Hallo Linux-Geeks, es ist immer eine gute Praxis, dass Linux-Systeme ssh mit Schlüsseln statt mit dem Passwort sein sollten. SSH-Schlüssel (Secure Shell) bieten uns eine sichere Möglichkeit, uns bei Linux- und UNIX-ähnlichen Servern anzumelden. Wenn wir mit SSH-Schlüsseln auf Linux-Systeme zugreifen, wird dies auch als passwortlose SSH-Authentifizierung bezeichnet.
In diesem Beitrag lernen wir, wie man eine passwortlose SSH-Authentifizierung mit Schlüsseln unter Linux einrichtet.
Details zur Lab-Einrichtung:
- Jump Host (Rocky Linux) – SSH-Client – 192.168.1.135
- Remote-Linux-System (Ubuntu 20.04) – 192.168.1.130
Lassen Sie uns tief in die Schritte eintauchen,
Schritt 1) Generieren Sie SSH-Schlüssel auf dem Jump-Host mit dem Befehl ssh-keygen
Melden Sie sich beim Jump-Host an, in meinem Fall verwende ich „sysadm“. Führen Sie den Befehl ssh-keyen aus, um mithilfe des RSA-Algorithmus öffentliche und private Schlüssel für sysadm zu generieren
$ ssh-keygen -t rsa
Dieser Befehl fordert Sie auf, den Pfad des öffentlichen und privaten Schlüssels einzugeben. Wenn Sie den Standardpfad beibehalten möchten, drücken Sie die Eingabetaste und drücken Sie auch die Eingabetaste, wenn Sie aufgefordert werden, die Passphrase festzulegen.
Die Ausgabe des Befehls ssh-keygen würde wie folgt aussehen:
Hinweis:Standardmäßig generiert der Befehl ssh-keygen Schlüssel mit einer Größe von 2048 Bit. Wenn Sie die Größe der Schlüssel ändern möchten, verwenden Sie die Option „-b“, gefolgt von der Größe in Bits. Beispiel ist unten gezeigt,
$ ssh-keygen -t rsa -b 4096
Schritt 2) Kopieren Sie den öffentlichen Schlüssel des Benutzers auf das Remote-Linux-System
Verwenden Sie den Befehl „ssh-copy-id“, um den öffentlichen Schlüssel des Benutzers in die Datei „authorized_keys“ des entfernten Linux-Systembenutzers zu kopieren.
Syntax:ssh-copy-id
$ ssh-copy-id [email protected]
Ausgabe
Schritt 3) Testen Sie die passwortlose SSH-Authentifizierung
Versuchen Sie nun, das Remote-System vom Jump-Host per SSH zu senden.
$ ssh [email protected]
Ausgabe,
Die perfekte, obige Ausgabe bestätigt, dass wir uns beim Remote-System anmelden können, ohne ein Passwort anzugeben.
Im Folgenden sind die wichtigen Punkte aufgeführt, die beim Einrichten der passwortlosen Authentifizierung zu berücksichtigen sind.
- Sobald die Schlüssel ausgetauscht und getestet sind, sollten wir die Root-Anmeldung und die passwortbasierte Authentifizierung für Root und andere Benutzer deaktivieren.
Bearbeiten Sie dazu die Datei ‚/etc/ssh/sshd_config‘ und setzen Sie die folgenden Parameter.
PermitRootLogin no PubkeyAuthentication yes PasswordAuthentication no UsePAM yes
Speichern und beenden Sie die Datei und starten Sie den SSH-Dienst mit dem folgenden systemctl-Befehl neu.
$ sudo systemctl restart sshd
- Ein weiterer wichtiger Punkt ist, dass der Remote-Benutzer, in unserem Fall „kadmin“, Teil der sudo-Gruppe sein und Administratorrechte haben sollte, damit er administrative Aufgaben ausführen kann.
Das ist alles aus diesem Beitrag. Ich hoffe, Sie fanden ihn informativ. Bitte hinterlassen Sie Ihre Fragen und Ihr Feedback im Kommentarbereich unten.
Auch lesen : 10 Beispiele für iftop-Befehle in Linux