Ключ ssh: Как создать ключ для авторизации по SSH и добавить его на сервер?

Как создать ключ для авторизации по SSH и добавить его на сервер?

Ключ к заданию для «Пятницы 13-е» - jason

SSH-ключи используются для идентификации клиента при подключении к серверу по SSH-протоколу. Используйте этот способ вместо аутентификации по паролю.

SSH-ключи представляют собой пару — закрытый и открытый ключ. Закрытый должен храниться в закрытом доступе у клиента, открытый отправляется на сервер и размещается в файле authorized_keys.

Создание SSH-ключей в Linux на примере CentOS

На клиентской стороне должен быть установлен пакет ssh (openssh). На серверах FirstVDS с шаблонами по умолчанию необходимое ПО уже установлено.

yum -y install openssh-server openssh-clients

На клиентском компьютере в командной строке выполните команду генерации ключей:

ssh-keygen

Введите путь файла, в который будут помещены ключи. Каталог по умолчанию указан в скобках, в примере /домашний_каталог/.ssh/id_rsa. Если хотите оставить расположение по умолчанию, нажмите

Пароль (passphrase) используется для ограничения доступа к закрытому ключу. Пароль усложнит использование ключа третьими лицами в случае утраты. Если не хотите использовать секретную фразу, нажмите Enter без заполнения строки.

Успешно сгенерировав пару ключей, вы увидите уведомление:

Открытый ключ хранится в файле /домашний_каталог/.ssh/id_rsa.pub, закрытый — /домашний_каталог/.ssh/id_rsa.

Скопируйте открытый ключ на сервер в файл  /домашний_каталог/.ssh/authorized_keys. Одной строкой:

cat ~/.ssh/id_rsa.pub | ssh root@ip-адрес-сервера 'cat >> ~/.ssh/authorized_keys'

Или откройте этот файл на сервере редактором

Ещё один способ скопировать ключ в authorized_keys — команда echo, которая помещает строку в конец файла. 

echo ssh-rsa строка-публичного-ключа >> /root/.ssh/authorized_keys

Теперь можно отключить на сервере аутентификацию по паролю и использовать только SSH-ключи.

Создание SSH-ключей на Windows с PuTTYgen

Если вы используете ОС Windows, то подключиться по SSH к вашему (Linux) серверу можно через PuTTY или OpenSSH. Генерация ключей в этом случае выполняется также при помощи этих программ. В примере мы используем клиент PuTTY.

Запустите приложение PuTTYgen, которое устанавливается вместе с PuTTY.

Выберите тип ключа SSh3-RSA и нажмите Generate.

В процессе генерации ключей несколько раз произвольно проведите мышкой по экрану приложения для создания случайных величин, используемых для ключей.

После завершения создания ключей открытый ключ выводится на экран, закрытый хранится в памяти приложения. Чтобы сохранить эти ключи нажмите Save public key и Save private key. Укажите расположение файлов с ключами. 

При сохранении закрытого ключа, если не заполнено поле Key passphrase, появится запрос «Хотите ли вы сохранить ключ без секретной фразы?»

Теперь открытый ключ необходимо скопировать на сервер в файл authorized_keys. Используйте WinSCP или другой клиент для работы с файлами на удалённом Linux-сервере. Вы можете скопировать файл с открытым ключом целиком на сервер, чтоб его копия хранилась в папке .ssh

Откройте файл authorized_keys через WinSCP и файл, в который вы сохранили открытый ключ (public), на локальном компьютере текстовым редактором. Скопируйте значение ключа, сохраните и закройте файл в WinSCP.

При запуске PuTTY укажите путь к закрытому ключу на локальном компьютере. Для этого во вкладке Connections → Auth выберите необходимый путь.

Теперь можно отключить на сервере аутентификацию по паролю и использовать только SSH-ключи.

Отключение аутентификации по паролю

Подключитесь к серверу по SSH, используя пароль, и откройте файл sshd_config для редактирования.

vi /etc/ssh/sshd_config

Убедитесь, что указан правильный путь к открытым ключам SSH, поставьте значение параметра

Перезапустите службу sshd.

service sshd restart

Подключитесь к серверу по SSH без использования пароля. Например, запустите PuTTY, проверьте, что во вкладке Connections -> Auth содержится путь к закрытому ключу и откройте подключение.

В случае успешной аутентификации по SSH-ключу вы получите доступ к командной строке сервера и сообщение вида Authenticating with public key «rsa-key-20170510», где rsa-key-20170510 — имя применённого закрытого ключа, указанное вами в файле authorized_keys.

Что такое протокол SSH | Hexlet Guides

SSH — защищенный протокол для удаленного доступа к компьютерам. Через SSH можно выполнять операции в командной строке компьютера, который физически находится в другом месте.

Иными словами, SSH — это дистанционная командная строка. Визуально вы работаете на своем компьютере, но в реальности — на другом.

Что значит «протокол»?

Протокол — это набор соглашений, правил, по которым разные программы могут обмениваться информацией. SSH — это набор правил, который известен и вашему компьютеру, и физически отдаленному компьютеру.

Пример: вы вводите команду удаления файла, и эта команда передается на другой компьютер и выполняется там. Ответ (или сообщение об ошибке) возвращается и показывается на вашем компьютере.

Что значит «защищенный»?

Вся информация передается в зашифрованном виде. Подобно тому, как некоторые сайты работают по HTTPS, шифруя информацию. Например, ваш онлайн-банкинг обязательно должен работать по защищенному соединению. В таком случае даже если всю информацию перехватывает злоумышленник, он не сможет расшифровать её.

Для чего нужен SSH?

Не всегда есть возможность физически находиться у компьютера, с которым нужно работать. Например, если вы хотите создать свой сайт, то он будет размещен на компьютере хостинг-провайдера. Этот компьютер может находиться на другом конце света. Вам нужен способ запускать команды на этом компьютере не выходя из своего дома.

Как подключаться по SSH?

Для подключения к удаленной машине по SSH нужен клиент — специальная программа. В *nix-подобных системах (Linux, macOS) клиент обычно установлен в системе по умолчанию, и достаточно открыть терминал. В Windows нужно скачать сторонний клиент, например, Putty.

Для подключения нужно указать адрес сервера и, опционально, имя пользователя и порт. Вот как выглядит команда при использовании консольного клиента (в терминале):

ssh username@remote_host -p port

Например, для подключения к серверу 52.307.149.244 в аккаунт ivan нужно ввести:

Если не указывать порт, то будет использован порт SSH по умолчанию — 22. Используемый порт задается при настройке SSH-сервера, программы, которая запущена на удаленном компьютере и ожидает подключения извне.

В графическом клиенте вроде Putty нужно ввести ту же информацию в соответствующие поля:

Fingerprint

При первом подключении появится сообщение:

The authenticity of host '52.307.149.244 (52.307.149.244)' can't be established.
ECDSA key fingerprint is fd:fd:d4:f9:77:fe:73:84:e1:55:00:ad:d6:6d:22:fe.
Are you sure you want to continue connecting (yes/no)? yes

Введите yes в первый раз.

Это нужно для повышения безопасности. При настройке SSH-сервера создается уникальная комбинация символов — fingerprint («отпечатки пальцев»). Ваш компьютер запоминает эту комбинацию и сверяет ее при каждом новом соединении. Если кто-то переустановит SSH-сервер, или всю операционную систему, или вообще заменит удаленный компьютер, сохранив его адрес, то при следующем соединении вы узнаете об этом, потому что изменится fingerprint.

Если fingerprint не меняется, то такое сообщение не будет появляться.

Подключение по SSH по паролю

Простейший вариант — подключение по паролю. После ввода команды ssh система запросит пароль:

[email protected]'s password: 

Пароль придется вводить каждый раз.

Подключение по SSH по ключу, без пароля

Для удобного подключения по SSH (и многим другим сервисам) без ввода пароля можно использовать ключи.

Нужно создать пару ключей:

Эти ключи связаны друг с другом таким образом, что зашифровав информацию одним ключом, расшифровать ее можно только другим. Например, если ваш друг зашифрует письмо вашим публичным ключом, то прочитать его сможете только вы, потому что для этого нужен ваш приватный ключ. И наоборот: если вы зашифруете что-то своим приватным ключом, то расшифровать его можно только вашим публичным ключом. Так как публичный ключ доступен всем, любой может расшифровать это сообщение. Но он может быть уверен, что сообщение пришло именно от вас. В этом заключается идея цифровой подписи.

Генерация ключей

Создадим пару ключей:

Программа запустится и спросит, куда сохранять ключи:

Generating public/private rsa key pair.
Enter file in which to save the key (/home/demo/.ssh/id_rsa):

Нажмите Enter для сохранения в стандартное место — директорию .ssh/id_rsa в вашей домашней директории.

Программа запросит passphrase. Это вроде пароля для ключа. Можно просто нажать Enter и пропустить этот шаг. Или ввести passphrase — тогда его нужно будет вводить каждый раз, когда используется ключ.

Enter passphrase (empty for no passphrase):
Enter same passphrase again:
 

Ключи созданы:

Your identification has been saved in /home/demo/.ssh/id_rsa.
Your public key has been saved in /home/demo/.ssh/id_rsa.pub.
The key fingerprint is:
8c:e9:7c:fa:bf:c4:e5:9c:c9:b8:60:1f:fe:1c:d3:8a root@here
The key's randomart image is:
+--[ RSA 2048]----+
|                 |
|                 |
|                 |
|       +         |
|      o S   .    |
|     o   . * +   |
|      o + = O .  |
|       + = = +   |
|      ....Eo+    |
+-----------------+

Теперь у вас есть два файла:

• ~/.ssh/id_rsa — приватный ключ. Никогда никому и никуда не передавайте его!
• ~/.ssh/id_rsa.pub
  — публичный ключ. Спокойно распространяйте его.

В Windows можно использовать ssh-gen в подсистеме Ubuntu for Windows или в командной строке Git for Windows. Или создавать ключи графической утилитой вроде PuTTYgen.

Загрузка публичного ключа на сервер

Нужно добавить публичный ключ на сервер в файл ~/.ssh/authorized_keys. Самый простой способ — запустить на локальной машине команду для копирования ключа:

ssh-copy-id -i /home/demo/.ssh/id_rsa.pub [email protected]

Другой способ — подключиться по паролю, открыть в редакторе файл ~/.ssh/authorized_keys и добавить в конец текст из вашего файла ~/.ssh/id_rsa.pub.

