Jak włączyć logowanie SSH bez hasła w systemie Linux?

Dobrym pomysłem jest zalogowanie się na bezpieczny serwer bez hasła. Poważnie, pozbądź się go. Nie musisz używać hasła do jednej z najbardziej zagrożonych usług na serwerach internetowych, prawda?

Ok, wystarczy żartów. To jednak prawda. Podstawowe uwierzytelnianie oparte na hasłach w SSH to zły pomysł. Hasła są dość łatwe do złamania, a jeśli są jedyną rzeczą, która stoi między atakującym a nieograniczonym dostępem do twojego serwera, zdecydowanie powinieneś się denerwować.

Właśnie dlatego uwierzytelnianie oparte na kluczu RSA jest o wiele lepsze. Możesz skonfigurować serwer Linux tak, aby dostęp był dozwolony tylko z komputerów z kluczami RSA, które zostały już zaakceptowane. Wszystkie inne są natychmiast odrzucane. Jako dodatkowy bonus możesz utworzyć te klucze z hasłem lub bez, co zależy wyłącznie od Ciebie. Jednak w większości przypadków bezpieczny klucz bez hasła jest w porządku.

Jeśli używasz również urządzeń z systemem Linux w domu, masz dodatkową wygodę. Załóżmy, że chcesz rozgłaszać SSH do stacji roboczej z systemem Linux z laptopa. Czy na pewno chcesz podawać swoje hasło za każdym razem? Skonfiguruj klucze SSH i nie musisz.

Indeks

Zainstaluj pakiety

Jest kilka pakietów, których będziesz potrzebować. Prawdopodobnie masz już kilka, ale warto je sprawdzić. Pakiety są różne na serwerze i kliencie, ale jest duża szansa, że ​​obie maszyny są dla siebie nawzajem serwerem i klientem (sytuacja domowa), więc możesz chcieć zainstalować oba zestawy pakietów.

Na serwerze

Tylko usługa OpenSSH musi być zainstalowana i uruchomiona na serwerze. Nie jest to domyślne ustawienie w systemach Debian i Ubuntu. Jeśli jeszcze go nie zainstalowałeś, zrób to.

sudo apt install openssh-server

Na klienta

Klient potrzebuje pakietu klienta OpenSSH. OpenSSH ma wbudowane narzędzie do generowania kluczy.

sudo apt install openssh-client

Wygeneruj swój klucz

Wygenerowanie klucza jest bardzo łatwe. Wszystko, co musisz zrobić, to powiedzieć OpenSSH, że musisz wygenerować klucz. Dobrym pomysłem jest również określenie liczby bitów za pomocą flagi -b i wpisanie za pomocą -t. Najlepszy jest klucz 4096-bitowy. Oferuje silniejsze szyfrowanie.

ssh-keygen -b 4096 -t rsa

Najpierw narzędzie zapyta, gdzie chcesz zapisać klucz. Po prostu naciśnij Enter, aby uzyskać dostęp do domyślnego katalogu. Następnie poprosi Cię o hasło. Pozostaw puste dla klucza bez hasła i uwierzytelniania bez hasła. Jeśli ty chcieć Aby użyć hasła do swojego klucza, wprowadź je.

Wygenerowanie klucza zajmie komputerowi kilka sekund. Kiedy skończy, powie Ci, że to się skończyło i wydrukuje obraz ASCII art.

Prześlij swój klucz

Aby użyć hasła, musisz wysłać je na swój serwer. OpenSSH ma również inne wbudowane narzędzie do tego. Powiedz mu, gdzie jest twój klucz i do którego użytkownika serwera powinien być przypisany.

ssh-copy-id -i ~/.ssh/id_rsa.pub [email protected]

Wprowadź adres IP serwera. To jak dostęp do serwera przez SSH (to ty), ale po prostu wysyła klucz.

Następnie spróbuj ponownie zalogować się na serwer przez SSH. Tym razem powinien wpuścić Cię bez hasła.

Skonfiguruj SSH do blokowania haseł

Aby zapewnić dodatkowe bezpieczeństwo, należy wyłączyć logowanie za pomocą hasła SSH na serwerze. Konfiguracja serwera SSH znajduje się w "/etc/ssh/sshd_config". Otwórz ten plik na serwerze za pomocą sudo i preferowanego edytora tekstu.

Znajdź następujące wiersze i zmień je, aby wyglądały jak w przykładzie. Odkomentuj oba wpisy i zmień wartości na n.

Uwierzytelnianie hasłem Nr
PermitEmptyPasswords no> PermitEmptyPasswords

Nie ma to wpływu, jeśli pozostawisz włączone uwierzytelnianie PAM. Znajdź poniższy wiersz i ustaw go na Nie.

UsePAM no 

Po zmianie wpisów zapisz i zamknij plik, a następnie uruchom ponownie serwer SSH, aby odniósł skutek.

sudo systemctl restartuje sshd

Jeśli nadal chcesz trzymać się metody uwierzytelniania hasła, nie zapomnij skonfigurować uwierzytelniania dwuskładnikowego, aby zapewnić dodatkową ochronę.

To wszystko! Twój serwer jest teraz znacznie bezpieczniejszy bez hasła. Ma również tę dodatkową zaletę, że nie wymaga ich wpisywania. Możesz również wymienić swój unikalny klucz z dowolną liczbą serwerów.

Możesz być zainteresowany

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

Go up