Kif tikkonfigura l-awtentikazzjoni SSH mingħajr password fuq RHEL 9

Qosra għal Secure Shell, SSH huwa protokoll ta' netwerk sigur li jikkripta t-traffiku bejn żewġ endpoints. Jippermetti lill-utenti jgħaqqdu u/jew jittrasferixxu fajls b'mod sigur fuq netwerk.

SSH jintuża l-aktar minn amministraturi tan-netwerk u tas-sistema biex jaċċessaw u jimmaniġġjaw assi remoti b'mod sigur bħal servers u tagħmir tan-netwerk fuq netwerk. Juża metodi ta 'kodifikazzjoni b'saħħithom bħal AES u algoritmi ta' hashing bħal SHA-2 u ECDSA biex jikkripta t-traffiku skambjat bejn klijent u sistema remota.

[ Tista 'tħobb ukoll: Kif Tiżgura u Tibbies OpenSSH Server ]

SSH jimplimenta żewġ metodi ta 'awtentikazzjoni; awtentikazzjoni bbażata fuq password u awtentikazzjoni taċ-ċavetta pubblika. Dan tal-aħħar huwa aktar preferut peress li joffri sigurtà aħjar bl-użu tal-awtentikazzjoni taċ-ċavetta pubblika li tipproteġi s-sistema minn attakki ta’ forza bruta.

B'dan f'moħħna, se nuru kif tista 'tikkonfigura l-awtentikazzjoni bbażata fuq iċ-ċavetta SSH fuq RHEL 9.

Dan huwa kif jidher is-setup tagħna

  • Sistema Linux/UNIX (ibbażata fuq Ubuntu jew ibbażata fuq RHEL) li fuqha niġġeneraw il-par taċ-ċwievet. Għal din il-gwida, qed nuża d-distribuzzjoni Ubuntu.
  • Istanza ta' RHEL 9 (Dan is-sħab ikun VPS fuq il-post jew cloud).

Pass 1: Iġġenera l-Par Key ECDSA SSH

Aċċessa għas-sistema Linux tiegħek u ġġenera l-par ta 'ċavetta SSH kif ġej. F'din il-gwida, aħna se niġġeneraw il-par taċ-ċwievet billi tuża l-algoritmu ECDSA li jipprovdi kriptaġġ u sigurtà aħjar.

Għalhekk, biex tiġġenera l-par taċ-ċwievet ECDSA, ħaddem il-kmand:

$ ssh-keygen -t ecdsa

Il-kmand se jimxik permezz ta 'serje ta' prompts.

B'mod awtomatiku, il-par taċ-ċwievet jiġi ffrankat fid-direttorju tad-dar tal-utent ġewwa d-direttorju ~/.ssh. Tista 'taċċetta dan bħala d-destinazzjoni tal-par ta' ċwievet SSH billi tagħfas ENTER fuq it-tastiera, inkella, tista 'tispeċifika l-mogħdija preferuta tiegħek. F'din il-gwida, iddeċidejna li mmorru mal-mogħdija default.

Sussegwentement, inti se tintalab tipprovdi passphrase. Din hija bażikament password li tkun mitlub li tipprovdi meta tistabbilixxi konnessjoni mas-sistema RHEL 9 remota. Jipprovdi saff miżjud ta 'protezzjoni fuq il-kriptaġġ offrut miċ-ċwievet SSH.

Madankollu, jekk il-pjan tiegħek huwa li tawtomatizza l-proċessi fuq il-protezzjoni SSH jew tikkonfigura l-awtentikazzjoni mingħajr password, huwa rakkomandat li tħalli dan vojt. U għalhekk, se nħallu dan vojt billi, għal darb'oħra, nagħfsu ENTER.

Hawn taħt hemm l-output tar-runtime tal-kmand.

Tista' tagħti daqqa t'għajn lejn il-par taċ-ċwievet SSH billi tuża l-kmand ls kif muri.