Теперь при подключении пароль запрашиваться не будет

После включения соединений по ключу рекомендуется отключить подключение по паролю.

ssh-agent

При работе с ключами возможны две неудобные ситуации:

1. Если при создании ключа вы указали passphrase (пароль для ключа), то вам придется вводить пароль при каждом подключении.
2. Если у вас есть несколько ключей для разных целей, то при соединении по ssh придется указывать нужный ключ вручную

ssh-agent решает эти проблемы. Этот агент аутентификации (authentication agent) работает на фоне в *nix-системах. В зависимости от системы, вам, возможно, придется установить и настроить его автозапуск самостоятельно.

Если добавить ключ к агенту, то:

1. для него больше не будет спрашиваться passphrase
2. не нужно будет вводить ключ вручную — он будет автоматически использован при соответствующем подключении

ssh-add /home/demo/.ssh/id_rsa добавит ключ id_rsa в запущенный в системе агент. Если у него есть passphrase, то агент попросит ввести его.

Если запустить ssh-add без аргументов, то будут добавлены ключи ~/.ssh/id_rsa, ~/.ssh/id_dsa, ~/.ssh/id_ecdsa, ~/.ssh/id_ed25519 и ~/.ssh/identity.

Список добавленных в агент ключей можно посмотреть командой ssh-add -L:

→ ssh-add -L
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC91r/+5WEQHcxVMrxpP9jKuONjlrnEHshfG3v/ab2NKDSljdskODOIsdhaaoDoiSADhAaoDISHasoiDiASisjadOHISDdKJDASHSidshIHDSIHDIAsdjasAs7XG/drBhi16zQ2e8VcLD7bVQS1Cpo0O1tP+93YQBvcIE02RltqVKYo7BlgCaJzpdowK8fHSzpfCYsEFjdjosOjfdsjdjkAJOKkKKHJHhaIiAiaihsiIoqkpqdmlnvnuuUSCaAS8aDhajiadiiAahhakKAKDHAKurmD08jnX9HfH/d15pLK/Glo1Su6iEOU3bW8k92QlY54pPFLKiNRPFuUryE5md7T /Users/demo/.ssh/some_key.pem
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAsLC9WpSZ/9YpQ2z1FTSsORcP+ohzCdVjYaoc3C0fRnUbkp4SnvMHFTHNFFod0FhV0cQcOLvBsZAK/0tUPIXeDDFvYD70r5i0AsQbqA0k7gK3b3MP7tmnPxMHd607TI+1FMO54Yig0vnpZOgKmgCsxWq6tckwyLB91BlPiGxLBZiu5yPDIguEQCSnAwkF0vjqrNGsoHB4+fkj0USfjiifsjihf39hifSIHiJFHSijshfj39jfsjisfiisfiissr893IFsifijfsjSOIiAShadfhssU0q0JpjaDEWcMmYXmuz3xSnbhkueGLBXMU2zXDFDWCDSHq9/oRr29UAfVaHAMw== /Users/demo/.ssh/id_rsa

ssh-agent привязан к сессии. Поэтому, например, если перезагрузить компьютер, то ключи нужно будет добавлять в агент заново.

Форвардинг (проброс) ключей

Если вы подключились к удаленному серверу X, и с него хотите подключиться к другому серверу Y, например, чтобы сделать git pull с GitHub’а, то придется держать копию ваших ключей на сервере X.

Утилита ssh с флагом -A позволяет «пробросить» ключи с подключаемой машины в удаленную:

ssh -A [email protected]

Ключи, добавленные к агенту аутентификации (ssh-agent) станут доступными на удаленном сервере. При этом файлы-ключи физически не будут находиться на сервере.

Дополнительные ссылки

1. Основы SSH / Видео на канале Хекслета
2. SSH Essentials: Working with SSH Servers, Clients, and Keys
3. Памятка пользователям ssh

1. Возможность и специфика подключения по ключу зависит от настроек SSH-сервера. Возможно такое, что подключение по ключу запрещено администратором.

Рахим Давлеткалиев

Как сгенерировать SSH-ключ для доступа на сервер – Vscale Community

Использование SSH-ключей —простой и надёжный способ  обеспечения безопасности соединения с сервером.  В отличие от пароля, взломать SSH-ключ практически невозможно. Сгенерировать SSH-ключ очень просто.

Linux/MacOS

Откройте терминал и выполните команду:

$ ssh-keygen -t rsa

На консоль будет выведен следующий диалог:

Enter file in which to save the key (/home/user/.ssh/id_rsa):

Нажмите на клавишу Enter.  Далее система предложит ввести кодовую фразу для дополнительной защиты SSH-подключения:

Enter passphrase (empty for no passphrase):

Этот шаг можно пропустить. При ответе на этот и следующий вопрос просто нажмите клавишу Enter.

После этого ключ будет создан, а на консоль будет выведено следующее сообщение:

Your identification has been saved in /home/user/.ssh/id_rsa.
Your public key has been saved in /home/user/.ssh/id_rsa.pub.
The key fingerprint is:
476:b2:a8:7f:08:b4:c0:af:81:25:7e:21:48:01:0e:98 user@localhost
The key's randomart image is:
+--[ RSA 2048]----+
|+.o.             |
|ooE              |
|oo               |
|o.+..            |
|.+.+..  S .      |
|....+  o +       |
|  .o ....        |
|  .  .. .        |
|    ....         |
+-----------------+

Далее выполните в терминале команду:

$ cat ~/.ssh/id_rsa.pub

На консоль будет выведен ключ. Скопируйте его и вставьте в соответствующее поле:

Нажмите на кнопку “Добавить.”

Добавив ключ, выполните в терминале команду:

$ ssh root@[IP-адрес сервера]

После этого соединение с сервером будет установлено. Вводить пароль при этом не потребуется.

Windows

В OC Windows подключение к удаленным серверам по SSH возможно, например, с помощью клиента Putty. Скачать его можно здесь (ссылка взята с официального сайта). Putty не требует установки  — чтобы начать с ним работать, достаточно просто распаковать скачанный архив.

По завершении распаковки запустите файл puttygen.exe.

Выберите тип ключа SSH-2 RSA и длину 2048 бит, а затем нажмите на кнопку Generate:

Во время генерации водите курсором в пустой области окна (это нужно для создания псевдослучайности):

Сохраните сгенерированную пару ключей на локальной машине (кнопки Save public key и Save private key).

Скопируйте сгененированный ключ и вставьте его в соответствующее поле:

tglnkSSH 

Использование SSH с доступом по ключам

Введение

Чтобы обезопасить свой сервер от взлома, рекомендуется использовать доступ по SSH через RSA ключи. Это может показаться сложным или нереализуемым, но на самом деле процесс прост. Кроме того, один и тот же ключ можно использовать для авторизации на множестве серверов. Рекомендуется иметь два ключа: один для работы и один для личных задач.

SSH ключ, в отличии от пароля подобрать почти нереально.

Почему необходим SSH ключ: хакеры долбятся на SSH порт до тех пор, пока не переберут пароль. И долбятся они с других взломанных серверов. Так что даже нельзя узнать, в какой стране находится сам хакер. Всё скриптами делается. Сначала один сервер покупают где-то далеко, где не найдёшь концы. Дальше он перебирает пароль для нескольких десятков. Потом наконец заходит на один, закачивает скрипт и запускает — и вот уже несколько штук перебирают сервера пароли до ещё десятков. их количество расчёт и мощность увеличивается. Поэтому и приходит сотня ошибок входа. Если пароль менее 12 символов, то его сломают, но не быстро. Если 8 или менее, то сломают быстро, может быть даже за одну ночь.

А если лень делать?

Если лень делать, то приготовьтесь терпеть кучу долбящихся на SSH порт серверов, решать жалобы, связанные со взломом, поиск вредоносных скриптов. Если вредоносный скрипт сделан искусно, то он может себя возрождать после перезагрузки сервера. Если его заразят таким скриптом, то кранты. Сервер, заражённый скриптом обычно ломает другие, одновременно с этим рассылая спам.

Поскольку Вы ответственны за администрирование своего сервера, то за защиту его от взлома ответственны также Вы. Не будьте врагом себе и используйте SSH ключи. Даже для тестовых серверов.

Ну а если поставить длинный пароль?

От входящих подключений с перебором пароля это не защитит. Их происходит по нескольку сотен в час.

Создание ключа

С помощью функционала SSH client (ssh-keygen)

Для начала перейдём к созданию ключа. Можно создавать ключ с помощью функционала SSH client, а можно через PuTTY.

SSH client (предполагает ОС Linux или MAC OS X)

ssh-keygen

После введения команды увидите следующий вывод:

Generating public/private rsa key pair. 

Enter file in which to save the key (/your_home/.ssh/id_rsa):

В ответе введите текст, который будет являться средством для раскрытия ключа. Сервер спросит его при подключении.
Если не желаете использовать passphrase, просто нажмите Enter.
Далее увидите подобный вывод о генерации ключа.

Налейте права на каталоги:

chmod 700 .ssh/ && chmod 600 ~/.ssh/authorized_keys

Скопируйте ключ на свой виртуальный сервер (должна быть разрешена авторизация по паролю через SSH):

ssh-copy-id root@ipaddress

Пароль при подключении запросить не должно. Если так и произошло, значит Вы правильно всё делаете. Теперь отредактируйте файл с конфигурации SSH, и расставьте нужные права и перезапустите sshd командой:

Генерация ключа через PuTTYgen

Теперь разберём вариант с PuTTY. Здесь чуть менее удобно. Предполагаю, что Вы используете Windows.
Откройте Пуск и найдите PuTTYgen. Запустите его.
Выберите Key: ssh-rsa и тип: SSH-2 RSA key, затем справа снизу укажите длину 2048 напротив поля Number of bits in generated key.
Нажмите «Generate». Поводите мышью, чтобы ключ сгенерировался (это не прикол, уровень энропии возрастает, когда есть движения мыши, PuTTYgen ориентируется на энтропию, создаваемую мышью).
Далее необходимо скопировать наш публичный ключ на сервер. Для этого подключитесь к нему через PuTTY как root с паролем.
Затем вставьте в блокнот код:

Вместо слова key вставьте то, что видите в public key, предварительно перенеся текст на одну строку! Затем замените comment коммантарием к ключу (это например: raptor@work). Подключитесь к серверу с паролем. Скопируйте код, вставьте его и выполните. Отключитесь от сервера.
Теперь попробуйте зайти через PuTTY уже с ключом. Для этого перед подключением зайдите в раздел SSH — Auth. Нажмите Browse и укажите программе файл в формате ppk.

