SSH - авторизация по ключам

user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '2:6766621c4a6bf8edd11cb6d49f20dbb6' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 27.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: UPDATE cache_filter SET data = 'Одним из самых надежных способов авторизации является авторизация по ключам. Само собой подразумевается, что приватные ключи хранятся в надежном месте... Еще одним плюсом использования авторизации по ключам является возможность использоватния в скриптах.\nРассмотрим пример настройки авторизации по ключам на FreeBSD. Создадим групу для удаленных пользователей и непосредственно пользователя remoteuser1, используя свободные uid и gid:\n<table border=\"1\" cellpadding=\"1\" cellspacing=\"1\" style=\"width:100%\">\n<tbody>\n<tr>\n<td class=\"rtejustify\">test.muff.kiev.ua# pw groupadd -n remoteusers -g 1500  \n test.muff.kiev.ua# adduser \n Username: remoteuser1 \n Full name: RemoteUser1 \n Uid (Leave empty for default): 1500 \n Login group [remoteuser1]: remoteusers \n Login group is remoteusers. Invite remoteuser1 into other groups? []: \n Login class [default]: russian \n Shell (sh csh tcsh nologin) [sh]: tcsh \n Home directory [/home/remoteuser1]: \n Use password-based authentication? [yes]: \n Use an empty password? (yes/no) [no]: \n Use a random password? (yes/no) [no]: \n Enter password: \n Enter password again: \n Lock out the account after creation? [no]: \n Username   : remoteuser1 \n Password   : ***** \n Full Name  : RemoteUser1 \n Uid        : 1500 \n Class      : russian \n Groups     : remoteusers \n Home       : /home/remoteuser1 \n Shell      : /bin/tcsh \n Locked     : no \n OK? (yes/no): yes \n adduser: INFO: Successfully added (remoteuser1) to the user database. \n Add another user? (yes/no): no \n Goodbye!</td>\n</tr>\n</tbody>\n</table>\nПереключаемся на созданного пользователя:\n<table border=\"1\" cellpadding=\"1\" cellspacing=\"1\" style=\"width:100%\">\n<tbody>\n<tr>\n<td class=\"rtejustify\">test.muff.kiev.ua# su remoteuser1</td>\n</tr>\n</tbody>\n</table>\nТеперь немного теории. Воспользовавшись командой ssh-keygen можно создать ключи DSA или RSA, которыми пользователи могут аутентифицироваться. Согласно материала из Википедии, имеем такие определения:\n<ul>\n<li class=\"rtejustify\"><a href=\"http://ru.wikipedia.org/wiki/DSA\">DSA (Digital Signature Algorithm)</a> — алгоритм с использованием открытого ключа для создания электронной подписи, но не для шифрования (в отличие от RSA и схемы Эль-Гамаля). Подпись создается секретно, но может быть публично проверена. Это означает, что только один субъект может создать подпись сообщения, но любой может проверить её корректность. Алгоритм основан на вычислительной сложности взятия логарифмов в конечных полях.</li>\n<li class=\"rtejustify\"><a href=\"http://ru.wikipedia.org/wiki/RSA\">RSA (буквенная аббревиатура от фамилий Rivest, Shamir и Adleman)</a> — криптографический алгоритм с открытым ключом, основывающийся на вычислительной сложности задачи факторизации больших целых чисел. Криптосистема RSA стала первой системой, пригодной и для шифрования, и для цифровой подписи.</li>\n</ul>\nКаким из методов воспользоваться - выбирать Вам. Однако стоит отметить особенность алгоритма DSA - длина ключа, который генерируется, составляет 1024 бита. При попытке увеличить размер ключа, в ответ вываливается сообщение "DSA keys must be 1024 bits". Однако, стоит отметить тот факт, что при увеличении размера ключа, возрастает восприимчивость алгоритмов к определенным видам атак!\nСгенерируем ключ, принимая значения по умолчанию (поле passphrase оставляем пустым).\nГенерирование DSA ключа:\n<table border=\"1\" cellpadding=\"1\" cellspacing=\"1\" style=\"width:100%\">\n<tbody>\n<tr>\n<td>\ntest.muff.kiev.ua% ssh-keygen -t dsa\n<pre class=\"rtejustify\">\nGenerating public/private dsa key pair.