh-keygen -b 4096 -t rsa

    Najpierw narzędzie zapyta, gdzie chcesz zapisać klucz. Po prostu naciśnij Enter, aby uzyskać dostęp do domyślnego katalogu. Następnie poprosi Cię o hasło. Pozostaw puste dla klucza bez hasła i uwierzytelniania bez hasła. Jeśli ty chcieć Aby użyć hasła do swojego klucza, wprowadź je.

    Wygenerowanie klucza zajmie komputerowi kilka sekund. Kiedy skończy, powie Ci, że to się skończyło i wydrukuje obraz ASCII art.

    Prześlij swój klucz

    Aby użyć hasła, musisz wysłać je na swój serwer. OpenSSH ma również inne wbudowane narzędzie do tego. Powiedz mu, gdzie jest twój klucz i do którego użytkownika serwera powinien być przypisany.

    ssh-copy-id -i ~/.ssh/id_rsa.pub [email protected]

    Wprowadź adres IP serwera. To jak dostęp do serwera przez SSH (to ty), ale po prostu wysyła klucz.

    Następnie spróbuj ponownie zalogować się na serwer przez SSH. Tym razem powinien wpuścić Cię bez hasła.

    Skonfiguruj SSH do blokowania haseł

    Aby zapewnić dodatkowe bezpieczeństwo, należy wyłączyć logowanie za pomocą hasła SSH na serwerze. Konfiguracja serwera SSH znajduje się w "/etc/ssh/sshd_config". Otwórz ten plik na serwerze za pomocą sudo i preferowanego edytora tekstu.

    Znajdź następujące wiersze i zmień je, aby wyglądały jak w przykładzie. Odkomentuj oba wpisy i zmień wartości na n.

    Uwierzytelnianie hasłem Nr
    PermitEmptyPasswords no> PermitEmptyPasswords

    Nie ma to wpływu, jeśli pozostawisz włączone uwierzytelnianie PAM. Znajdź poniższy wiersz i ustaw go na Nie.

    UsePAM no 

    Po zmianie wpisów zapisz i zamknij plik, a następnie uruchom ponownie serwer SSH, aby odniósł skutek.

    sudo systemctl restartuje sshd

    Jeśli nadal chcesz trzymać się metody uwierzytelniania hasła, nie zapomnij skonfigurować uwierzytelniania dwuskładnikowego, aby zapewnić dodatkową ochronę.

    To wszystko! Twój serwer jest teraz znacznie bezpieczniejszy bez hasła. Ma również tę dodatkową zaletę, że nie wymaga ich wpisywania. Możesz również wymienić swój unikalny klucz z dowolną liczbą serwerów.

    Możesz być zainteresowany

    Dodaj komentarz

    Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

    Go up

    a strona wykorzystuje anonimowe, własne pliki cookies analityczne w celu jej prawidłowego funkcjonowania i reklamy. Nasi partnerzy (w tym Google) mogą przechowywać, udostępniać i zarządzać danymi użytkownika w celu dostarczania spersonalizowanych reklam. Użytkownik może zaakceptować, dostosować ustawienia lub cofnąć zgodę tutaj lub na stronie Czytaj więcej