Конвертация ключей из PuTTY в OpenSSH формат

Если у Вас есть и Windows машины и Linux рабочие станции, а хочется отосюду заходить с одним ключом, то лучше всего будет сначала создать ключ с PuTTYgen, а затем сконвертировать его в вид, который понимает ssh-client
Для этого установите PuTTY на Linux машине:

Теперь перейдите в каталог, где лежит ключ в формате ppk и откройте терминал оттуда:

Это создаст приватный ключ.

Это создаст публичный ключ.

Теперь откройте текстовым редактором файл my.pub

Допишите вначале ssh-rsa а в конце комментарий, например: raptor@work

Теперь через обозреватель файлов оба файла поместите в ~/.ssh и измените имена:

my.pub назовите id_rsa.pub а my.key назовите id_rsa

И затем налейте права:

chmod 700 .ssh/ && chmod 600 ~/.ssh/authorized_keys

Подключение с Android

Как поместить имеющийся OpenSSH ключ на Android смартфон

После конвертации ключа и его преобразования то же самое надо положить в директорию для ssh в Termux (так как у Termux своя директория для ssh). Удобнее всего это сделать по L2 сети через ssh Запустите ssh сервер на Termux, затем подключитесь туда по SSH из той же L2 сети (то есть, находящейся за одним роутером).
Выполните это со смартфона:

Затем задайте пароль:

Это будет пароль для подключения по SSH к смартфону

Теперь определите пользователя для подключения:

Узнайте, какой порт использует SSH клиент на Вашем смартфоне:

Прокрутите список и увидите SSH порт  Подключитесь с компьютера по ssh так:

login показала команда whoami на экране смартфона. sshport Вы увидели в netstat -at
Скопируйте публичный ключ как в предыдущей инструкции. Затем создайте ключ в каталоге Termux (напоминаю, что публичный ключ вместо key и комментарий наподобие raptor@work вместо comment):

chmod 700 .ssh/ && chmod 600 ~/.ssh/authorized_keys

Выйдите из Termux. Откройте его снова. Теперь можете подключаться к Вашим серверам с тем же ключом, что и на компьютере.

Подробные инструкции по созданию пары ключей SSH — Azure Virtual Machines

• 07/31/2020
• Чтение занимает 9 мин

В этой статье

Применимо к: ✔️ виртуальные машины Linux ✔️ гибкие масштабируемые наборы

С помощью пары ключей Secure Shell (SSH) можно создать виртуальную машину Linux, использующую ключи SSH для проверки подлинности. В этой статье показано, как создать и использовать пару файлов открытого и закрытого ключей SSH RSA для клиентских соединений по SSH.

Краткое описание команд приведено в разделе Как создать и использовать пару из открытого и закрытого ключей SSH для виртуальных машин Linux в Azure.

Сведения о создании ключей SSH и их использовании для подключения к компоненту с компьютера Windows см. в статье Использование ключей SSH с ОС Windows в Azure. Вы также можете использовать портал Azure для создания ключей SSH и управления ими при создании виртуальных машин на портале.

Общие сведения о SSH и ключах

SSH — это протокол зашифрованного подключения, обеспечивающий безопасный вход в систему через незащищенные соединения. SSH — это протокол подключения по умолчанию для виртуальных машин Linux, размещенных в Azure. Хотя протокол SSH и обеспечивает зашифрованное подключение, использование паролей для соединений SSH все же сохраняет уязвимость виртуальной машины к атакам методом подбора. Мы рекомендуем подключаться к виртуальной машине по SSH с помощью пары «открытый ключ — закрытый ключ», также известных как ключи SSH.

• Открытый ключ размещается на виртуальной машине с ОС Linux.

• Закрытый ключ остается в локальной системе. Его нужно защищать и нельзя никому предоставлять.

При использовании клиента SSH для подключения к виртуальной машине Linux (с открытым ключом) удаленная виртуальная машина проверяет, имеется ли у клиента правильный закрытый ключ. Если у клиента есть закрытый ключ, он получает доступ к виртуальной машине.

В зависимости от политик безопасности организации вы можете использовать отдельную пару из открытого и закрытого ключей для доступа к нескольким виртуальным машинам и службам Azure. Не нужно выделять отдельную пару ключей для каждой виртуальной машины или службы, к которой необходим доступ.

Открытый ключ можно предоставить любому пользователю, но только вы (или ваша локальная инфраструктура безопасности) должны иметь доступ к вашему закрытому ключу.

Поддерживаемые форматы ключей SSH

В настоящее время платформа Azure поддерживает пары из открытого и закрытого ключей SSH-2 RSA длиной не менее 2048 битов. Другие форматы ключей, например ED25519 и ECDSA, не поддерживаются.

Использование ключей SSH и их преимущества

При создании виртуальной машины Azure с открытым ключом платформа Azure копирует его (в формате .pub) в папку ~/.ssh/authorized_keys на виртуальной машине. Ключи SSH в ~/.ssh/authorized_keys используются для запросов к клиенту, который должен подобрать соответствующий закрытый ключ при SSH-подключении. На виртуальной машине Linux в Azure, использующей ключи SSH для аутентификации, платформа Azure настраивает сервер SSHD таким образом, чтобы для входа можно было использовать только ключи SSH. Создавая виртуальные машины Linux в Azure с использованием ключей SSH, вы защищаете это развертывание и выполняете стандартный шаг настройки после развертывания — отключаете пароли в файле sshd_config.

Если вы не хотите использовать ключи SSH, можно настроить на виртуальной машине Linux проверку пароля. Этого достаточно для виртуальных машин без интернет-доступа. Но пользователь по-прежнему должен управлять паролями каждой своей виртуальной машины, а также обеспечивать соответствующие политики паролей и предоставлять рекомендации, к примеру, в отношении минимальной длины паролей и частоты их обновления.

Создание ключей с помощью ssh-keygen

Для создания ключей предпочтительно использовать команду ssh-keygen, которая доступна в служебных программах OpenSSH в Azure Cloud Shell, на узле macOS или Linux и в Windows 10. Команд ssh-keygen задает несколько вопросов, а затем записывает закрытый ключ и соответствующий открытый ключ.

Ключи SSH по умолчанию хранятся в каталоге ~/.ssh. Если у вас нет каталога ~/.ssh, создайте его с правильными разрешениями с помощью команды ssh-keygen.

Простой пример

Приведенная ниже команда ssh-keygen создает файлы 4096-разрядных открытого и закрытого ключей SSH RSA в каталоге ~/.ssh по умолчанию. Если в текущем каталоге существует пара ключей SSH, они будут перезаписаны.

ssh-keygen -m PEM -t rsa -b 4096

Подробный пример

В следующем примере показаны дополнительные параметры команды для создания пары ключей SSH RSA. Если в текущем каталоге существует пара ключей SSH, они будут перезаписаны.

ssh-keygen \
    -m PEM \
    -t rsa \
    -b 4096 \
    -C "azureuser@myserver" \
    -f ~/.ssh/mykeys/myprivatekey \
    -N mypassphrase

Описание команды

ssh-keygen — программа, с помощью которой создаются ключи.

-m PEM — преобразование ключа в формат PEM.

-t rsa — тип создаваемого ключа; в данном случае создается ключ в формате RSA.

-b 4096 — количество битов в ключе; в данном случае ключ содержит 4096 битов.

-C "azureuser@myserver" — комментарий, который будет добавлен в конец файла открытого ключа для идентификации. Обычно в качестве комментария используется адрес электронной почты, но вы можете выбрать для своей инфраструктуры любой удобный метод идентификации.

-f ~/.ssh/mykeys/myprivatekey — имя файла закрытого ключа, если вы решили не использовать имя по умолчанию. В том же каталоге будет создан соответствующий файла открытого ключа с .pub в имени. Этот каталог должен существовать.

-N mypassphrase — дополнительная парольная фраза, используемая для доступа к файлу закрытого ключа.

Пример с ssh-keygen

ssh-keygen -t rsa -m PEM -b 4096 -C "azureuser@myserver"
Generating public/private rsa key pair.
Enter file in which to save the key (/home/azureuser/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/azureuser/.ssh/id_rsa.
Your public key has been saved in /home/azureuser/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:vFfHHrpSGQBd/oNdvNiX0sG9Vh+wROlZBktNZw9AUjA azureuser@myserver
The key's randomart image is:
+---[RSA 4096]----+
|        .oE=*B*+ |
|          o+o.*++|
|           .oo++*|
|       .    .B+.O|
|        S   o=BO.|
|         . .o++o |
|        . ... .  |
|         ..  .   |
|           ..    |
+----[SHA256]-----+

Сохраненные файлы ключей

Enter file in which to save the key (/home/azureuser/.ssh/id_rsa): ~/.ssh/id_rsa

Имя пары ключей, используемое в этой статье. По умолчанию пара ключей называется id_rsa. Так как некоторые инструменты ищут закрытый ключ в файле id_rsa, имеет смысл создать такой файл. Пары ключей SSH и файл конфигурации SSH по умолчанию располагаются в каталоге ~/.ssh/. Если не указать полный путь, ssh-keygen создаст ключи в текущем рабочем каталоге, а не в стандартном каталоге ~/.ssh.

Список содержимого каталога

ls -al ~/.ssh
-rw------- 1 azureuser staff  1675 Aug 25 18:04 id_rsa
-rw-r--r-- 1 azureuser staff   410 Aug 25 18:04 id_rsa.pub

Парольная фраза ключа

Enter passphrase (empty for no passphrase):

Мы настоятельно рекомендуем добавить парольную фразу в закрытый ключ. Если не защитить файл ключа парольной фразой, любой пользователь, у которого есть этот файл, сможет использовать его, чтобы войти на любой из серверов, на котором используется соответствующий открытый ключ. Добавив парольную фразу, вы усилите защиту на случай, если другой пользователь получит доступ к файлу закрытого ключа. Это даст вам время, чтобы изменить ключи.

