Kuinka määrittää salasanaton SSH-todennus RHEL 9: ssä

Lyhenne sanoista Secure Shell, SSH on suojattu verkkoprotokolla, joka salaa liikenteen kahden päätepisteen välillä. Sen avulla käyttäjät voivat muodostaa turvallisen yhteyden ja/tai siirtää tiedostoja verkon kautta.

Verkko- ja järjestelmänvalvojat käyttävät enimmäkseen SSH:ta etäresurssien, kuten palvelimien ja verkkolaitteiden, turvalliseen käyttöön ja hallintaan verkon kautta. Se käyttää vahvoja salausmenetelmiä, kuten AES ja hajautusalgoritmeja, kuten SHA-2 ja ECDSA asiakkaan ja etäjärjestelmän välillä vaihdetun liikenteen salaamiseen.

SSH toteuttaa kaksi todennusmenetelmää; salasanapohjainen todennus ja julkisen avaimen todennus. Jälkimmäinen on suositeltavampi, koska se tarjoaa paremman suojan käyttämällä julkisen avaimen todennusta, joka suojaa järjestelmää raakoja hyökkäyksiä vastaan.

Tätä silmällä pitäen esittelemme, kuinka voit määrittää SSH-avainpohjaisen todennuksen RHEL 9:ssä.

Testauslaboratorion asetukset

Tältä kokoonpanomme näyttää

  • Linux/UNIX (Ubuntu- tai RHEL-pohjainen) järjestelmä, johon luomme avainparin. Tässä oppaassa käytän Ubuntu-jakelua.
  • RHEL 9:n ilmentymä (Tämä pilvi on paikan päällä tai pilvi-VPS).

Vaihe 1: Luo ECDSA SSH -avainpari

Siirry Linux-järjestelmääsi ja luo SSH-avainpari seuraavasti. Tässä oppaassa luomme avainparin ECDSA-algoritmilla, joka tarjoaa paremman salauksen ja suojauksen.

Siksi luo ECDSA-avainpari suorittamalla komento:

ssh-keygen -t ecdsa

Komento opastaa sinut useiden kehotteiden läpi.

Oletuksena avainpari tallennetaan käyttäjän kotihakemistoon ~/.ssh-hakemiston sisällä. Voit hyväksyä tämän SSH-näppäinparin kohteeksi painamalla näppäimistön ENTER-näppäintä, muuten voit määrittää haluamasi polun. Tässä oppaassa olemme päättäneet käyttää oletuspolkua.

Seuraavaksi sinua pyydetään antamaan tunnuslause. Tämä on periaatteessa salasana, joka sinun on annettava, kun muodostat yhteyden RHEL 9 -etäjärjestelmään. Se tarjoaa lisäsuojauskerroksen SSH-avainten tarjoaman salauksen lisäksi.

Jos suunnitelmasi on kuitenkin automatisoida prosesseja SSH-suojauksen yli tai määrittää salasanaton todennus, on suositeltavaa jättää tämä kohta tyhjäksi. Ja siksi jätämme tämän tyhjäksi painamalla vielä kerran ENTER-näppäintä.

Alla on komennon suoritusajan tulos.

Voit katsoa SSH-avainparia käyttämällä ls-komentoa kuvan mukaisesti.

ls -l ~/.ssh

id_ecdsa on yksityinen avain, kun taas id_ecdsa.pub on julkinen avain. Yksityisen avaimen tulee aina pysyä salassa, eikä sitä saa jakaa tai paljastaa kenellekään. Toisaalta voit vapaasti jakaa yleisön minkä tahansa etäjärjestelmän kanssa, johon haluat muodostaa yhteyden.

Vaihe 2: Kopioi julkinen SSH-avain Remote RHEL 9:ään

Seuraava vaihe on kopioida julkinen avain RHEL 9 -etäinstanssiin. Voit tehdä tämän manuaalisesti tai käyttämällä komentorivityökalua ssh-copy-id. Koska jälkimmäinen on paljon helpompi ja kätevämpi käyttää, kutsu se käyttämällä seuraavaa syntaksia.

ssh-copy-id user@rhel-9-server-IP

Meidän tapauksessamme komento on seuraava, jossa tecmint on tavallinen kirjautumiskäyttäjä ja 192.168.254.129 on etäkäyttäjän IP-osoite.

ssh-copy-id [email 

Kirjoita kyllä jatkaaksesi yhteyden muodostamista. Anna sitten etäkäyttäjän salasana ja paina ENTER.

Julkinen avain kopioidaan authorized_keys-tiedostoon etäkäyttäjän kotihakemiston ~/.ssh-hakemistossa. Kun avain on kopioitu, voit nyt kirjautua sisään RHEL 9 -etäinstanssiin käyttämällä julkisen avaimen todennusta.

HUOMAA: RHEL 9:ssä pääkäyttäjän kirjautuminen SSH:n kautta on oletuksena poistettu käytöstä tai estetty. Tämä johtuu hyvistä syistä – se estää hyökkääjää kirjautumasta sisään root-tilillä, mikä antaa hänelle kaikki järjestelmän oikeudet. Siksi julkisen avaimen kopioiminen RHEL-järjestelmään pääkäyttäjänä epäonnistuu.

Ota Root Login käyttöön RHEL 9:ssä

Jos sinun on kirjauduttava sisään root-käyttäjänä, sinun on muokattava SSH-oletusasetuksia seuraavasti.

sudo vim /etc/ssh/sshd_config

Aseta seuraavaksi PermitRootLogin-attribuutti arvoon yes, tallenna muutokset ja poistu tiedostosta.

Ota tehdyt muutokset käyttöön käynnistämällä SSH-palvelu uudelleen.

sudo systemctl restart ssh

Vaihe 3: Tarkista julkisen SSH-avaimen todennus

Vahvistakaamme nyt julkisen avaimen todennus. Voit tehdä tämän kirjautumalla sisään seuraavasti.

ssh [email 

Tällä kertaa sinulta ei kysytä salasanaa, vaan siirryt suoraan RHEL 9 -etäkuoreen kuvan mukaisesti. Voit myös tarkistaa authorized_keys-tiedoston olemassaolon, kuten aiemmin mainittiin.

ls -l ~/.ssh

Voit myös tarkastella salauksen julkisen avaimen tiedostoa cat-komennolla.

cat ~/.ssh/authorized_keys

Linux-työpöydällä, jolla loimme SSH-avaimet, ~/.ssh-hakemistoon luodaan tiedosto nimeltä known_hosts. Tämä sisältää kaikkien niiden etäpalvelimien sormenjäljen, joihin järjestelmä on muodostanut yhteyden.

Tässä oppaassa olemme määrittäneet onnistuneesti SSH-avainpohjaisen todennuksen RHEL 9:ssä. Palautteesi on erittäin tervetullutta.