\nEnter file in which to save the key (/home/remoteuser1/.ssh/id_dsa):\nCreated directory '/home/remoteuser1/.ssh'.\nEnter passphrase (empty for no passphrase):\nEnter same passphrase again:\nYour identification has been saved in /home/remoteuser1/.ssh/id_dsa.\nYour public key has been saved in /home/remoteuser1/.ssh/id_dsa.pub.\nThe key fingerprint is:\nd0:f1:a6:e8:d8:d7:3d:2f:90:e6:f8:78:75:8d:a4:b9 remoteuser1 [at] test [dot] muff [dot] kiev [dot] ua\nThe key's randomart image is:\n+--[ DSA 1024]----+\n| . |\n| . o |\n| . . o |\n| o o . |\n| . S . + o |\n| + .+.+ o .|\n| . o .+.ooo |\n| ...o Eo |\n| .o. .. |\n+-----------------+</pre></td>\n</tr>\n</tbody>\n</table>\nГенерирование RSA ключа, длиной 2048 бит:\n<table border=\"1\" cellpadding=\"1\" cellspacing=\"1\" style=\"width:100%\">\n<tbody>\n<tr>\n<td>\ntest.muff.kiev.ua% ssh-keygen -t rsa -b 2048\n<pre class=\"rtejustify\">\nGenerating public/private rsa key pair.\nEnter file in which to save the key (/home/remoteuser1/.ssh/id_rsa):\nEnter passphrase (empty for no passphrase):\nEnter same passphrase again:\nYour identification has been saved in /home/remoteuser1/.ssh/id_rsa.\nYour public key has been saved in /home/remoteuser1/.ssh/id_rsa.pub.\nThe key fingerprint is:\n2b:b2:56:42:1f:a6:dd:b6:98:cf:5c:17:a0:f5:01:70 remoteuser1 [at] test [dot] muff [dot] kiev [dot] ua\nThe key's randomart image is:\n+--[ RSA 2048]----+\n| ..E |\n| . . |\n| o . |\n| . o o o . |\n| . = oS o |\n| o + o. . |\n| .o.+... . |\n| .oo+.. . |\n| .. .+ |\n+-----------------+</pre></td>\n</tr>\n</tbody>\n</table>\nПосле использования команды ssh-keygen, будет созданы пара из публичного и приватного ключей, используемых для аутентификации. Приватный ключ сохраняется в ~/.ssh/id_dsa (или ~/.ssh/id_rsa соответственно), а публичный в ~/.ssh/id_dsa.pub (или ~/.ssh/id_rsa.pub соответственно). В целях безопасности советую приватные ключи сразу перемещать в надежное место и удалять их с сервера.\nВключаем авторизацию по ключам. В файл /etc/ssh/sshd_config внесем такие строки:\n<table border=\"1\" cellpadding=\"1\" cellspacing=\"1\" style=\"width:100%\">\n<tbody>\n<tr>\n<td class=\"rtejustify\" style=\"background-color: rgb(51, 51, 51);\"># Разрешение использования RSA ключей \n RSAAuthentication yes \n # Разрешение авторизации при помощи ключей \n PubkeyAuthentication yes \n # Путь к ключам, с которыми можно соединяться. \n AuthorizedKeysFile .ssh/authorized_keys</td>\n</tr>\n</tbody>\n</table>\nПосле внесения изменений перезапускаем демон sshd:\n<table border=\"1\" cellpadding=\"1\" cellspacing=\"1\" style=\"width:100%\">\n<tbody>\n<tr>\n<td class=\"rtejustify\">test.muff.kiev.ua# sh /etc/rc.d/sshd restart</td>\n</tr>\n</tbody>\n</table>\nДля авторизации по ключам, на удаленном компьютере публичный ключ должен быть помещен в файл ~/.ssh/authorized_keys . Соответствено, необходимо записать сгенерированные  ключи в ~/.ssh/authorized_keys.\nДля DSA:\n<table border=\"1\" cellpadding=\"1\" cellspacing=\"1\" style=\"width:100%\">\n<tbody>\n<tr>\n<td class=\"rtejustify\">test.muff.kiev.ua% cd ~/.ssh/ \n test.muff.kiev.ua% cat id_dsa.pub >> authorized_keys </td>\n</tr>\n</tbody>\n</table>\nДля RSA:\n \n<table border=\"1\" cellpadding=\"1\" cellspacing=\"1\" style=\"width:100%\">\n<tbody>\n<tr>\n<td class=\"rtejustify\">test.muff.kiev.ua% cd ~/.ssh/ \n test.muff.kiev.ua% cat id_rsa.pub >> authorized_keys </td>\n</tr>\n</tbody>\n</table>\nТеперь скопируем приватный ключ на сервер, с которого будем подключаться, в домашний каталог пользователя и в целях безопасности удалим приватный ключ.