Автоматическое создание ключей во время развертывания

При использовании Azure CLI для создания виртуальных машин можно дополнительно создать файлы открытого и закрытого ключей SSH, выполнив команду az vm create с параметром --generate-ssh-keys. Эти ключи хранятся в каталоге ~/.ssh. Обратите внимание на то, что этот параметр команды не перезаписывает ключи, если они уже существуют в данном расположении.

Предоставление открытого ключа SSH при развертывании виртуальной машины

Чтобы создать виртуальную машину Linux, которая использует ключи SSH для аутентификации, укажите свой открытый ключ SSH при создании виртуальной машины с помощью портала Azure, интерфейса командной строки, шаблонов Resource Manager или других методов. При использовании портала вводится значение открытого ключа. При использовании Azure CLI создания виртуальной машины с использованием существующего открытого ключа укажите значение или расположение этого ключа, выполнив команду az vm create с параметром --ssh-key-value.

Если вам не знаком формат открытого ключа SSH, чтобы просмотреть его, выполните команду cat, заменив параметр ~/.ssh/id_rsa.pub расположением файла собственного открытого ключа.

cat ~/.ssh/id_rsa.pub

Выходные данные должны быть следующего вида (здесь показана исправленная версия).

ssh-rsa XXXXXXXXXXc2EAAAADAXABAAABAXC5Am7+fGZ+5zXBGgXS6GUvmsXCLGc7tX7/rViXk3+eShZzaXnt75gUmT1I2f75zFn2hlAIDGKWf4g12KWcZxy81TniUOTjUsVlwPymXUXxESL/UfJKfbdstBhTOdy5EG9rYWA0K43SJmwPhh38BpoLfXXXXXG+/ilsXXXXXKgRLiJ2W19MzXHp8z3Lxw7r9wx3HaVlP4XiFv9U4hGcp8RMI1MP1nNesFlOBpG4pV2bJRBTXNXeY4l6F8WZ3C4kuf8XxOo08mXaTpvZ3T1841altmNTZCcPkXuMrBjYSJbA8npoXAXNwiivyoe3X2KMXXXXXdXXXXXXXXXXCXXXXX/ azureuser@myserver

Если вы копируете содержимое файла открытого ключа и вставляете его на портале Azure или в шаблон Resource Manager, в этом содержимом не должно быть дополнительных пробелов или символов разрыва строки. Например, при использовании macOS, чтобы скопировать содержимое файла открытого ключа (по умолчанию это ~/.ssh/id_rsa.pub), вы можете передать его в pbcopy (или другие аналогичные программы Linux, например xclip).

Если вы предпочитаете использовать открытый ключ в многострочном формате, можно создать ключ в формате RFC4716 в контейнере pem открытого ключа, созданного ранее.

Чтобы создать ключ в формате RFC4716 из существующего открытого ключа SSH, выполните следующую команду:

ssh-keygen \
-f ~/.ssh/id_rsa.pub \
-e \
-m RFC4716 > ~/.ssh/id_ssh3.pem

Установление SSH-подключения к виртуальной машине с помощью клиента SSH

С помощью открытого ключа, развернутого на виртуальной машине Azure, и закрытого ключа в локальной системе установите SSH-подключение к виртуальной машине, используя ее IP-адрес или DNS-имя. Замените azureuser и myvm.westus.cloudapp.azure.com в приведенной команде, указав имя пользователя администратора и полное доменное имя (или IP-адрес).

ssh [email protected]

Если при создании пары ключей вы указали парольную фразу, введите ее при появлении запроса во время входа в систему. (Сервер добавляется в папку ~/.ssh/known_hosts. Если не изменять открытый ключ на виртуальной машине Azure или не удалять имя сервера из файла ~/.ssh/known_hosts, запрос на подключение повторно не отображается.)

Если виртуальная машина использует политику доступа JIT, запросите доступ, прежде чем подключиться к виртуальной машине. Дополнительные сведения о политике JIT см. в статье Управление доступом к виртуальным машинам с помощью JIT-доступа.

Использование ssh-agent для хранения парольной фразы закрытого ключа

Чтобы не вводить парольную фразу файла закрытого ключа при каждом входе с использованием SSH, вы можете сохранить ее в кэш с помощью команды ssh-agent. Если вы используете компьютер Mac, при вызове ssh-agent парольная фраза закрытого ключа будет надежно сохранена в цепочке ключей macOS.

С помощью ssh-agent и ssh-add сообщите системе SSH о файлах ключей, чтобы вам не нужно было использовать парольную фразу в интерактивном режиме.

eval "$(ssh-agent -s)"

Затем добавьте закрытый ключ к ssh-agent с помощью команды ssh-add.

ssh-add ~/.ssh/id_rsa

Теперь парольная фраза закрытого ключа хранится в ssh-agent.

Копирование ключа на имеющуюся виртуальную машину с помощью ssh-copy-id

Если виртуальная машина Linux уже создана, вы можете добавить для нее новый открытый ключ SSH с помощью ssh-copy-id:

ssh-copy-id -i ~/.ssh/id_rsa.pub azureuser@myserver

Создание и настройка файла конфигурации SSH

Чтобы ускорить процесс входа и оптимизировать поведение клиента SSH, можно создать и настроить файл конфигурации SSH ~/.ssh/config.

В следующем примере показана простая конфигурация, которую можно использовать для быстрого входа на определенную виртуальную машину в качестве пользователя с помощью закрытого ключа SSH по умолчанию.

Создайте файл.

touch ~/.ssh/config

Изменение файла для добавления новой конфигурации SSH

vim ~/.ssh/config

Добавьте параметры конфигурации для виртуальной машины узла. В этом примере имя виртуальной машины — myvm, а имя учетной записи — azureuser.

# Azure Keys
Host myvm
  Hostname 102.160.203.241
  User azureuser
# ./Azure Keys

Можно добавить конфигурации для дополнительных узлов, чтобы каждый из них мог использовать собственную пару ключей. Дополнительные параметры конфигурации приведены в описании файла конфигурации SSH.

Теперь, когда у вас есть пара ключей SSH и настроенный файл конфигурации SSH, вы можете быстро и безопасно входить на виртуальную машину Linux. При выполнении следующей команды служба SSH находит и загружает все параметры из блока Host myvm в файле конфигурации SSH.

ssh myvm

При первом входе на сервер с использованием ключа SSH команда запрашивает парольную фразу для этого файла ключа.

Дальнейшие действия

Следующий шаг — создание виртуальных машин Linux Azure с помощью нового открытого ключа SSH. Виртуальные машины Azure, созданные с использованием открытого ключа SSH в качестве данных для входа, защищены лучше, чем виртуальные машины, созданные с помощью метода по умолчанию, предусматривающего использование паролей.

Настройка пары ключей ssh на linux сервере

Для повышения безопасности ssh-соединения рекомендуется отказаться от логина по паролю, и подключаться к удалённому серверу с помощью ключей. Это действие аналогично отпиранию замка с помощью ключа. Логин по паролю в конце-концов может быть взломан методом перебора, либо утечкой пароля. Тогда как логин по ключам достаточно стоек к взлому.

Здесь будет рассказано, как создать пару ключей на клиентской машине, работающей под ОС Ubuntu 18.04. Однако, данное руководство будет актуально и на других версиях linux, с некоторыми оговорками.

1. Создание пары ключей RSA

Для того, чтобы заходить на сервер по ключу, необходимо сгенерировать пару ключей: открытую и закрытую. Открытый (или публичный) ключ мы помещаем на сервер, а закрытый хранится у нас. По этой паре мы можем осуществлять логин на сервер. На данный сервер сможет заходить тот, у кого есть вторая часть ключа.

Сгенерируем пару ключей.

ssh-keygen

Эта команда по умолчанию создать пару ключей RSA, длинной 2048 бит. Этой длинны вполне хватает по безопасности для большинства операций. Можно добавить флаг -b 4096, чтобы получить ключ длинной 4096 бит.

После выполнения этой команды, вы получите следующий вывод:

Generating public/private rsa key pair.
Enter file in which to save the key (/your_home/.ssh/id_rsa):

После чего можно нажать клавишу “Enter”, чтобы сохранить эту пару ключей в директорию .ssh/ внутри домашней директории, либо вы можете задать другую директорию.

Если ранее вы генерировали пару ssh-ключей, то вероятнее всего вы получите следующий вывод:

/home/your_home/.ssh/id_rsa already exists.
Overwrite (y/n)?

Обратите внимание, что если у вас уже есть ключ, и вы его используете, то при его перезаписи вы не сможете уже залогиниться на тот сервер, где храниться его публичная часть.

После успешной операции, вы увидите следующий вывод:

Enter passphrase (empty for no passphrase):

Таким образом вы можете задать ключевую фразу, это рекомендуется сделать. Эта фраза добавить ещё дин уровень безопасности, для предотвращения входа на сервер неавторизированных пользователей.

После этого, вы увидите следующий вывод:

Output
Your identification has been saved in /your_home/.ssh/id_rsa.
Your public key has been saved in /your_home/.ssh/id_rsa.pub.
The key fingerprint is:
a9:49:2e:2a:5e:33:3e:a9:de:4e:77:11:58:b6:90:26 username@remote_host
The key's randomart image is:
+--[ RSA 2048]----+
|     ..o         |
|   E o= .        |
|    o. o         |
|        ..       |
|      ..S        |
|     o o.        |
|   =o.+.         |
|. =++..          |
|o=++.            |
+-----------------+

Это говорит о том, что у вас появилась пара из открытого и закрытого ключа, которые могут быть использованы для логина на удалённый сервер. Далее необходимо скопировать открытый ключ на удалённый сервер.

Копирование открытого ключа с помощью программы

Программа ssh-copy-id присутствует во многих дистрибутивах linux, поэтому наиболее вероятно что этот вариант вам подойдёт по умолчанию.

Для копирования открытой части ключа, достаточно произвести копирования ключа следующей командой:

ssh-copy-id username@remote_host

Если вы ни разу не заходили на сервер, то вероятнее всего вы получите следующее предупреждение:

The authenticity of host '203.0.113.1 (203.0.113.1)' can't be established.
ECDSA key fingerprint is fd:fd:d4:f9:77:fe:73:84:e1:55:00:ad:d6:6d:22:fe.
Are you sure you want to continue connecting (yes/no)? yes

Это означает, что ваша локальная машина не знает данный хост. Достаточно ввести “yes” и нажать “Enter”.

