Различия

Показаны различия между двумя версиями страницы.

--- ssh._generacija_i_ustanovka_kljucha [2016/01/27 23:43] – [Ключ сервера] daniil
+++ ssh._generacija_i_ustanovka_kljucha [2020/12/01 10:09] (текущий) – удалено daniil
@@ Строка 1: / Строка 1: @@
-====== ssh. Генерация и установка ключа ======
-SSH может авторизоваться не по паролю, а по ключу. Ключ состоит из открытой и закрытой части. Открытая кладётся в домашний каталог пользователя, «которым» заходят на сервер, закрытая — в домашний каталог пользователя, который идёт на удалённый сервер. Половинки сравниваются (утрированно) и если всё ок — пускают. Важно: авторизуется не только клиент на сервере, но и сервер по отношению к клиенту (то есть у сервера есть свой собственный ключ). Главной особенностью ключа по сравнению с паролем является то, что его нельзя «украсть», взломав сервер — ключ не передаётся с клиента на сервер, а во время авторизации клиент доказывает серверу, что владеет ключом (та самая криптографическая магия).
-----
-===== Управление ключами =====
-==== Генерация ключа ====
-  * Генерация ключа:
-<code bash>
-ssh-keygen -t rsa
-</code>
-Вывод команды:
-<code>
-Generating public/private rsa key pair.
-Enter file in which to save the key (/home/user/.ssh/id_rsa):
-</code>
-Нажать на ENTER
-Ввод пароля (если хотите входить без пароля, то нажать ENTER)
-<code>
-Enter passphrase (empty for no passphrase):
-</code>
-Ввести пароль еще раз (если без пароля то нажать ENTER)
-<code>
-Enter same passphrase again:
-</code>
-Общий вывод команды:
-<code bash>
-pavel@debian:~$ ssh-keygen -t rsa
-Generating public/private rsa key pair.
-Enter file in which to save the key (/home/pavel/.ssh/id_rsa):
-Enter passphrase (empty for no passphrase):
-Enter same passphrase again:
-Your identification has been saved in /home/pavel/.ssh/id_rsa.
-Your public key has been saved in /home/pavel/.ssh/id_rsa.pub.
-The key fingerprint is:
-c1:70:c3:6f:92:62:94:f7:e4:c2:da:c2:61:0c:af:db pavel@debian
-The key's randomart image is:
-+--[ RSA 2048]----+
-|      .+o        |
-|    . ++o.       |
-|     * ++o       |
-|      X =.o      |
-|     B =So       |
-|    o ++         |
-|     o           |
-|    . E          |
-|                 |
-+-----------------+
-</code>
-  * Смена существующего пароля:
-<code>
-ssh-keygen -p
-</code>
-----
-==== Структура ключа ====
-**%%~/.ssh/id_rsa.pub%%** — открытый ключ. Его копируют на сервера, куда нужно получить доступ. \\
-**%%~/.ssh/id_rsa%%** — закрытый ключ. Его нельзя никому показывать. Если вы в письмо/чат скопипастите его вместо pub, то нужно генерировать новый ключ.
-----
-==== Установка ключа на сервер ====
-  * При помощи утилиты **ssh-copy-id** :
-<code bash>
-ssh-copy-id user@192.168.0.100
-</code>
-**user** - имя пользователя
-**192.168.0.100** - адрес сервера
-Если у вас ssh на нестандартном порту, то ssh-copy-id требует особого ухищрения при работе:
-<code bash>
-ssh-copy-id '-p 2200 user@192.168.0.100'
-</code>
-  * Добавление ключа вручную
-Необходимо в домашнем каталоге пользователя, под которым будет происходить авторизация, создать файл
-<code>
-~/.ssh/authorized_keys
-</code>
-и скопировать в него содержимое файла открытого ключа, хранящегося на вашем компьютере.
-<WRAP center round important 100%>
-Обратите внимание, права на файл не должны давать возможность писать в этот файл посторонним пользователям, иначе ssh его не примет.
-</WRAP>
-<WRAP center round tip 100%>
-В ключе последнее поле — user@machine. Оно не имеет никакого отношения к авторизации и служит только для удобства определения где чей ключ. Заметим, это поле может быть поменяно (или даже удалено) без нарушения структуры ключа.
-</WRAP>
-<WRAP center round info 100%>
-Старые руководства по ssh упоминают про authorized_keys2. Причина: была первая версия ssh, потом стала вторая (текущая), для неё сделали свой набор конфигов, всех это очень утомило, и вторая версия уже давным давно переключилась на версии без всяких «2». То есть всегда authorized_keys и не думать о разных версиях.
-</WRAP>
-Теперь для входя на сервер можно воспользоваться командой:
-<code bash>
-ssh 'user@192.168.0.100'
-</code>
-----
-==== Ключ сервера ====
-Первый раз, когда вы заходите на сервер, ssh вас спрашивает, доверяете ли вы ключу. Если отвечаете нет, соединение закрывается. Если да — ключ сохраняется в файл
-<code>
-~/.ssh/known_hosts
-</code>
-Узнать, где какой ключ нельзя (ибо несекьюрно). \\
-Если ключ сервера поменялся (например, сервер переустановили), ssh вопит от подделке ключа. Обратите внимание, если сервер не трогали, а ssh вопит, значит вы не на тот сервер ломитесь (например, в сети появился ещё один компьютер с тем же IP, особо этим страдают всякие локальные сети с 192.168.0.100, которых в мире несколько миллионов). \\
-  * Удалить известный ключ сервера можно командой
-<code bash>
-ssh-keygen -R server
-</code>
-  * При этом нужно удалить ещё и ключ IP (они хранятся раздельно):
-<code bash>
-ssh-keygen -R 192.168.0.100
-</code>
-Ключи сервера хранятся в следующих файлах соответственно:
-<code>
-/etc/ssh/ssh_host_rsa_key
-/etc/ssh/ssh_host_rsa_key.pub
-</code>
-  * Их можно:
-  - скопировать со старого сервера на новый.
-  - сгенерировать с помощью **ssh-keygen** . Пароля при этом задавать не надо (т.е. пустой). Ключ с паролем ssh-сервер использовать не сможет.
-<WRAP center round important 100%>
-Заметим, если вы сервера клонируете (например, в виртуалках), то ssh-ключи сервера нужно обязательно перегенерировать.
-</WRAP>
-Старые ключи из know_hosts при этом лучше убрать, иначе ssh будет ругаться на duplicate key.
-----
-===== Источники =====
-[[http://habrahabr.ru/post/122445/|Памятка пользователям ssh]]