SSH (Secure Shell) ist ein verschlüsseltes Protokoll, das verwendet wird, um sicher zwischen dem Client-System und dem Server zu kommunizieren. Sie können administrative Aufgaben ausführen, sich remote mit Ihrem System verbinden und auf Dateien zugreifen. Es ist eine sehr sichere Art, mit dem Server über SSH-Schlüssel zu kommunizieren, auch bequemer als die Passwortauthentifizierung.
Hier bei LinuxAPT helfen wir unseren Kunden im Rahmen unserer Server Management Services regelmäßig dabei, entsprechende SSH-Abfragen durchzuführen.
In diesem Zusammenhang werden wir untersuchen, wie SSH-Schlüssel auf einem CentOS 7-System erstellt und auf verschiedene Weise auf den Server kopiert werden.
Wie erstelle ich SSH-Schlüssel auf CentOS?
ich. Bevor Sie mit diesem Konfigurationsverfahren fortfahren, stellen Sie sicher, dass Sie einen Benutzer mit sudo-Berechtigungen verwenden.
ii. Beginnen Sie dann mit der Generierung eines Schlüsselpaars auf dem Clientsystem mit dem folgenden Befehl:
$ ssh-keygen
Standardmäßig generiert ssh-keygen ein 2048-Bit-RSA-Schlüsselpaar.
iii. Sie können auch einen größeren 4096-Bit-Schlüssel erstellen, indem Sie einfach -b 4096 im Flag wie unten angegeben übergeben:
$ ssh-keygen -t rsa -b 4096
Die Ausgabe wird wie folgt angezeigt:
Output
Generating public/private rsa key pair.
Enter file in which to save the key (/home/yourusername/.ssh/id_rsa):
iv. Drücken Sie die Eingabetaste, um die Schlüsselpaare im Verzeichnis ./ssh zu speichern, das der Standardspeicherort ist, oder Sie können den Speicherort nach Ihrer Wahl angeben.
Danach werden Sie aufgefordert, eine sichere Passphrase wie unten beschrieben einzugeben. Es empfiehlt sich, eine Passphrase festzulegen, die Ihren Schlüsseln eine zusätzliche Sicherheitsebene hinzufügt. Es ist obligatorisch, Sie können es also überspringen, indem Sie einfach die Eingabetaste drücken.
Output
Enter passphrase (empty for no passphrase):
Die Ausgabe wird wie folgt generiert:
Your identification has been saved in /home/yourusername/.ssh/id_rsa.gespeichert
Your public key has been saved in /home/yourusername/.ssh/id_rsa.pub.
Der Schlüsselfingerabdruck ist:
SHA256:Vh9pii66/e/md3LLJUuUILZuz37uGg8Yeokkdv7xwCE [email protected]
The key's randomart image is:
+---[RSA 4096]----+
| |
| . |
| + = |
| + * o . |
| o E = . o |
| . B * = . |
| . = X o o .|
| o . +.*o*++ |
| o....==o*OB. |
+----[SHA256]-----+
Ihre öffentlichen und privaten Schlüssel können zur Authentifizierung bei Ihrem CentOS-Server verwendet werden.
Sie können auch überprüfen, ob Ihre Dateien generiert wurden oder nicht, indem Sie Folgendes eingeben:
$ ls ~/.ssh/id_*
Die Ausgabe wird wie folgt angezeigt:
/home/yourusername/.ssh/id_rsa /home/yourusername/.ssh/id_rsa.pub
Wie kopiere ich den öffentlichen Schlüssel auf den CentOS-Server?
Hier werden wir den öffentlichen Schlüssel auf unserem CentOS-Server platzieren. Mit dem Dienstprogramm ssh-copy-id können Sie die Öffentlichkeit schnell und einfach kopieren.
ich. Führen Sie dazu den folgenden Befehl aus:
$ ssh-copy-id username@server_ip_address
Sie werden aufgefordert, das Passwort für Ihren Benutzernamen einzugeben:
Output
username@server_ip_address's password:
Sobald die Benutzerauthentifizierung erfolgreich ist, wird der öffentliche Schlüssel an die Datei ~/.ssh/authorized_keys auf dem entfernten Benutzer angehängt und die Verbindung wird getrennt:
Output
Number of key(s) added: 1
ii. Jetzt können Sie versuchen, sich mit dem Befehl ssh username@server_ip_address bei Ihrem Computer anzumelden und überprüfen, ob nur die Schlüssel hinzugefügt wurden, die Sie hinzufügen möchten.
Wenn auf Ihrem Client-System das Dienstprogramm ssh-copy-id nicht installiert ist, können Sie den öffentlichen Schlüssel mit dem folgenden Befehl kopieren:
$ cat ~/.ssh/id_rsa.pub | ssh remote_username@server_ip_address "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"
Stellen Sie sicher, dass Sie passwortbasierten SSH-Zugriff auf Ihren Server haben.
Wie melde ich mich mit SSH-Schlüsseln beim Server an?
Jetzt sollten Sie sich ohne das Kennwort des Remote-Benutzers beim Remote-Computer anmelden können.
ich. Versuchen Sie, eine Verbindung mit dem SSH-Befehl herzustellen:
$ ssh-Benutzername@Server-IP-Adresse
Wenn Sie versuchen, sich zum ersten Mal anzumelden, werden Sie möglicherweise wie folgt aufgefordert.
ii. Geben Sie yes ein und drücken Sie die Eingabetaste, um fortzufahren:
Output
The authenticity of host '192.168.43.9 (192.168.43.9)' can't be established.
ECDSA key fingerprint is ed:ed:f4:g9:66:ge:53:48:e1:55:00:fd:6d:d7:22:fe.
Are you sure you want to continue connecting (yes/no)? yes
Wenn Sie jetzt keine Passphrase für Ihre Schlüssel festgelegt haben, werden Sie sofort angemeldet, ohne nach der Passphrase zu fragen. Andernfalls werden Sie aufgefordert, die Passphrase einzugeben. Nach erfolgreicher Authentifizierung öffnet eine neue Shell-Session Ihr Benutzerkonto auf dem CentOS-Server.
Wie deaktiviere ich die SSH-Passwortauthentifizierung?
Es wird eine weitere Sicherheitsebene hinzugefügt, wenn Sie die Passwortauthentifizierung für SSH deaktivieren. Bevor Sie mit dem Vorgang beginnen, vergewissern Sie sich, dass Sie sich bei Ihrem Server authentifizieren können, ohne ein Passwort einzugeben, und dass Sie über ein sudo-fähiges Benutzerkonto verfügen müssen.
ich. Versuchen Sie, sich mit ssh:
bei Ihrem Server anzumelden$ ssh username@server_ip_address
ii. Bearbeiten Sie nun die SSH-Konfigurationsdatei unter /etc/ssh/sshd_config:
$ sudo nano /etc/ssh/sshd_config
Suchen Sie die PasswordAuthentication-Direktive und wenn die Zeile auskommentiert ist, kommentieren Sie die Zeile aus und setzen Sie den Wert auf "no", wie unten angegeben:
PasswordAuthentication no
iii. Speichern und schließen Sie die Datei.
iv. Sie müssen den SSH-Dienst mit dem folgenden Befehl neu starten:
$ sudo systemctl restart sshd
Jetzt ist die passwortbasierte Authentifizierung auf Ihrem CentOS-Server deaktiviert.