После чего программа будет искать в директории локального пользователя ключ id_rsa.pub (открытый), который мы создали ранее. Если утилита найдёт этот файл, то программа копирования запросит пароль для входа на удалённый хост.

/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
[email protected]'s password:

Введите пароль, обратите внимание, что ввод пароля не отображается по соображениям безопасности. И нажимте ввод. После этого программа скопирует содержимое ключа из ~/.ssh/id_rsa.pub в файл authorized_keys в поддиректории ~/.ssh домашней директории вашего пользователя на удалённом хосте. В результате вы увидите следующее сообщение:

Вывод
Number of key(s) added: 1

Now try logging into the machine, with:   "ssh '[email protected]'"
and check to make sure that only the key(s) you wanted were added.

Таким образом ключ загружен на удалённый сервер.

Копирование ключа вручную

Иногда бывают случаи. когда отсутствует утилита ssh-copy-id (особенно на старых операционных системах). Поэтому можно скопировать ключ вручную. Один из вариантов – это передать ключ по ssh. Для этого мы будем считывать ключ, с помощью команды cat, затем передавать его через pipe команде ssh, которая создаст ключ и разместит его в файле.

cat ~/.ssh/id_rsa.pub | ssh username@remote_host "mkdir -p ~/.ssh && touch ~/.ssh/authorized_keys && chmod -R go= ~/.ssh && cat >> ~/.ssh/authorized_keys"

Если это подключение будет в первый раз, нужно будет точно так же согласиться с данным соединением и затем ввести пароль.

Аналогично, можно все эти действия проделать вручную. Например, если вы не имеете доступ по ssh к удалённой машине. Для начала надо вывести содержимое открытого ключа на вашей локальной машине.

cat ~/.ssh/id_rsa.pub

Вы получите содержимое файла ключа, которое будет выглядеть примерно так:

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQCqql6MzstZYh2TmWWv11q5O3pISj2ZFl9Hgh2JLknLLx44+tXfJ7mIrKNxOOwxIxvcBF8PXSYvobFYEZjGIVCEAjrUzLiIxbyCoxVyle7Q+bqgZ8SeeM8wzytsY+dVGcBxF6N4JS+zVk5eMcV385gG3Y6ON3EG112n6d+SMXY0OEBIcO6x+PnUSGHrSgpBgX7Ks1r7xqFa7heJLLt2wWwkARptX7udSq05paBhcpB0pHtA1Rfz3K2B+ZVIpSDfki9UVKzT8JUmwW6NNzSgxUfQHGwnW7kj4jp4AT0VZk3ADw497M2G/12N0PPB5CnhHf7ovgy6nL1ikrygTKRFmNZISvAcywB9GVqNAVE+ZHDSCuURNsAInVzgYo9xgJDW8wUw2o8U77+xiFxgI5QSZX3Iq7YLMgeksaO4rBJEa54k8m5wEiEE1nUhLuJ0X/vh3xPff6SQ1BL/zkOhvJCACK6Vb15mDOeCSq54Cr7kvS46itMosi/uS66+PujOO+xt/2FWYepz6ZlN70bRly57Q06J+ZJoc9FfBCbCyYH7U/ASsmY095ywPsBo1XQ9PqhnN1/YOorJ068foQDNVpm146mUpILVxmq41Cj55YKHEazXGsdBIbXWhcrRf4G2fJLRcGUr9q8/lERo9oxRm5JFX6TCmj6kmiFqv+Ow9gI0x8GvaQ== demo@test

После чего на удалённой машине необходимо создать папку ~/.ssh. Команда ниже создаст директорию, если её не существовало.

mkdir -p ~/.ssh

Теперь можем дописать публичный ключ нашей локальной машины на удалённую в конец файла authorized_keys :

echo строка_публичного_ключа >> ~/.ssh/authorized_keys

Обратите внимание, что надо заменить “строка_публичного_ключа” на вывод команды cat ~/.ssh/id_rsa.pub.

После чего, необходимо убедиться, что директория ~/.ssh и файл authorized_keys  имеют соответствующие права доступа:

chmod -R go= ~/.ssh

Если вы используете акаунт root, для настройки ключей. То не забудьте поменять права пользователя, чтобы директория и файлы ключей принадлежали пользователю, а не root. Делается следующей командой:

chown -R user:user ~/.ssh

Где, user следует заменить на имя вашего пользователя.

Подключение к удалённому серверу и отключение логина по паролю

После всех процедур вы можете попробовать подключиться к удалённому серверу.

ssh username@remote_host

Если при создании пары ключей вы не задали ключевую фразу (passphrase), вы будете залогинены автоматически. Если вы задали ключевую фразу, вам будет предложено её ввести. Это означает, что вы всё сделали верно. Теперь можно отключить логин по паролю. Для этого отредактируем файл sshd_config:

sudo nano /etc/ssh/sshd_config

Вам нужно найти поле: PasswordAuthentication . Она может быть даже закомментирована. Её необходимо раскоментировать и поставить значение no.

...
PasswordAuthentication no
...

Сохраните и закройте файл нажав CTRL + X, затем Y для подтверждения сохранения файла, а далее ENTER для выхода из текстового редактора nano. Для того, чтобы изменения вступили в силу, нам необходимо перезапустить демон sshd:

sudo systemctl restart ssh

Всё, теперь можете открыть новое окно терминала, и проверить соединение по ssh по вашему логину. Всё должно работать без пароля.

SSH по ключу: что такое, как создать и добавить на сервере, настройка

В этой статье мы расскажем, для чего нужен SSH-ключ, как создать SSH ключ и как добавить SSH ключ на сервер.

SSH-ключ — безопасный способ соединения с сервером. Подключение по SSH с помощью ключа исключает риск, который связан с подбором и взломом вашего пароля.

Для аутентификации используются два ключа: приватный и публичный.

Публичный ключ хранится на сервере в корневом каталоге, а приватный ключ остаётся на локальном компьютере в зашифрованном виде. Каждый раз, когда вы обращаетесь к серверу, происходит сопоставление ключей. Таким образом, отпадает необходимость в авторизации с помощью пароля, и данные от вашего сервера остаются в безопасности.

Работа с SSH-ключами

Чтобы воспользоваться SSH-ключом на облачном сервере, для начала его необходимо создать.

Способ создания SSH-ключа зависит от операционной системы, которая установлена на вашем компьютере. Выберите нужную операционную систему и следуйте инструкции:

Как создать SSH ключ в Linux

Сгенерировать ключ в ОС Linux можно с помощью терминала. Для этого:

1. 1.

   Запустите терминал:

   • в Unity (Ubuntu): «Главное меню» — в поисковой строке введите слово «Терминал», либо просто нажмите комбинацию клавиш: Ctrl+Alt+T;
   • в Xfce (Xubuntu): «Главное меню» — «Приложения» — «Система» — «Терминал»;
   • в KDE (Kubuntu): «Главное меню» — «Приложения» — «Система» — «Терминал».
2. 2.

   Введите команду ssh-keygen и нажмите Enter.

   Если команда ssh-keygen не найдена, установите пакет openssh.

3. 3.

   В терминале будет выведено следующее сообщение:

   Нажмите Enter, если хотите, чтобы файл был сохранен в директории по умолчанию. Или введите собственные адрес/имя_файла, чтобы ключ был сохранен в нужной вам директории.

4. 4.

   Далее вам будет предложено ввести кодовое слово для дополнительной защиты ключа. Вы можете пропустить данный шаг и нажать Enter.

   Если вы укажете кодовое слово, при обращении на сервер оно будет дополнительно запрашиваться и сохраняться на некоторое время. Данный способ позволяет дополнительно защитить ваш приватный ключ.

5. 5.

   После генерации ключа в папке .ssh будут созданы два файла: id_rsa (приватный ключ) и id_rsa.pub (публичный ключ).

   В терминале будет отображаться отпечаток сгенерированного ключа:

6. 6.

   Введите команду cat ~/.ssh/id_rsa.pub . В терминале откроется файл с вашим публичным ключом:

Как создать SSH ключ в Windows

Пользователям Windows необходимо скачать SSH-клиент PuTTY на официальном сайте (англоязычная версия). В его состав входит специальная программа для генерации ключей PuTTYgen.

1. 1.

   Запустите PuTTYgen и нажмите кнопку Generate:

2. 2.

   Приведите в движение курсор мыши в окне программы для сбора случайных данных. Индикатор загрузки (зелёная полоска) отображает процесс генерации ключа:

3. 3.

   После того как ключ будет создан, программа отобразит информацию с публичным ключом и отпечатком приватного ключа:

4. 4.

   Скопируйте публичный ключ из окна Key и сохраните его на локальном компьютере. Приватный ключ можно сохранить с помощью кнопки Save private key.

Важно: Публичный ключ в формате openSSH можно сохранить, только скопировав его вручную. Ключ, сохранённый с помощью кнопки «Save public key», система Linux не распознаёт.

Как создать SSH ключ в macOS

Сгенерировать ключ в macOS можно при помощи терминала.

1. 1.

   Запустите терминал. Для этого нажмите комбинацию клавиш Command (⌘) + Пробел, введите в поисковой строке Терминал и нажмите Enter.

2. 2.

   Введите команду ssh-keygen -t rsa и нажмите Enter:

3. 3.

   Чтобы сохранить файл в директории по умолчанию, нажмите Enter.

4. 4.

   Вам будет предложено ввести кодовое слово для дополнительной защиты подключения. Вы можете пропустить данный шаг и нажать Enter. Если вы укажете кодовое слово, оно будет дополнительно запрашиваться при каждом подключении к серверу:

5. 5.

   Повторите пароль или нажмите Enter, если вы пропустили предыдущий шаг.

6. 6.

   После успешной генерации ключа будет создано два файла: id_rsa (приватный ключ) и id_rsa.pub (публичный ключ). В терминале будет отображаться отпечаток ключа и его изображение:

После создания SSH-ключа вы можете добавить его на сервер с помощью инструкций ниже.

Если вы уже создали облачный сервер, то добавить SSH-ключ можно только на самом сервере, через подключение по SSH.

Чтобы добавить созданный SSH-ключ на существующий сервер, выберите операционную систему, которая установлена на вашем компьютере, и следуйте инструкции:

Linux

1. 1.

