Това е отлична идея да влезете в защитен сървър без парола. Сериозно, да се отървете от него. Не е необходимо да използвате парола за една от най-атакуваните услуги на уеб сървъри, нали?

Добре, достатъчно шега. Вярно е обаче. Стандартното удостоверяване на SSH за пароли е лоша идея. Паролите могат да бъдат счупени сравнително лесно и когато те са единственото нещо, което стои между нападателя и неограничен достъп до сървъра ви, определено трябва да сте нервни.

Ето защо удостоверяването, базирано на ключови думи на RSA, е много по-добро. Можете да конфигурирате вашия Linux сървър да разрешава достъп само от компютри, които притежават RSA ключове, които вече са приели. Всеки друг ще бъде незабавно отхвърлен. Като допълнителна полза можете да създадете тези клавиши със или без парола, която зависи изцяло от вас. Силен ключ без парола обаче е добре в повечето случаи.

Ако използвате и у дома Linux устройства, имате допълнителна полза от удобството. Кажете, че искате да прехвърлите SSH на вашата работна станция от вашия лаптоп. Наистина ли искате да въведете паролата си всеки път? Настройте SSH ключове и няма да ви трябват.

Инсталирайте пакетите

Има няколко пакета, от които се нуждаете. Вероятно вече имате някои от тях, но е добра идея да проверите. Пакетите са различни на сървъра и клиента, но има и добър шанс двете машини да са сървъри и клиенти един към друг (домашна ситуация), така че може да искате да инсталирате двата комплекта пакети.

На сървъра

Сървърът се нуждае от инсталирана и изпълнена услуга OpenSSH. Това по подразбиране не е в системите на Debian и Ubuntu. Ако още не сте го инсталирали, направете го.

 sudo apt инсталирате openssh-сървър

На Клиента

Клиентът се нуждае от клиентския пакет OpenSSH. OpenSSH има вградена програма за генериране на ключове.

 sudo apt инсталирате openssh-клиент

Генерирайте ключа си

Много е лесно да генерирате ключа си. Просто кажете на OpenSSH, че трябва да генерирате ключа. Също така е добра идея да посочите количеството битове с флага -b и типа с -t . Ключът за 4096 битове е най-добрият. Той осигурява по-силно криптиране.

 ssh-keygen -b 4096-т rsa

Първо, програмата ще попита къде искате да съхраните ключа. Просто натиснете Enter за директорията по подразбиране. След това ще поиска парола. Оставете го празно за безключен ключ и без автентификация с парола. Ако искате да използвате парола за вашия ключ, въведете го.

Вашият компютър ще отнеме няколко секунди, за да генерира вашия ключ. Когато всичко свърши, ще ви каже, че е приключило и отпечатва изображение на изкуство ASCII.

Изпратете ключа си

За да използвате ключа си, ще трябва да го изпратите на сървъра си. OpenSSH има и друга вградена програма за това. Кажете къде е вашият ключ и кой потребител на сървъра ще го свърже.

 ssh-copy-id -i ~ / .ssh / id_rsa.pub [email protected]

Въведете IP адреса на сървъра. Това е точно като достъпа до сървъра през SSH (вие сте), но просто изпращате ключа.

След това опитайте отново да отворите сървъра през SSH. Този път трябва просто да ви пусне без парола.

Конфигуриране на SSH за блокиране на пароли

За най-добра сигурност трябва да деактивирате влизането на SSH парола на сървъра. Конфигурацията на SSH сървъра може да се намери в "/ etc / ssh / sshd_config". Отворете този файл на сървъра със sudo и любимия ви текстов редактор.

Намерете линиите по-долу и ги редактирайте, за да изглеждате като примера. Разделете двата записа и променете стойностите на no .

 PasswordAuthentication no PermitEmptyPasswords no

Това няма да направи нищо, ако оставите PAM удостоверяване активирано. Намерете реда по-долу и го задайте на no .

 UsePAM no

След като данните бъдат променени, запазете и излезте от файла и рестартирайте SSH сървъра, за да влязат в сила.

 sudo systemctl рестартирайте sshd

Ако все още сте решени да запазите метода за удостоверяване на паролата, не забравяйте да настроите двуфакторното удостоверяване като допълнителен защитен слой.

Това е! Вашият сървър е много по-сигурен сега, без пароли. Също така имате допълнителната полза, че не е необходимо да ги въвеждате. Можете също така да обменяте вашия единствен ключ с толкова сървъри, колкото искате.