💾 Archived View for tilde.team › ~rami › redhat_ssh.gmi captured on 2023-01-29 at 04:20:35. Gemini links have been rewritten to link to archived content
-=-=-=-=-=-=-
רמי
SUBJECT: SSH: Генерирование ключей и их использование
AUTHOR: Rami Rosenfeld
DATE: 15/09/22
TIME: 13.00
LANG: ru, en
LICENSE: GNU FDL 1.3
TAGS: gnu, gnome, software, opensource, linux, system, man, manual, bash, privacy, security, rhel, centos, mate, xfce, lxde, spin, de, systemd, systemctl, selinux, firewalld, dnf, rpm, gnupg, ssh
Примечание: все команды выполняются от текущего непривилегированого пользователя.
Важно! Как и в случае с GNUPG/PGP, личная связка ключей SSH состоит из двух частей: открытого (публичного) и приватного (секретного) ключей:
- ПУБЛИЧНЫЙ КЛЮЧ - id_rsa.pub (и т.п.) - используется для размещения на сервере, с которым надлежит установить защищенное соединение.
- ПРИВАТНЫЙ КЛЮЧ - id_rsa (и т.п.) - НЕ ДОЛЖЕН покидать вашего компьютера ни в каком виде!
Важно! После создания личной связки ключей обязательно сделайте резервную копию каталога ~/.ssh. Храните ее в защищенном и зашифрованном месте.
Важно! Соединение с помощью системы ключей, защищенных парольной фразой - единственно правильный путь подключения к удаленному ресурсу. Никогда не используйте для входа по SSH одну только парольную фразу. По возможности также меняйте стандартный порт соединения на нестандартный.
Примечание: В ходе генерирования ключей будет запрошена парольная фраза.
Примечание: Используйте алгоритм RSA - это позволит избежать многих проблем при подключении к серверам (если в требованиях конкретного удаленного сервера не указано иное).
ssh-keygen -t rsa -b 4096 -a 100
Your identification has been saved in /home/user/.ssh/id_rsa
Your public key has been saved in /home/user/.ssh/id_rsa.pub
The key fingerprint is:
SHA256:FB11w9zpzu/Z/8+OrM2wbtTXRMY6J4ZIdHWfTEXSVfeQ user@gnu
The key's randomart image is:
+---[RSA 4096]----+
| ..BB+B+o+|
| o.B*o+==|
| .o.o.o.oC|
| .. .. .o.|
| oT.. o. |
| o. o.|
| .o o|
| =... .=|
| .o= =X|
+----[SHA256]-----+
ssh user@host.name
ssh user@111.222.333.444
ssh user@111.222.333.444 -p 6666
Три возможных варианта:
$ logout
$ exit
Ctrl+D
Прерывание "зависшей" сессии:
$ ~.
scp ~/file.name user@111.222.333.444:/directory
scp user@111.222.333.444:/home/file.name /local_directory
ssh-copy-id -i ~/.ssh/id_rsa.pub user@111.222.333.444
ls ~/.ssh
-rw-------. id_rsa
-rw-------. id_rsa.pub
-rw-------. known_hosts
-rw-------. known_hosts.old
Примечание: Обязательно измените права к каталогу и файлам в нем, чтобы исключить несанкционированный доступ!
Разработчики Red Hat (RHEL, Fedora, CentOS) настоятельно рекомендуют повысить уровень безопасности, внеся следующие изменения в sshd_config - это позволит избежать атак и прочих неприятностей:
nano /etc/ssh/sshd_config
LoginGraceTime 1m
PermitRootLogin no
StrictModes yes
MaxAuthTries 3
MaxSessions 3
Подробнее см.:
man ssh, ssh-keygen, scp, ssh-copy-id
🄯 Rami Rosenfeld, 2022. GNU FDL 1.3.