   Запустите терминал:

   • в Unity (Ubuntu): «Главное меню» — в поисковой строке введите слово «Терминал», либо просто нажмите комбинацию клавиш: Ctrl+Alt+T;
   • в Xfce (Xubuntu): «Главное меню» — «Приложения» — «Система» — «Терминал»;
   • в KDE (Kubuntu): «Главное меню» — «Приложения» — «Система» — «Терминал».
2. 2.

   Введите команду: ssh-copy-id [email protected],

   где root — логин вашего сервера,

   123.123.123.123 — IP-адрес сервера. Его можно узнать в информационном письме, которое было отправлено вам после создания сервера.

3. 3.

   Нажмите Enter и введите пароль от вашего сервера.

   После успешного подключения ваш ключ будет добавлен на сервер и вы сможете подключаться к серверу без обязательного ввода пароля.

Windows

Все действия нужно выполнять на сервере через подключение по SSH с помощью SSH-клиента PuTTY.

1. 1.

   Создайте папку .ssh с помощью команды mkdir .ssh.

2. 2.

   Измените права доступа к папке с помощью команды chmod 700 .ssh и перейдите в неё с помощью команды cd .ssh.

3. 3.

   Создайте файл с вашим публичным ключом при помощи команды echo your_public_key >> authorized_keys.

4. 4.

   Добавьте ваш приватный ключ в PuTTY:

macOS

1. 1.

   Запустите терминал. Для этого нажмите комбинацию клавиш Command (⌘) + Пробел, введите в поисковой строке Терминал и нажмите Enter.

2. 2.

   Введите команду: ssh-copy-id [email protected],

   Где:

   • user — имя пользователя;
   • 123.123.123.123 — IP-адрес сервера. Его можно узнать в информационном письме, которое было отправлено вам после создания сервера.
3. 3.

   Нажмите Enter и введите пароль от вашего сервера. После успешного подключения ваш ключ будет добавлен на сервер и вы сможете подключаться к серверу без обязательного ввода пароля.

После добавления SSH-ключа вы можете подключиться к вашему серверу по SSH без ввода пароля.

Добавление SSH-ключа через панель управления облачными серверами возможно только при создании сервера или переустановке.

При добавлении SSH-ключа через панель облачных серверов ключ будет добавлен для root пользователя.

Как добавить ключ при создании сервера

1. 1. При создании сервера нажмите на кнопку Новый SSH-ключ.
2. 2.

   Придумайте и введите название SSH-ключа. В поле SSH-ключ вставьте ваш публичный ключ и нажмите Добавить SSH-ключ:

3. 3.

   Выберите добавленный ключ и нажмите Заказать сервер.

Готово, после создания сервера ваш ключ будет добавлен на сервер. Созданный ключ будет отображаться на вкладке «Настройки»:

Как добавить ключ при переустановке сервера

Перейдите в панель управления облачными серверами и следуйте инструкции:

1. 1.

   Выберите сервер. Нажмите на значок Шестерёнка, а затем выберите Переустановить систему:

2. 2.

   На этапе переустановки системы нажмите Добавить SSH-ключ:

3. 3.

   Придумайте и введите имя SSH-Ключа. В поле SSH-key вставьте ваш публичный ключ и нажмите Добавить SSH-ключ:

4. 4.

   Выберите добавленный ключ и ОС для переустановки, затем нажмите кнопку Переустановить систему:

Готово, после переустановки ваш ключ будет добавлен на сервер. Созданный вами ключ будет отображаться на вкладке «Настройки»:

После добавления SSH-ключа вы можете подключиться к вашему серверу по SSH без ввода пароля.

Виртуализация KVM, почасовая оплата, резервные копии, готовые шаблоны, 8 доступных ОС на выбор!

20 раз уже помогла

Создание нового ключа SSH и добавление его в ssh-agent

О создании ключа SSH

Если у вас еще нет SSH-ключа, вы должны сгенерировать новый SSH-ключ, который будет использоваться для аутентификации. Если вы не уверены, есть ли у вас уже SSH-ключ, вы можете проверить существующие ключи. Для получения дополнительной информации см. «Проверка существующих ключей SSH».

Если вы хотите использовать аппаратный ключ безопасности для аутентификации на GitHub, вы должны сгенерировать новый ключ SSH для вашего аппаратного ключа безопасности.При аутентификации с помощью пары ключей необходимо подключить аппаратный ключ безопасности к компьютеру. Для получения дополнительной информации см. Примечания к выпуску OpenSSH 8.2.

Если вы не хотите повторно вводить парольную фразу каждый раз, когда вы используете свой SSH-ключ, вы можете добавить свой ключ к агенту SSH, который управляет вашими SSH-ключами и запоминает вашу парольную фразу.

Создание нового ключа SSH

1. Откройте TerminalTerminalGit Bash.

2. Вставьте текст ниже, подставив свой адрес электронной почты на GitHub.

     $ ssh-keygen -t ed25519 -C " [email protected] "  

   Примечание: Если вы используете устаревшую систему, которая не поддерживает алгоритм Ed25519, используйте:

     $ ssh-keygen -t rsa -b 4096 -C "[email protected]"  

   Это создает новый ключ SSH, используя предоставленный адрес электронной почты в качестве метки.

    > Создание пары ключей ed25519 public / private.  

3. Когда вам будет предложено «Введите файл для сохранения ключа», нажмите Enter.Это принимает расположение файла по умолчанию.

    > Введите файл для сохранения ключа (/ Users /  you  /.ssh/id_ed25519):  [Нажмите Enter]   

    > Введите файл для сохранения ключа (/ c / Users /  you  /.ssh/id_ed25519):  [Нажмите Enter]   

    > Введите файл для сохранения ключа (/ home /  you  /.ssh/id_ed25519):  [Нажмите Enter]   

4. В командной строке введите безопасную парольную фразу.Для получения дополнительной информации см. «Работа с ключевыми ключевыми фразами SSH».

    > Введите кодовую фразу (пусто, если кодовая фраза отсутствует):  [Введите кодовую фразу] 
   > Введите ту же парольную фразу еще раз:  [Введите кодовую фразу еще раз]   

Добавление вашего SSH-ключа к ssh-agent

Перед добавлением нового SSH-ключа к ssh-agent для управления вашими ключами вы должны были проверить существующие SSH-ключи и сгенерировать новый SSH-ключ. При добавлении ключа SSH к агенту используйте команду ssh-add для macOS по умолчанию, а не приложение, установленное macports, homebrew или каким-либо другим внешним источником.

1. Запустить ssh-agent в фоновом режиме.

     $ eval "$ (ssh-agent -s)"
   > Пид агента 59566  

   В зависимости от вашей среды вам может потребоваться использовать другую команду. Например, вам может потребоваться использовать root-доступ, запустив sudo -s -H перед запуском ssh-agent, или вам может потребоваться использовать exec ssh-agent bash или exec ssh-agent zsh для запуска ssh-агент.

2. Если вы используете macOS Sierra 10.12.2 или новее, вам нужно будет изменить файл ~ / .ssh / config , чтобы ключи автоматически загружались в ssh-agent и сохранялись парольные фразы в вашей связке ключей.

   • Сначала проверьте, существует ли ваш файл ~ / .ssh / config в местоположении по умолчанию.

       $ открыть ~ / .ssh / config
     > Файл / Users /  у вас  /.ssh/config не существует.  

   • Если файл не существует, создайте файл.

       $ touch ~ /.ssh / config  

   • Откройте файл ~ / .ssh / config , затем измените файл, чтобы он содержал следующие строки. Если ваш файл ключей SSH имеет другое имя или путь, чем в примере кода, измените имя файла или путь в соответствии с вашей текущей настройкой.

       Хост *
       AddKeysToAgent да
       UseKeychain да
       IdentityFile ~ / .ssh / id_ed25519
       

     Примечание: Если вы решили не добавлять парольную фразу к своему ключу, вы должны пропустить строку UseKeychain .

     Примечание: Если вы видите такую ​​ошибку

       /Users/USER/.ssh/config: строка 16: неверный параметр конфигурации: usekeychain
       

     добавьте дополнительную строку конфигурации в свой Host * раздел:

       Хост *
       Игнорировать Неизвестное использование
       

3. Добавьте свой закрытый ключ SSH к ssh-agent и сохраните кодовую фразу в цепочке для ключей. Если вы создали свой ключ с другим именем или если вы добавляете существующий ключ с другим именем, замените id_ed25519 в команде именем вашего файла закрытого ключа.

     $ ssh-add -K ~ / .ssh / id_ed25519  

   Примечание: Опция -K - это стандартная версия Apple ssh-add , которая сохраняет парольную фразу в вашей связке ключей для вас, когда вы добавляете SSH-ключ к ssh-agent. Если вы решили не добавлять парольную фразу к своему ключу, запустите команду без параметра -K .

   Если у вас не установлена ​​стандартная версия Apple, вы можете получить сообщение об ошибке. Дополнительные сведения об устранении этой ошибки см. В разделе «Ошибка: ssh-add: недопустимый параметр - K.«

4. Добавьте SSH-ключ в свою учетную запись на GitHub. Дополнительные сведения см. В разделе «Добавление нового ключа SSH в учетную запись GitHub».

Если у вас установлен GitHub Desktop, вы можете использовать его для клонирования репозиториев и не работать с ключами SSH.

1. Убедитесь, что ssh-agent запущен. Вы можете использовать инструкции «Автоматический запуск ssh-agent» в «Работа с ключевыми ключевыми фразами SSH» или запустить его вручную:

     # запускаем ssh-agent в фоновом режиме
   $ eval "$ (ssh-agent -s)"
   > Пид агента 59566  

2. Добавьте свой закрытый ключ SSH к ssh-agent.Если вы создали свой ключ с другим именем или если вы добавляете существующий ключ с другим именем, замените id_ed25519 в команде именем вашего файла закрытого ключа.

     $ ssh-add ~ / .ssh / id_ed25519  

3. Добавьте SSH-ключ в свою учетную запись на GitHub. Дополнительные сведения см. В разделе «Добавление нового ключа SSH в учетную запись GitHub».

1. Запустить ssh-agent в фоновом режиме.

     $ eval "$ (ssh-agent -s)"
   > Пид агента 59566  

   В зависимости от вашей среды вам может потребоваться использовать другую команду.Например, вам может потребоваться использовать root-доступ, запустив sudo -s -H перед запуском ssh-agent, или вам может потребоваться использовать exec ssh-agent bash или exec ssh-agent zsh для запуска ssh-агент.