\nDSA:\n<table border=\"1\" cellpadding=\"1\" cellspacing=\"1\" style=\"width:100%\">\n<tbody>\n<tr>\n<td class=\"rtejustify\">test.muff.kiev.ua% cd ~/.ssh/ \n test.muff.kiev.ua% scp id_dsa remoteuser1 [at] server [dot] muff [dot] kiev [dot] ua:/home/remoteuser1/.ssh/ \n test.muff.kiev.ua% rm id_dsa</td>\n</tr>\n</tbody>\n</table>\nRSA:\n \n<table border=\"1\" cellpadding=\"1\" cellspacing=\"1\" style=\"width:100%\">\n<tbody>\n<tr>\n<td class=\"rtejustify\">test.muff.kiev.ua% cd ~/.ssh/ \n test.muff.kiev.ua% scp id_rsa remoteuser1 [at] server [dot] muff [dot] kiev [dot] ua:/home/remoteuser1/.ssh/ \n test.muff.kiev.ua% rm id_rsa</td>\n</tr>\n</tbody>\n</table>\nНа этом настройка авторизации по ключам заканчивается. Пытаемся залогиниться:\n<table border=\"1\" cellpadding=\"1\" cellspacing=\"1\" style=\"width:100%\">\n<tbody>\n<tr>\n<td class=\"rtejustify\">server.muff.kiev.ua% ssh test.muff.kiev.ua \n test.muff.kiev.ua%</td>\n</tr>\n</tbody>\n</table>\nВсе работает, авторизацию не запрашивает. Это в случае, если будете коннектиться с Unix-системы.\nЕсли же попытаться подключиться с Windows-системы, используя как ssh-клиента утилиту PuTTY, то при попытке использовать полученный приватный ключ получим ошибку "Unable to use key file (OpenSSH SSH2 private key)".\nДля решения этой проблемы необходимо воспользоваться утилитой puttygen. Запускаем утилиту и импортируем наш приватный ключ: Conversions -> Import Key. После этого сохраняем полученый ppk-файл, нажав на кнопку "save private key".\nЗапускаем PuTTY и в настройках сессии указываем следующие настройки и действия:\n<ul>\n<li class=\"rtejustify\">Connection -> data -> autologin username =User</li>\n<li class=\"rtejustify\">Connection -> data ->ssh -auth = <path_to_ppk-file></li>\n<li class=\"rtejustify\">Сохраняем сессию</li>\n</ul>\nЗапускаем PuTTY выбираем сохраненную сессию, нажимаем кнопку "Open" и попадаем в систему.\n \n', created = 1767332943, expire = 1767419343, headers = '', serialized = 0 WHERE cid = '2:6766621c4a6bf8edd11cb6d49f20dbb6' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 112.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '2:0dee859ede4fee362fb5d5fa4c13f536' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 27.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: UPDATE cache_filter SET data = 'смысл от генерации ключей если можно зайти по логину и паролю\n \nee /etc/ssh/sshd_config\nChallengeResponseAuthentication no\n', created = 1767332943, expire = 1767419343, headers = '', serialized = 0 WHERE cid = '2:0dee859ede4fee362fb5d5fa4c13f536' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 112.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '2:07243fc0252056071eaa62af8c18d662' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 27.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: UPDATE cache_filter SET data = '<a class=\"thickbox\" href=\"/files/imagepicker/1/wake_up_ua.png\"><img alt=\"Вставай, Україно!\" class=\"imgp_img\" src=\"/files/imagepicker/1/thumbs/wake_up_ua.png\" style=\"height:200px; width:150px\" /></a>\n', created = 1767332943, expire = 1767419343, headers = '', serialized = 0 WHERE cid = '2:07243fc0252056071eaa62af8c18d662' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 112.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '3:cc913d232116f0426090404133377d88' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 27.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '2:d9a86123bfcbc57878743027b584400b' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 27.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: UPDATE cache_filter SET data = '<a href=\"http://muff.kiev.ua/rss.xml\"><img alt=\"RSS\" width=\"160\" height=\"60\" src=\"http://muff.kiev.ua/files/muf-rss.png\" /></a>\n', created = 1767332943, expire = 1767419343, headers = '', serialized = 0 WHERE cid = '2:d9a86123bfcbc57878743027b584400b' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 112.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '3:39649256b636e3d5ded656bc52bd8c01' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 27.

