SSH (Secure Shell) ist ein verschlüsseltes Protokoll, das es Client-Systemen ermöglicht, sicher mit einem Server zu kommunizieren. Sie können sich remote mit Ihrem System verbinden, administrative Aufgaben ausführen und auf Dateien zugreifen. Die Kommunikation mit dem Server über SSH-Schlüssel ist sicherer und bequemer als die Kennwortauthentifizierung.
Hier bei LinuxAPT helfen wir unseren Kunden im Rahmen unserer Server Management Services regelmäßig dabei, entsprechende SSH-Abfragen durchzuführen.
In diesem Zusammenhang werden wir untersuchen, wie SSH-Schlüssel auf einem Debian 9-System erstellt und auf verschiedene Weise auf den Server kopiert werden.
Wie kann ich SSH-Schlüssel auf Debian erstellen?
Bevor Sie dieses Verfahren durchführen, stellen Sie sicher, dass Sie einen Benutzer mit sudo-Berechtigungen verwenden.
ich. Zunächst erstellen wir mit dem folgenden Befehl ein Schlüsselpaar auf dem Clientsystem:
$ ssh-keygen
ii. Standardmäßig generiert ssh-keygen ein 2048-Bit-RSA-Schlüsselpaar. Wenn Sie einen größeren 4096-Bit-Schlüssel erstellen möchten, können Sie -b 4096 wie folgt im Flag übergeben:
$ ssh-keygen -t rsa -b 4096
Die Ausgabe sollte wie folgt aussehen:
Output
Generating public/private rsa key pair.
Enter file in which to save the key (/home/yourusername/.ssh/id_rsa):
iii. Drücken Sie die Eingabetaste, um die Schlüsselpaare im Verzeichnis ./ssh zu speichern, oder Sie können den Speicherort nach Ihrer Wahl angeben.
Danach werden Sie aufgefordert, eine sichere Passphrase wie unten beschrieben einzugeben. Die Passphrase fügt Ihren Schlüsseln eine zusätzliche Sicherheitsebene hinzu. Es ist optional, wenn Sie es nicht festlegen möchten, können Sie es überspringen, indem Sie einfach die Eingabetaste drücken.
Output
Enter passphrase (empty for no passphrase):
Als nächstes sehen Sie die Ausgabe wie folgt:
Your identification has been saved in /home/yourusername/.ssh/id_rsa.
Your public key has been saved in /home/yourusername/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:+cxkUbcUyFc7jXMHnQNlm/2O8rj+yDyP5Rnt29ov8Bc [email protected]
The key's randomart image is:
+---[RSA 2048]----+
| ..oB*o|
| .ooo*B|
| . .+=*|
| . . o+|
| S o .|
| * . E |
| + .o+ +|
| o.Oo=o|
| .O=B=B|
+----[SHA256]-----+
Jetzt haben Sie öffentliche und private Schlüssel, mit denen Sie sich bei Ihrem Debian-Server authentifizieren können.
iv. Sie können auch überprüfen, ob Ihre Dateien generiert wurden oder nicht, indem Sie Folgendes eingeben:
ls ~/.ssh/id_*
Die Ausgabe wird wie folgt angezeigt:
/home/yourusername/.ssh/id_rsa /home/yourusername/.ssh/id_rsa.pub
Wie kopiert man den öffentlichen Schlüssel auf den Debian-Server?
Der nächste Schritt besteht nun darin, den öffentlichen Schlüssel auf Ihrem Debian-Server zu platzieren. Eine einfache und schnelle Methode zum Kopieren von Public ist die Verwendung des Dienstprogramms ssh-copy-id.
Führen Sie den folgenden Befehl aus:
$ ssh-copy-id username@server_ip_address
Sie werden aufgefordert, das Passwort für Ihren Benutzernamen einzugeben:
Output
username@server_ip_address's password:
Sobald der Benutzer erfolgreich authentifiziert ist, wird der öffentliche Schlüssel an die Datei ~/.ssh/authorized_keys auf dem entfernten Benutzer angehängt und die Verbindung wird getrennt.
Output
Number of key(s) added: 1
Jetzt können Sie versuchen, sich mit dem Befehl ssh username@server_ip_address bei Ihrem Computer anzumelden und überprüfen, ob nur die Schlüssel hinzugefügt wurden, die Sie hinzufügen möchten.
Wenn auf Ihrem lokalen System das Dienstprogramm ssh-copy-id nicht installiert ist, können Sie den öffentlichen Schlüssel mit dem folgenden Befehl kopieren:
cat ~/.ssh/id_rsa.pub | ssh remote_username@server_ip_address "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"
Stellen Sie sicher, dass Sie passwortbasierten SSH-Zugriff auf Ihren Server haben, dann können nur Sie die obige Methode verwenden.
Wie melde ich mich mit SSH-Schlüsseln beim Server an?
Jetzt sollten Sie sich ohne das Kennwort des Remote-Benutzers beim Remote-Computer anmelden können.
Sie können versuchen, eine Verbindung mit dem SSH-Befehl herzustellen:
$ ssh username@server_ip_address
Wenn Sie sich zum ersten Mal anmelden, werden Sie möglicherweise wie folgt aufgefordert.
Geben Sie yes ein und drücken Sie die Eingabetaste, um fortzufahren:
Output
The authenticity of host '192.168.27.18 (192.168.27.18)' can't be established.
ECDSA key fingerprint is ed:ed:f4:g9:66:ge:53:48:e1:55:00:fd:6d:d7:22:fe.
Are you sure you want to continue connecting (yes/no)? yes
Wenn Sie jetzt keine Passphrase für Ihre Schlüssel festgelegt haben, werden Sie sofort angemeldet, ohne nach der Passphrase zu fragen. Andernfalls wird nach der Passphrase gefragt. Nach erfolgreicher Authentifizierung öffnet eine neue Shell-Session Ihr Benutzerkonto auf dem Debian-Server.
Wie deaktiviere ich die SSH-Passwortauthentifizierung?
Sie können eine weitere Sicherheitsebene hinzufügen, indem Sie die Kennwortauthentifizierung für SSH deaktivieren. Bevor Sie mit dem Vorgang beginnen, vergewissern Sie sich, dass Sie sich bei Ihrem Server authentifizieren können, ohne ein Passwort einzugeben, und dass Sie über ein sudo-fähiges Benutzerkonto verfügen müssen.
ich. Melden wir uns mit ssh bei Ihrem Server an:
$ ssh username@server_ip_address
ii. Bearbeiten Sie nun die SSH-Konfigurationsdatei unter /etc/ssh/sshd_config:
$ sudo nano /etc/ssh/sshd_config
iii. Suchen Sie die PasswordAuthentication-Direktive und wenn die Zeile auskommentiert ist, kommentieren Sie die Zeile aus und setzen Sie den Wert auf "no", wie unten angegeben:
PasswordAuthentication no
iv. Speichern und schließen Sie die Datei. Sie müssen den SSH-Dienst mit dem folgenden Befehl neu starten:
$ sudo systemctl restart ssh
Jetzt ist die passwortbasierte Authentifizierung auf Ihrem Debian-Server deaktiviert.