2. Добавьте свой закрытый ключ SSH к ssh-agent. Если вы создали свой ключ с другим именем или если вы добавляете существующий ключ с другим именем, замените id_ed25519 в команде именем вашего файла закрытого ключа.

     $ ssh-add ~ /.ssh / id_ed25519  

3. Добавьте SSH-ключ в свою учетную запись на GitHub. Дополнительные сведения см. В разделе «Добавление нового ключа SSH в учетную запись GitHub».

Создание нового ключа SSH для аппаратного ключа безопасности

Если вы используете macOS или Linux, вам может потребоваться обновить ваш SSH-клиент или установить новый SSH-клиент перед генерацией нового SSH-ключа. Дополнительные сведения см. В разделе «Ошибка: неизвестный тип ключа».

1. Вставьте аппаратный ключ безопасности в компьютер.

2. Откройте TerminalTerminalGit Bash.

3. Вставьте текст ниже, заменив его адресом электронной почты для своей учетной записи на GitHub.

     $ ssh-keygen -t ed25519-sk -C " [email protected] "  

   Примечание: Если команда не выполняется и вы получаете ошибку недопустимый формат или функция не поддерживается, возможно, вы используете аппаратный ключ безопасности, который не поддерживает алгоритм Ed25519.Вместо этого введите следующую команду.

     $ ssh-keygen -t ecdsa-sk -C "[email protected]"  

4. При появлении запроса нажмите кнопку на аппаратном ключе безопасности.

5. Когда вам будет предложено «Введите файл для сохранения ключа», нажмите Enter, чтобы принять расположение файла по умолчанию.

    > Введите файл для сохранения ключа (/ Users /  you  /.ssh/id_ed25519_sk):  [Нажмите Enter]   

    > Введите файл, в котором нужно сохранить ключ (/ c / Users /  you  /.ssh / id_ed25519_sk):  [Нажмите ввод]   

    > Введите файл для сохранения ключа (/ home /  you  /.ssh/id_ed25519_sk):  [Нажмите Enter]   

6. Когда вам будет предложено ввести кодовую фразу, нажмите Введите .

    > Введите кодовую фразу (пусто, если кодовая фраза отсутствует):  [Введите кодовую фразу] 
   > Введите ту же парольную фразу еще раз:  [Введите кодовую фразу еще раз]   

7. Добавьте SSH-ключ в свою учетную запись на GitHub.Дополнительные сведения см. В разделе «Добавление нового ключа SSH в учетную запись GitHub».

Дополнительная литература

Как настроить ключи SSH

Введение

Протокол Secure Shell (или SSH) - это криптографический сетевой протокол, который позволяет пользователям безопасно получать доступ к удаленному компьютеру через незащищенную сеть.

Хотя SSH поддерживает аутентификацию на основе пароля, обычно рекомендуется использовать SSH-ключи . Ключи SSH - более безопасный метод входа на сервер SSH, потому что они не уязвимы для распространенных атак взлома пароля грубой силой.

При генерации пары ключей SSH создаются две длинные строки символов: открытый и закрытый ключ. Вы можете разместить открытый ключ на любом сервере, а затем подключиться к серверу с помощью клиента SSH, у которого есть доступ к закрытому ключу.

Когда открытый и закрытый ключи совпадают, сервер SSH предоставляет доступ без пароля. Вы можете еще больше повысить безопасность своей пары ключей, защитив закрытый ключ с помощью необязательной (но настоятельно рекомендуемой) парольной фразы.

Примечание: Если вы ищете информацию о настройке ключей SSH в своей учетной записи DigitalOcean, обратитесь к документации по продукту DigitalOcean по ключам SSH


Шаг 1. Создание пары ключей

Первым шагом является создание пары ключей на клиентском компьютере. Скорее всего, это будет ваш локальный компьютер. Введите следующую команду в локальную командную строку:

  
 Выход 
 Генерация пары ключей ed25519 общего и частного доступа. 

Вы увидите подтверждение того, что процесс генерации ключа начался, и вам будет предложено ввести некоторую информацию, которую мы обсудим на следующем шаге.

Примечание. , если вы используете более старую систему, которая не поддерживает создание пар ключей ed25519 , или сервер, к которому вы подключаетесь, не поддерживает их, вам следует вместо этого создать надежную пару ключей rsa :

  
 
 ssh-keygen -t rsa -b 4096
 
 
  

Это изменяет флаг -t «тип» на rsa и добавляет флаг -b 4096 «бит» для создания 4096-битного ключа.


Шаг 2 - Указание места для сохранения ключей

Первое приглашение от команды ssh-keygen спросит вас, где сохранить ключи:

  
 Выходные данные 
 Введите файл, в котором нужно сохранить ключ (/home/sammy/.ssh/id_ed25519):
  

Здесь вы можете нажать ENTER , чтобы сохранить файлы в папку по умолчанию в каталоге .ssh вашего домашнего каталога.

Как вариант, вы можете выбрать другое имя или расположение файла, введя его после приглашения и нажав ENTER .

Шаг 3. Создание парольной фразы

Второй и последний запрос от ssh-keygen попросит вас ввести кодовую фразу:

  
 Выход 
 Введите кодовую фразу (пусто, если кодовая фраза отсутствует):
  

Вам решать, хотите ли вы использовать парольную фразу, но это настоятельно рекомендуется: безопасность пары ключей, независимо от схемы шифрования, по-прежнему зависит от того факта, что она недоступна для других.

Если закрытый ключ без ключевой фразы попадет в распоряжение неавторизованного пользователя, он сможет войти на любой сервер, который вы настроили со связанным открытым ключом.

Основной недостаток ключевой фразы - ее ввод - можно смягчить с помощью службы ssh-agent , которая временно хранит ваш разблокированный ключ и делает его доступным для клиента SSH. Многие из этих агентов интегрированы со встроенной связкой ключей вашей операционной системы, что делает процесс разблокировки еще более простым.

Напомним, весь процесс генерации ключей выглядит так:

  
 Выход 
 Генерация пары ключей ed25519 общего и частного доступа.Введите файл, в котором нужно сохранить ключ (/home/sammy/.ssh/id_ed25519):
Введите кодовую фразу (пусто, если кодовая фраза отсутствует):
Введите ту же парольную фразу еще раз:
Ваша идентификация сохранена в /home/sammy/.ssh/id_ed25519.
Ваш открытый ключ сохранен в /home/sammy/.ssh/id_ed25519.pub
Ключевой отпечаток пальца:
SHA256: EGx5HEXz7EqKigIxHHWKpCZItSj1Dy9Dqc5cYae + 1zc sammy @ имя хоста
Изображение ключа randomart:
+ - [ED25519 256] - +
| о + о о.о. ++ |
| = oo. +. +. o + |
| * +. oB.o. о |
| *. + Б. . |
| о. = о S.. |
|. + o o. о. |
|, +. .... |
|, . о. . E |
| .. о. . . |
+ ---- [SHA256] ----- +
  

Открытый ключ теперь находится в /home/sammy/.ssh/id_ed25519.pub . Закрытый ключ теперь находится в /home/sammy/.ssh/id_ed25519 .

Шаг 4 - Копирование открытого ключа на ваш сервер

После того, как пара ключей сгенерирована, пора разместить открытый ключ на сервере, к которому вы хотите подключиться.

Вы можете скопировать открытый ключ в файл сервера authorized_keys с помощью команды ssh-copy-id .Обязательно замените пример имени пользователя и адреса:

  
 
 ssh-copy-id sammy @ your_server_address
 
 
  

После завершения команды вы сможете войти на сервер через SSH без запроса пароля. Однако, если вы установите парольную фразу при создании ключа SSH, вам будет предложено ввести парольную фразу в это время. Это ваш локальный клиент ssh , который просит вас расшифровать закрытый ключ, это не , а удаленный сервер , запрашивающий пароль.

Шаг 5. Отключение аутентификации SSH на основе пароля (необязательно)

После того, как вы скопировали свои SSH-ключи на сервер, вы можете полностью запретить вход по паролю, настроив SSH-сервер на отключение аутентификации на основе пароля.

Внимание!


Чтобы отключить аутентификацию SSH на основе пароля, откройте файл конфигурации SSH. Обычно он находится по следующему адресу:

  
 
 sudo nano / etc / ssh / sshd_config
 
 
  

  Пароль Нет аутентификации
  

  
 
 sudo systemctl перезагрузить sshd
 
 
  

  klar (11:39) ~> ssh-keygen Создание пары ключей открытого и закрытого типа rsa. Введите файл, в котором нужно сохранить ключ (/home/ylo/.ssh/id_rsa): Введите кодовую фразу (пусто, если кодовая фраза отсутствует): Введите ту же кодовую фразу еще раз: Ваша идентификационная информация была сохранена в / home / ylo /.ssh / id_rsa. Ваш открытый ключ сохранен в /home/ylo/.ssh/id_rsa.pub. Отпечаток ключа: SHA256: Up6KjbnEV4Hgfo75YM393QdQsK3Z0aTNBz0DoirrW + c ylo @ klar Случайное изображение ключа: + --- [RSA 2048] ---- + | . ..oo .. | | . . . . .o.X. | | . . о. .. + B | | . o.o. + .. | | ..o.S o .. | | . % o =. | | @ .B .... | | о. =. о. . . . | | .oo E.. .. | + ---- [SHA256] ----- + klar (11:40) ~>  

  ssh-keygen -t rsa -b 4096 ssh-keygen -t dsa ssh-keygen -t ecdsa -b 521 ssh-keygen -t ed25519  

  ssh-keygen -f ~ / тату-ключ-ecdsa -t ecdsa -b 521  

  ssh-copy-id -i ~ / .ssh / tatu-key-ecdsa user @ host  

  / etc / ssh / ssh_host_dsa_key / etc / ssh / ssh_host_ecdsa_key / etc / ssh / ssh_host_ed25519_key / etc / ssh / ssh_host_rsa_key  

  ssh-keygen -t rsa -b 4096 -C "[email protected]"  

 > Введите файл, в котором нужно сохранить ключ (/ Users / you /.ssh / id_rsa): [Нажмите Enter]  