Опубликовано muff в Сб, 2012-07-07 15:47

Одним из самых надежных способов авторизации является авторизация по ключам. Само собой подразумевается, что приватные ключи хранятся в надежном месте... Еще одним плюсом использования авторизации по ключам является возможность использоватния в скриптах.

Рассмотрим пример настройки авторизации по ключам на FreeBSD. Создадим групу для удаленных пользователей и непосредственно пользователя remoteuser1, используя свободные uid и gid:

test.muff.kiev.ua# pw groupadd -n remoteusers -g 1500
test.muff.kiev.ua# adduser
Username: remoteuser1
Full name: RemoteUser1
Uid (Leave empty for default): 1500
Login group [remoteuser1]: remoteusers
Login group is remoteusers. Invite remoteuser1 into other groups? []:
Login class [default]: russian
Shell (sh csh tcsh nologin) [sh]: tcsh
Home directory [/home/remoteuser1]:
Use password-based authentication? [yes]:
Use an empty password? (yes/no) [no]:
Use a random password? (yes/no) [no]:
Enter password:
Enter password again:
Lock out the account after creation? [no]:
Username   : remoteuser1
Password   : *****
Full Name : RemoteUser1
Uid        : 1500
Class      : russian
Groups     : remoteusers
Home       : /home/remoteuser1
Shell      : /bin/tcsh
Locked     : no
OK? (yes/no): yes
adduser: INFO: Successfully added (remoteuser1) to the user database.
Add another user? (yes/no): no
Goodbye!

Переключаемся на созданного пользователя:

test.muff.kiev.ua# su remoteuser1

Теперь немного теории. Воспользовавшись командой ssh-keygen можно создать ключи DSA или RSA, которыми пользователи могут аутентифицироваться. Согласно материала из Википедии, имеем такие определения:

DSA (Digital Signature Algorithm) — алгоритм с использованием открытого ключа для создания электронной подписи, но не для шифрования (в отличие от RSA и схемы Эль-Гамаля). Подпись создается секретно, но может быть публично проверена. Это означает, что только один субъект может создать подпись сообщения, но любой может проверить её корректность. Алгоритм основан на вычислительной сложности взятия логарифмов в конечных полях.
RSA (буквенная аббревиатура от фамилий Rivest, Shamir и Adleman) — криптографический алгоритм с открытым ключом, основывающийся на вычислительной сложности задачи факторизации больших целых чисел. Криптосистема RSA стала первой системой, пригодной и для шифрования, и для цифровой подписи.

Каким из методов воспользоваться - выбирать Вам. Однако стоит отметить особенность алгоритма DSA - длина ключа, который генерируется, составляет 1024 бита. При попытке увеличить размер ключа, в ответ вываливается сообщение "DSA keys must be 1024 bits". Однако, стоит отметить тот факт, что при увеличении размера ключа, возрастает восприимчивость алгоритмов к определенным видам атак!

Сгенерируем ключ, принимая значения по умолчанию (поле passphrase оставляем пустым).