$ ls -l ~/.ssh

Id_ecdsa hija ċ-ċavetta privata filwaqt li id_ecdsa.pub hija ċ-ċavetta pubblika. Iċ-ċavetta privata għandha dejjem tibqa' sigrieta u m'għandhiex tiġi kondiviża jew żvelata lil ħadd. Min-naħa l-oħra, inti fil-libertà li taqsam il-pubbliku ma 'kwalunkwe sistema remota li trid tikkonnettja magħha.

Pass 2: Ikkopja Public SSH Key għal Remote RHEL 9

Il-pass li jmiss huwa li tikkopja ċ-ċavetta pubblika għall-istanza RHEL 9 remota. Tista 'tagħmel dan bil-mod manwali jew billi tuża l-għodda tal-linja tal-kmand ssh-copy-id. Peress li din tal-aħħar hija ħafna aktar faċli u konvenjenti biex tużah, invokaha billi tuża s-sintassi li ġejja.

$ ssh-copy-id use[email 

Fil-każ tagħna, il-kmand se jkun kif ġej fejn tecmint huwa l-utent tal-login regolari u 192.168.254.129 huwa l-indirizz IP tal-utent remot.

$ ssh-copy-id [email 

Ittajpja iva biex tkompli tikkonnettja. Imbagħad ipprovdi l-password tal-utent remot u agħfas ENTER.

Iċ-ċavetta pubblika tiġi kkupjata fil-fajl authorized_keys fid-direttorju ~/.ssh tad-direttorju tad-dar tal-utent remot. Ladarba ċ-ċavetta tiġi kkupjata, issa tista' tidħol fl-istanza RHEL 9 remota billi tuża awtentikazzjoni taċ-ċavetta pubblika.

NOTA: F'RHEL 9, il-login tal-għeruq fuq SSH huwa diżattivat jew miċħud b'mod awtomatiku. Dan għal raġunijiet tajba - jipprevjeni attakkant milli jidħol billi juża l-kont root li jagħtih il-privileġġi kollha fuq is-sistema. Għalhekk l-ikkupjar taċ-ċavetta pubblika għas-sistema RHEL bħala għerq se tfalli.

Jekk għandek bżonn tidħol bħala root, trid teditja l-konfigurazzjoni SSH default kif ġej.

$ sudo vim /etc/ssh/sshd_config

Sussegwentement, issettja l-attribut PermitRootLogin għal iva u ssalva l-bidliet u oħroġ mill-fajl.

Biex tapplika l-bidliet li saru, ibda mill-ġdid is-servizz SSH.

$ sudo systemctl restart ssh

Pass 3: Ivverifika l-Awtentikazzjoni taċ-Ċavetta Pubblika SSH

Issa ejjew nikkonfermaw l-awtentikazzjoni taċ-ċavetta pubblika. Biex tagħmel dan, idħol kif ġej.

$ ssh [email 

Din id-darba, mhux se tiġi mitlub għal password u tinżel dritta lejn il-qoxra RHEL 9 remota kif muri. Inti tista 'wkoll trid tivverifika l-preżenza tal-fajl authorized_keys kif imsemmi qabel.

$ ls -l ~/.ssh

Tista 'tara wkoll il-fajl taċ-ċavetta pubblika kriptografika billi tuża l-kmand tal-qtates.

$ cat ~/.ssh/authorized_keys

Fuq id-desktop tal-Linux li fuqu ġġenerajna ċ-ċwievet SSH, fajl imsejjaħ magħruf_hosts huwa ġġenerat fid-direttorju ~/.ssh. Dan fih il-marki tas-swaba' tas-servers remoti kollha li s-sistema tkun konnessa magħhom.

F'din il-gwida, kkonfigurajna b'suċċess l-awtentikazzjoni bbażata fuq iċ-ċavetta SSH fuq RHEL 9. Ir-rispons tiegħek huwa milqugħ ħafna.