 > Введите кодовую фразу (пусто, если кодовая фраза отсутствует): [Введите кодовую фразу] 
> Введите ту же кодовую фразу еще раз: [Введите кодовую фразу еще раз] 
  

  $ eval "$ (ssh-agent -s)" 
> Идентификатор идентификатора агента 59566 
  

  ssh-add -K /Users/you/.ssh/id_rsa  

 Создание пары открытого / закрытого ключей RSA. Введите файл, в котором нужно сохранить ключ (/home/USER/.ssh/id_rsa): 

 Создан каталог /home/USER/.ssh. Введите кодовую фразу (пусто, если кодовая фраза отсутствует): Введите ту же парольную фразу еще раз: 

 Ваша идентификационная информация сохранена в /home/USER/.ssh/id_rsa. Ваш открытый ключ сохранен в /root/.ssh/id_rsa.pub. Отпечаток ключа: SHA256: boo2WmwU41qy / IxmJCgDjjsg7xvvcXmHhHa7BKhoCPY [email protected] Случайное изображение ключа: + --- [RSA 2048] ---- + | | | o | | +. . . . | | = о. о. + o | | O + .. = .S = o | | X = oEo o.o = + | | * + =. ооо о | | oO +. ..o. | | * +. +. . | + ---- [SHA256] ----- + 

 SSH-RSA AAAAB9NzaC1yc2EAAAADAQABAAABAQDBej / 3XAjhwTwWXsOJmDdKTLtjnpGXsHOAEIYC12qQ R51 + AVJPNsqcDlFdv + Lr / XufQDCh3gXz + ИЭА / LJNb5luxReaVVbKtvAONZgv8uLD1J8kzRXike3h9L53 oIo2j8Lt4fuzB8yAWkwBelurn4OWfk0K6gFXN86RgprKSPN3GbwG6MINAor7NwCHzJhVK9u6Jpw9EPJv Dl4co + N9L + CGgudvY7iBNzIofE9MP68lXcql4bMWz3 + 2H0FWKHZ1rSJz56KjoCKBPWTqdFq5o1AIcauc ECgiTaEGcSNk4 + T0A8BuAOd3a4O9Gr6y8C4Sn4ghYajJVWsszP2B1tTGAc3L 

 $ nano ~ / .ssh / authorized_keys 

 $ chmod 600 ~ / .ssh / authorized_keys 

 $ cat ~ / .ssh / id_rsa.pub >> ~ / .ssh / authorized_keys 

 $ echo "ssh-rsa AAAAB9N ... sszP2B1tTGAc3L" >> ~ / .ssh / authorized_keys 

 $ ssh [email protected] -i / путь / к / ssh / ключ 

  ssh -Tvvv [email protected]
  

  git config core.sshCommand "ssh -o IdentitiesOnly = yes -i ~ / .ssh / private-key-filename-for-this-repository -F / dev / null"
  

  # Идентификатор учетной записи User1
Хост 
  Имя хоста gitlab.com
  PreferredAuthentication публичный ключ
  IdentityFile ~ / .ssh / 

# User2 Account Identity
Хост 
  Имя хоста gitlab.com
  PreferredAuthentication публичный ключ
  IdentityFile ~ / .ssh / 
  

  git clone git @ : gitlab-org / gitlab.мерзавец
  

  git источник удаленного set-url git @ : gitlab-org / gitlab.git
  

  $ gitlab-rake gitlab: проверить

У пользователя Git есть конфигурация SSH по умолчанию? ... нет
  Попробуйте исправить это:
  mkdir ~ / gitlab-check-backup-1504540051
  sudo mv / var / lib / git /.ssh / id_rsa ~ / gitlab-check-backup-1504540051
  sudo mv /var/lib/git/.ssh/id_rsa.pub ~ / gitlab-check-backup-1504540051
  Для получения дополнительной информации см .:
  [Переопределение настроек SSH на сервере GitLab] (# overriding-ssh-settings-on-the-gitlab-server)
  Исправьте ошибку, указанную выше, и повторите проверку.
  

 $ ssh-keygen
 

 Создание пары открытого / закрытого ключей RSA.
Введите файл, в котором нужно сохранить ключ (/ home /  /.ssh / id_rsa):
Введите кодовую фразу (пусто, если кодовая фраза отсутствует):
Введите ту же парольную фразу еще раз:
Ваш идентификатор был сохранен в / home / <имя пользователя> /.ssh/id_rsa.
Ваш открытый ключ был сохранен в / home / <имя пользователя> /.ssh/id_rsa.pub.
Ключевой отпечаток пальца:
SHA256: gGJtSsV8BM + 7w018d39Ji57F8iO6c0N2GZq3 / RY2NhI имя пользователя @ имя хоста
Изображение ключа randomart:
+ --- [RSA 3072] ---- +
| ооо. |
| оо +. |
| + +. + |
| о + + Е. |
| . . S. . = .o |
| . +. . B + @ o |
| +.oo * = O |
| . .. + = o + |
| о = ооо + |
+ ---- [SHA256] ----- + 

 $ ssh-keygen -C "$ (whoami) @ $ (uname -n) - $ (date -I)"
 

 $ ssh-keygen -b 4096
 

 $ ssh-keygen -t ed25519
 

 $ ssh-keygen -t ed25519-sk
 

 $ ssh-keygen -f ~ / .ssh / id_rsa -p
 

 ~ /.ssh / config 

 Соответствует host = SERVER1
   ЛичностиТолько да
   IdentityFile ~ / .ssh / id_rsa_IDENTITY1

Соответствует host = SERVER2, SERVER3
   ЛичностиТолько да
   IdentityFile ~ / .ssh / id_ed25519_IDENTITY2 

 $ ssh-copy-id remote-server.org
 

 $ ssh-copy-id [email protected]
 

 $ ssh-copy-id -i ~ / .ssh / id_ed25519.pub имя пользователя@remote-server.org
 

 $ ssh-copy-id -i ~ / .ssh / id_ed25519.pub -p 221 имя пользователя@remote-server.org
 

 $ scp ~ / .ssh / id_ecdsa.pub имя пользователя@remote-server.org:
 

 $ ssh [email protected]
[email protected] пароль:
$ mkdir ~ / .ssh
$ chmod 700 ~ / .ssh
$ cat ~ / id_ecdsa.pub >> ~ / .ssh / authorized_keys
$ rm ~ / id_ecdsa.pub
$ chmod 600 ~ / .ssh / authorized_keys
 

 $ ssh-агент 

 SSH_AUTH_SOCK = / tmp / ssh-vEGjCM2147 / agent.2147; экспорт SSH_AUTH_SOCK;
SSH_AGENT_PID = 2148; экспорт SSH_AGENT_PID;
echo Agent pid 2148; 

 $ eval $ (ssh-агент) 

 Агент pid 2157
 

 $ ssh-add ~ / .ssh / id_ed25519 

 Введите кодовую фразу для /home/user/.ssh/id_ed25519:
Идентификация добавлена: /home/user/.ssh/id_ed25519 (/home/user/.ssh/id_ed25519)
 

 если! pgrep -u "$ USER" ssh-agent> / dev / null; тогда
    ssh-agent -t 1h> "$ XDG_RUNTIME_DIR / ssh-agent.env"
фи
если [[ ! "$ SSH_AUTH_SOCK"]]; тогда
    источник "$ XDG_RUNTIME_DIR / ssh-agent.env"> / dev / null
фи
 

 ~ / .config / systemd / user / ssh-agent.сервис 

 [Единица]
Описание = ключевой агент SSH

[Услуга]
Тип = простой
Среда = SSH_AUTH_SOCK =% t / ssh-agent.socket
# ДИСПЛЕЙ необходим для работы ssh-askpass
Окружающая среда = ДИСПЛЕЙ =: 0
ExecStart = / usr / bin / ssh-agent -D -a $ SSH_AUTH_SOCK

[Установить]
WantedBy = default.target 

 $ ssh-агент startx
 

 псевдоним startx = 'ssh-agent startx'
 

 ~ / .bashrc 

 eval $ (связка ключей --eval --quiet id_ed25519 id_rsa ~ / .keys / my_custom_key)
 

 ~ / .xinitrc 

 брелок ~ / .ssh / id_ecdsa
[-f ~ / .keychain / $ HOSTNAME-sh] &&. ~ / .keychain / $ HOSTNAME-sh 2> / dev / null
[-f ~ / .keychain / $ HOSTNAME-sh-gpg] &&. ~ / .keychain / $ HOSTNAME-sh-gpg 2> / dev / null
...
Выполнить openbox-сессию 

 $ ln -sv / usr / lib / ssh / x11-ssh-askpass ~ / bin / ssh-askpass
 

 $ экспорт SSH_ASKPASS = ssh-askpass
 

 ssh-askpass * фон: # 000000
 

 $ mkdir ~ / .ssh / login-keys.d /
$ cd ~ / .ssh / ключи входа в систему.d /
$ ln -s ../id_rsa
 

 /etc/pam.d/login 

 #% ПАМ-1.0

требуется авторизация pam_securetty.so
реквизит авторизации pam_nologin.so
auth включает систему-локальный-логин
  auth необязательно pam_ssh.so try_first_pass 
учетная запись включает систему-локальный-логин
сеанс включает систему-локальный-логин
  сеанс опционально pam_ssh.so  

 / etc / pam.d / system-auth 

 #% ПАМ-1.0

  auth [success = 1 new_authtok_reqd = 1 ignore = ignore default = ignore] pam_unix.so try_first_pass nullok 
  требуется авторизация pam_ssh.so use_first_pass 
auth необязательный pam_permit.so
требуется авторизация pam_env.so

необходим аккаунт pam_unix.so
аккаунт необязательный pam_permit.so
требуется учетная запись pam_time.so

требуется пароль pam_unix.so try_first_pass nullok sha512 shadow
пароль необязательный pam_permit.so

требуется сеанс pam_limits.так
требуется сеанс pam_unix.so
сеанс необязательный pam_permit.so
  сеанс опционально pam_ssh.so  

 $ chmod 700 ~ / .ssh
$ chmod 600 ~ / .ssh /  ключ 
 

 $ chmod 700 ~ / .ssh
$ chmod 600 ~ / .ssh / authorized_keys
 

 $ chmod go-w / home /  target_user 
 

 # / usr / bin / sshd -d
 

 $ ssh -i id_rsa_server user @ server