Hvernig á að stilla SSH lykilorðslausa auðkenningu á RHEL 9
Stutt fyrir Secure Shell, SSH er örugg netsamskiptareglur sem dulkóðar umferð milli tveggja endapunkta. Það gerir notendum kleift að tengja og/eða flytja skrár á öruggan hátt yfir netkerfi.
SSH er aðallega notað af net- og kerfisstjórum til að fá öruggan aðgang að og stjórna fjareignum eins og netþjónum og nettækjum yfir netkerfi. Það notar sterkar dulkóðunaraðferðir eins og AES og hashing reiknirit eins og SHA-2 og ECDSA til að dulkóða umferð sem skipt er á milli viðskiptavinar og ytra kerfis.
[Þér gæti líka líkað við: Hvernig á að tryggja og herða OpenSSH Server ]
SSH útfærir tvær auðkenningaraðferðir; auðkenning sem byggir á lykilorði og auðkenning með opinberum lyklum. Hið síðarnefnda er meira ákjósanlegt þar sem það býður upp á betra öryggi með því að nota auðkenningu almenningslykilsins sem verndar kerfið gegn árásum árásarmanna.
Með það í huga munum við sýna hvernig þú getur stillt SSH lykla-undirstaða auðkenningu á RHEL 9.
Svona lítur uppsetningin okkar út
- Linux/UNIX (Ubuntu byggt eða RHEL byggt) kerfi sem við munum búa til lykilparið á. Fyrir þessa handbók er ég að nota Ubuntu dreifinguna.
- Tilvik af RHEL 9 (Þetta ský er VPS á staðnum eða í skýi).
Skref 1: Búðu til ECDSA SSH lyklaparið
Fáðu aðgang að Linux kerfinu þínu og búðu til SSH lyklaparið sem hér segir. Í þessari handbók munum við búa til lyklaparið með því að nota ECDSA reikniritið sem veitir betri dulkóðun og öryggi.
Þess vegna, til að búa til ECDSA lyklaparið, keyrðu skipunina:
$ ssh-keygen -t ecdsa
Skipunin mun leiða þig í gegnum röð leiðbeininga.
Sjálfgefið er að lyklaparið er vistað í heimaskrá notandans í ~/.ssh skránni. Þú getur samþykkt þetta sem áfangastað SSH lyklaparsins með því að ýta á ENTER á lyklaborðinu, annars geturðu tilgreint valinn slóð. Í þessari handbók höfum við ákveðið að fara með sjálfgefna leiðinni.
Næst verðurðu beðinn um að gefa upp lykilorð. Þetta er í grundvallaratriðum lykilorð sem þú verður að gefa upp þegar þú kemur á tengingu við ytra RHEL 9 kerfið. Það veitir aukið lag af vernd ofan á dulkóðunina sem SSH lyklarnir bjóða upp á.
Hins vegar, ef áætlun þín er að gera sjálfvirkan ferla yfir SSH verndina eða stilla lykilorðslausa auðkenningu, er mælt með því að skilja þetta eftir autt. Og þess vegna munum við skilja þetta eftir autt með því að ýta enn og aftur á ENTER.
Hér að neðan er úttak stjórnunartímans.
Þú getur litið á SSH lyklaparið með því að nota ls skipunina eins og sýnt er.
$ ls -l ~/.ssh
id_ecdsa er einkalykillinn á meðan id_ecdsa.pub er almenni lykillinn. Einkalykillinn ætti alltaf að vera leyndarmál og ætti ekki að deila eða opinbera neinum. Aftur á móti er þér frjálst að deila almenningi með hvaða ytra kerfi sem þú vilt tengjast.
Skref 2: Afritaðu opinberan SSH lykil yfir á fjarstýrðan RHEL 9
Næsta skref er að afrita opinbera lykilinn í ytra RHEL 9 tilvikið. Þú getur gert þetta á handvirkan hátt eða með því að nota ssh-copy-id skipanalínutólið. Þar sem hið síðarnefnda er miklu auðveldara og þægilegra í notkun, kallarðu á það með eftirfarandi setningafræði.
$ ssh-copy-id [email
Í okkar tilviki verður skipunin sem hér segir þar sem tecmint er venjulegur innskráningarnotandi og 192.168.254.129 er IP vistfang ytri notandans.
$ ssh-copy-id [email
Sláðu inn já til að halda áfram að tengjast. Gefðu síðan upp lykilorð fjarnotandans og ýttu á ENTER.
Opinberi lykillinn verður afritaður í authorized_keys skrána í ~/.ssh möppunni í heimaskrá ytri notandans. Þegar lykillinn hefur verið afritaður geturðu nú skráð þig inn á ytra RHEL 9 tilvikið með því að nota auðkenningu almenningslykils.
ATHUGIÐ: Í RHEL 9 er rót innskráning yfir SSH óvirk eða sjálfgefið hafnað. Þetta er af góðum ástæðum - það kemur í veg fyrir að árásarmaður skrái sig inn með því að nota rótarreikninginn sem mun veita honum öll forréttindi á kerfinu. Því mistekst að afrita almenna lykilinn í RHEL kerfið sem rót.
Ef þú þarft að skrá þig inn sem rót þarftu að breyta sjálfgefnum SSH stillingum sem hér segir.
$ sudo vim /etc/ssh/sshd_config
Næst skaltu stilla PermitRootLogin eigindina á já og vista breytingarnar og loka skránni.
Til að beita breytingunum sem gerðar eru skaltu endurræsa SSH þjónustuna.
$ sudo systemctl restart ssh
Skref 3: Staðfestu SSH opinber lykilauðkenningu
Nú skulum við staðfesta auðkenningu almenningslykils. Til að gera þetta skaltu skrá þig inn á eftirfarandi hátt.
$ ssh [email
Að þessu sinni verður þú ekki beðinn um lykilorð og þú munt falla beint í ytri RHEL 9 skelina eins og sýnt er. Þú gætir líka viljað staðfesta tilvist authorized_keys skráarinnar eins og fyrr segir.
$ ls -l ~/.ssh
Þú getur líka skoðað dulmáls almenningslykilskrána með því að nota cat skipunina.
$ cat ~/.ssh/authorized_keys
Á Linux skjáborðinu þar sem við bjuggum til SSH lyklana er skrá sem heitir known_hosts búin til í ~/.ssh möppunni. Þetta inniheldur fingrafar allra ytri netþjóna sem kerfið hefur tengt við.
Í þessari handbók höfum við stillt SSH lykla-undirstaða auðkenningu á RHEL 9. Viðbrögð þín eru mjög vel þegin.