ssh без пароля

ru_linux — 21.11.2010 Обыскался внятного руководства о том, что есть что в доступе к ssh без паролей.
Везде валяются хауту, часто для устаревших протоколов и систем, и по большей части без адекватного объяснения что есть что.
Раскурил тему, хочу поделиться с общественностью.
Надеюсь что модератор не будет против, впрочем если что готов удалить немедленно.

Подняли десяток серверов. Как ходить туда по SSH?
Таскать всюду за собой текстовый файл с сотней паролей? Полный потенциальный фейл при фотографировании злоумышленником экрана и очень неудобно - набивать каждый раз, да ещё и в mc не организовано толком оформление подключения ssh-директории. В общем, созрел до перехода на ключи.
В моём примере у меня для простоты не было ещё никаких ключей раньше, и мне необходимо сделать простой заход с любого сервера на любой другой, с домашнего на любой и носить с собой в суперзащищённом месте файл ключа подходящего для PuTTY, чтобы подключаться даже с виндовой кофеварки.

Для этого я начал с домашней машины.
1. ssh-keygen создал мне пару ключей - приватный в ~/.ssh/id_rsa и публичный ~/.ssh/id_rsa.pub. Поскольку ключи будут много где лежать, я уж защищу их на всякий случай простенькой ключевой фразой.
2. ssh-copy-id -i ~/.ssh/id_rsa.pub remote-user@remote-host - после того, как ключи созданы, нам надо передать публичный ключ на удалённый сервер. При этом там создастся файл ~/.ssh/authorized_keys - полная копия моего id_rsa.pub. Удалённый хост будет смотреть в него для подтверждения того, что человек, владеющий приватным ключом к этому публичному ключу, достоин доступа к хосту. Сам удалённый хост при этом никаких прав куда-либо ходить не получит, это только авторизация на нём.
3. ssh remote-user@remote-host - пробуем заходить на хост, который нам теперь доверяет. Если что-то пойдёт неправильно и он запросит пароль, попробуйте ещё раз с ключиком -v и узнаете в чём именно проблема. Не путайте ввод пароля с вводом ключевой фразы.
4. Если всё получилось, то выходите и копируйте свои права доступа удалённому серверу, чтобы он тоже мог всюду ходить с вашими реквизитами:
scp ~/.ssh/id_rsa remote-user@remote-host:~/.ssh/ && scp ~/.ssh/id_rsa.pub remote-user@remote-host:~/.ssh/
5. Если хотите пользоваться безпарольным входом с windows-машин, то кормите свой приватный ключ из файла id_rsa утилите puttygen из комплекта putty, она на основании него сделает вам файлик, который необходимо будет подкладывать самому PuTTY при подключении. Вручную сделать сложно, у меня не получалось, ей нужны какие-то грабли строго неправильной формы в заголовках.

Оставить комментарий

Популярные посты:

• Ранее
• Архив