Для повышения безопасности подключения к серверам UNIX/Linux , стоит отключить вход root`a, а также вход по паролю для пользователя.
1. Создать нового пользователя
$ sudo useradd -m -s /bin/bash user01
2. Создать пароль
$ sudo passwd user01
3. Добавить пользователя в группу sudo (Linux)
usermod -aG sudo user01
или wheel (для FreeBSD)
usermod -aG wheel user01
4. Далее необходимо генерировать пару ключей для безпарольного доступа
Поскольку планирую доступ к серверам UNIX/Linux из Винды(в основном. ну не могу пересилить себя, использовать на постоянке, рабочей станцией Linux), то генерировать буду посредством Putty. Есть в директории Putty файлик puttygen.exe, запускаем его, в окошке выбираем RSA и длину ключа (Number of bits in a generated key) 2048 , я думаю достаточно(хотя в "приступе паранойи"однажды генерировал 8192 :)), и нажимаем Generate
и надо будет в "чистом поле" окна утилиты хаотично двигать мышкой для создания ключа, и в последствии вписываем пароль для приватного ключа Key passphrase/Confirm passphrase. Ну и как следствие сохраняем приватный и публичный ключи.
Есть особенность сохранения публичного ключа: puttygen "тело" ключа сохраняет в несколько строк. Поэтому перед переносом ключа необходимо пересохранить в одну строку, сохранив только само "тело" ключа.
Далее переносим на сервер в папку
/home/user01/.ssh
пользователя созданного ранее. Переименовываем его в
authorized_keys
Поскольку уже ранее сохранили в одну строку, то в начале строки (перед ключем) добавляем ssh-rsa , а в конце строки через пробел добавляем user01@my-server.
5. Далее необходимо отредактировать файл конфигурации sshd-демона
/etc/ssh/sshd_config
Там меняем переметры:
ChallengeResponseAuthentication no
PasswordAuthentication no
UsePAM no
PermitRootLogin no
PubkeyAuthentication yes
еще рекомендуется поменять дефолтный порт 22 на что-то другое
Port 22
можно еще и адрес на котором будем "слушать" демон
ListenAddress XX.XX.XX.XX
Сохраняем. Пережагружаем демона
service sshd reload
6. Далее на рабочем компьютере запускаем из директории *\Putty\ файлик pageant.exe , там добавляем приватный ключик, вводим пароль ключа.
запускаем сам putty.exe, вводим user01@ip_address port
Как правило, должно заработать... но тут как у кого карма ;)...
Возможно надо прописать правило файрвола...
Возможно опечатки в файле конфигурации демона...
Возможно надо будет права на директорию ./ssh поменять на 700 и файлик authorized_keys на 600...
Ну в целом карма - такая карма ;)
Добавлено1.
для подключения из Linux, в домашней директории пользователя, в директории ./ssh необходим файлик id_rsa с доступом этому пользователю.
файлик putty с наскока не подключился, поэтому просто сгенерировал пару ключей утилиткой ssh-keygen получив два файла id_rsa и id_rsa.pub
id_rsa.pub копирую на сервер и добавляю в файл authorized_keys командой
cat if_rsa.pub>>authorized_keys
и в конце добавленого ключа меняем user@comp на user01@my-server.
после заходим на сервер
ssh -p port user01@ip_address
если все ок , том вводим пароль ключа созданного выше
Добавлено2.
1. Создать нового пользователя
$ sudo useradd -m -s /bin/bash user01
2. Создать пароль
$ sudo passwd user01
3. Добавить пользователя в группу sudo (Linux)
usermod -aG sudo user01
или wheel (для FreeBSD)
usermod -aG wheel user01
4. Далее необходимо генерировать пару ключей для безпарольного доступа
Поскольку планирую доступ к серверам UNIX/Linux из Винды(в основном. ну не могу пересилить себя, использовать на постоянке, рабочей станцией Linux), то генерировать буду посредством Putty. Есть в директории Putty файлик puttygen.exe, запускаем его, в окошке выбираем RSA и длину ключа (Number of bits in a generated key) 2048 , я думаю достаточно(хотя в "приступе паранойи"однажды генерировал 8192 :)), и нажимаем Generate
и надо будет в "чистом поле" окна утилиты хаотично двигать мышкой для создания ключа, и в последствии вписываем пароль для приватного ключа Key passphrase/Confirm passphrase. Ну и как следствие сохраняем приватный и публичный ключи.
Есть особенность сохранения публичного ключа: puttygen "тело" ключа сохраняет в несколько строк. Поэтому перед переносом ключа необходимо пересохранить в одну строку, сохранив только само "тело" ключа.
Далее переносим на сервер в папку
/home/user01/.ssh
пользователя созданного ранее. Переименовываем его в
authorized_keys
Поскольку уже ранее сохранили в одну строку, то в начале строки (перед ключем) добавляем ssh-rsa , а в конце строки через пробел добавляем user01@my-server.
5. Далее необходимо отредактировать файл конфигурации sshd-демона
/etc/ssh/sshd_config
Там меняем переметры:
ChallengeResponseAuthentication no
PasswordAuthentication no
UsePAM no
PermitRootLogin no
PubkeyAuthentication yes
еще рекомендуется поменять дефолтный порт 22 на что-то другое
Port 22
можно еще и адрес на котором будем "слушать" демон
ListenAddress XX.XX.XX.XX
Сохраняем. Пережагружаем демона
service sshd reload
6. Далее на рабочем компьютере запускаем из директории *\Putty\ файлик pageant.exe , там добавляем приватный ключик, вводим пароль ключа.
запускаем сам putty.exe, вводим user01@ip_address port
Как правило, должно заработать... но тут как у кого карма ;)...
Возможно надо прописать правило файрвола...
Возможно опечатки в файле конфигурации демона...
Возможно надо будет права на директорию ./ssh поменять на 700 и файлик authorized_keys на 600...
Ну в целом карма - такая карма ;)
Добавлено1.
для подключения из Linux, в домашней директории пользователя, в директории ./ssh необходим файлик id_rsa с доступом этому пользователю.
файлик putty с наскока не подключился, поэтому просто сгенерировал пару ключей утилиткой ssh-keygen получив два файла id_rsa и id_rsa.pub
id_rsa.pub копирую на сервер и добавляю в файл authorized_keys командой
cat if_rsa.pub>>authorized_keys
и в конце добавленого ключа меняем user@comp на user01@my-server.
после заходим на сервер
ssh -p port user01@ip_address
если все ок , том вводим пароль ключа созданного выше
Добавлено2.
ssh-copy-id -i id_rsa.pub user@host
Комментарии
Отправить комментарий