Генерирование DSA ключа:

test.muff.kiev.ua% ssh-keygen -t dsa

Generating public/private dsa key pair.
Enter file in which to save the key (/home/remoteuser1/.ssh/id_dsa):
Created directory '/home/remoteuser1/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/remoteuser1/.ssh/id_dsa.
Your public key has been saved in /home/remoteuser1/.ssh/id_dsa.pub.
The key fingerprint is:
d0:f1:a6:e8:d8:d7:3d:2f:90:e6:f8:78:75:8d:a4:b9 remoteuser1 [at] test [dot] muff [dot] kiev [dot] ua
The key's randomart image is:
+--[ DSA 1024]----+
|        .        |
|       . o       |
|      . . o      |
|       o o    .  |
|      . S  . + o |
|     +   .+.+ o .|
|    . o .+.ooo   |
|       ...o Eo   |
|        .o.  ..  |
+-----------------+

Генерирование RSA ключа, длиной 2048 бит:

test.muff.kiev.ua% ssh-keygen -t rsa -b 2048

Generating public/private rsa key pair.
Enter file in which to save the key (/home/remoteuser1/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/remoteuser1/.ssh/id_rsa.
Your public key has been saved in /home/remoteuser1/.ssh/id_rsa.pub.
The key fingerprint is:
2b:b2:56:42:1f:a6:dd:b6:98:cf:5c:17:a0:f5:01:70 remoteuser1 [at] test [dot] muff [dot] kiev [dot] ua
The key's randomart image is:
+--[ RSA 2048]----+
|        ..E      |
|         . .     |
|          o .    |
|    . o  o o .   |
|   . = oS   o    |
|    o + o.   .   |
|    .o.+... .    |
|    .oo+.. .     |
|   ..  .+        |
+-----------------+

После использования команды ssh-keygen, будет созданы пара из публичного и приватного ключей, используемых для аутентификации. Приватный ключ сохраняется в ~/.ssh/id_dsa (или ~/.ssh/id_rsa соответственно), а публичный в ~/.ssh/id_dsa.pub (или ~/.ssh/id_rsa.pub соответственно). В целях безопасности советую приватные ключи сразу перемещать в надежное место и удалять их с сервера.

Включаем авторизацию по ключам. В файл /etc/ssh/sshd_config внесем такие строки:

# Разрешение использования RSA ключей
RSAAuthentication yes
# Разрешение авторизации при помощи ключей
PubkeyAuthentication yes
# Путь к ключам, с которыми можно соединяться.
AuthorizedKeysFile .ssh/authorized_keys

После внесения изменений перезапускаем демон sshd:

test.muff.kiev.ua# sh /etc/rc.d/sshd restart

Для авторизации по ключам, на удаленном компьютере публичный ключ должен быть помещен в файл ~/.ssh/authorized_keys . Соответствено, необходимо записать сгенерированные ключи в ~/.ssh/authorized_keys.

Для DSA:

test.muff.kiev.ua% cd ~/.ssh/
test.muff.kiev.ua% cat id_dsa.pub >> authorized_keys

Для RSA:

test.muff.kiev.ua% cd ~/.ssh/
test.muff.kiev.ua% cat id_rsa.pub >> authorized_keys

Теперь скопируем приватный ключ на сервер, с которого будем подключаться, в домашний каталог пользователя и в целях безопасности удалим приватный ключ.

DSA:

test.muff.kiev.ua% cd ~/.ssh/
test.muff.kiev.ua% scp id_dsa remoteuser1 [at] server [dot] muff [dot] kiev [dot] ua:/home/remoteuser1/.ssh/
test.muff.kiev.ua% rm id_dsa

RSA:

test.muff.kiev.ua% cd ~/.ssh/
test.muff.kiev.ua% scp id_rsa remoteuser1 [at] server [dot] muff [dot] kiev [dot] ua:/home/remoteuser1/.ssh/
test.muff.kiev.ua% rm id_rsa

На этом настройка авторизации по ключам заканчивается. Пытаемся залогиниться:

server.muff.kiev.ua% ssh test.muff.kiev.ua
test.muff.kiev.ua%

Все работает, авторизацию не запрашивает. Это в случае, если будете коннектиться с Unix-системы.

Если же попытаться подключиться с Windows-системы, используя как ssh-клиента утилиту PuTTY, то при попытке использовать полученный приватный ключ получим ошибку "Unable to use key file (OpenSSH SSH2 private key)".

Для решения этой проблемы необходимо воспользоваться утилитой puttygen. Запускаем утилиту и импортируем наш приватный ключ: Conversions -> Import Key. После этого сохраняем полученый ppk-файл, нажав на кнопку "save private key".

Запускаем PuTTY и в настройках сессии указываем следующие настройки и действия: