Generujte ssh klíče na Windows s puttygenem

Secure Shell (SSH) je kryptografický síťový protokol používaný pro zabezpečené spojení mezi klientem a serverem a podporuje různé mechanismy autentizace.

Dva nejoblíbenější mechanismy jsou autentizace založená na heslech a autentizace na základě veřejného klíče. Použití klíčů SSH je bezpečnější a pohodlnější než tradiční ověřování pomocí hesla.

Tento tutoriál vysvětluje, jak generovat klíče SSH ve Windows pomocí PuTTYgen. Také vám ukážeme, jak nastavit autentizaci pomocí klíče SSH a připojit se ke vzdáleným serverům Linux bez zadání hesla.

Stáhněte si PuTTYgen

PuTTYgen je open-source nástroj, který umožňuje generovat klíče SSH pro nejpopulárnějšího klienta Windows SSH PuTTY.

PuTTYgen je k dispozici jako samostatný spustitelný soubor a je také součástí instalačního balíčku PuTTY.msi. Pokud nemáte nainstalovaný PuTTYgen, přejděte na stránku stahování PuTTY a stáhněte instalační balíček PuTTY. Instalace je jednoduchá, poklepejte na instalační balíček a postupujte podle pokynů.

Vytváření SSH klíčů pomocí PuTTYgen

Chcete-li vygenerovat pár klíčů SSH ve Windows pomocí PuTTYgen, proveďte následující kroky:

1. Spusťte nástroj PuTTYgen dvojitým kliknutím na jeho soubor exe nebo přejděte do nabídky Start systému Windows → PuTTY (64bitový) → PuTTYgen.

   

   Pro „Typ klíče pro generování“ ponechte výchozí RSA. „Počet bitů ve vygenerovaném klíči“, 2048 je pro většinu lidí dostačující. Případně můžete změnit na 4096.

   Klepnutím na tlačítko „Generovat“ zahájíte proces generování nového páru klíčů.

   

   Budete požádáni o přesunutí myši přes prázdné místo v sekci Klíč, abyste vygenerovali nějakou náhodnost. Při pohybu ukazatelem se bude posunout zelený ukazatel průběhu. Proces by měl trvat několik sekund.

   Po dokončení procesu generování se v okně zobrazí veřejný klíč.

   

   Pokud chcete použít přístupovou frázi, zadejte ji do pole „Klíčové přístupové fráze“ a potvrďte stejnou přístupovou frázi do pole „Potvrdit přístupové fráze“. Pokud se rozhodnete používat přístupovou frázi, získáte další vrstvu zabezpečení tím, že soukromý klíč ochráníte před neoprávněným použitím.

   Soukromý klíč uložte kliknutím na tlačítko „Uložit soukromý klíč“. Soubor můžete uložit do libovolného adresáře pomocí přípony.ppk (PuTTY Private Key), ale doporučujeme uložit na místo, kde jej snadno najdete. Je běžné používat popisný název souboru soukromého klíče.

   Volitelně můžete také uložit veřejný klíč, i když jej lze později načíst soukromým klíčem.

   Klepněte pravým tlačítkem myši do textového pole označeného „Veřejný klíč pro vložení do souboru Open_SH oprávněných_keys“ a vyberte všechny znaky kliknutím na „Vybrat vše“. Otevřete textový editor, vložte znaky a uložte je. Ujistěte se, že vkládáte celý klíč. Je vhodné uložit soubor do stejného adresáře, kde jste uložili soukromý klíč, pomocí stejného jména jako soukromý klíč a.txt nebo.pub jako přípona souboru.

   

   Toto je klíč, který přidáte na svůj Linuxový server.

Zkopírujte veřejný klíč na svůj Linuxový server

Nyní, když jste vygenerovali dvojici klíčů SSH, dalším krokem je zkopírování veřejného klíče na server, který chcete spravovat.

Spusťte program PuTTY a přihlaste se ke vzdálenému serveru Linux.

Pokud váš uživatelský adresář SSH neexistuje, vytvořte jej pomocí příkazu mkdir a nastavte správná oprávnění:

mkdir -p ~/.ssh chmod 0700 ~/.ssh

Otevřete textový editor a vložte veřejný klíč, který jste zkopírovali v kroku 4 při generování páru klíčů do souboru ~/.ssh/authorized_keys :

nano ~/.ssh/authorized_keys

Celý text veřejného klíče by měl být na jednom řádku.

Spusťte následující příkaz chmod a ujistěte se, že pouze váš uživatel může číst a zapisovat soubor ~/.ssh/authorized_keys :

chmod 0600 ~/.ssh/authorized_keys

Přihlaste se k serveru pomocí klíčů SSH

Pageant je PuTTY SSH autentizační agent, který drží soukromé klíče v paměti. Pageant binary je součástí instalačního balíčku PuTTY.msi a lze jej spustit spuštěním nabídky Start systému Windows → PuTTY (64-bit) → Pageant.

Když spustíte Pageant, umístí ikonu do systémové lišty. Poklepáním na ikonu se otevře okno průvod.

Chcete-li načíst klíč, stiskněte tlačítko „Přidat klíč“, čímž se otevře dialogové okno nového souboru. Vyhledejte soubor soukromého klíče a stiskněte „Otevřít“. Pokud jste nenastavili přístupové heslo, bude klíč načten okamžitě. Jinak budete vyzváni k zadání přístupového hesla.

Zadejte heslo a průvod načte soukromý klíč.

Po provedení výše uvedených kroků byste se měli mít možnost přihlásit se ke vzdálenému serveru, aniž byste byli vyzváni k zadání hesla.

Chcete-li jej otestovat, otevřete novou relaci PuTTY SSH a zkuste se přihlásit k serveru. PuTTY použije načtený klíč a budete přihlášeni k vašemu Linuxovému serveru bez zadání hesla.

Zakázání ověřování heslem SSH

Chcete-li na server přidat další vrstvu zabezpečení, můžete zakázat ověřování hesla pro SSH.

Před deaktivací ověřování heslem SSH se ujistěte, že se můžete přihlásit k serveru bez hesla a uživatel, ke kterému se přihlašujete, má oprávnění sudo.

Přihlaste se ke vzdálenému serveru a otevřete konfigurační soubor SSH /etc/ssh/sshd_config pomocí textového editoru:

sudo nano /etc/ssh/sshd_config

Vyhledejte následující směrnice a upravte jej následovně:

/ etc / ssh / sshd_config

PasswordAuthentication no ChallengeResponseAuthentication no UsePAM no

Po dokončení uložte soubor a restartujte službu SSH zadáním:

sudo systemctl restart ssh

V tomto okamžiku je ověřování založené na hesle zakázáno.

Závěr

V tomto tutoriálu jste se naučili, jak vygenerovat nový pár klíčů SSH a nastavit autentizaci pomocí klíče SSH. Stejný klíč můžete přidat na více vzdálených serverů. Také jsme vám ukázali, jak deaktivovat ověřování heslem SSH a přidat další vrstvu zabezpečení na váš server.

Ve výchozím nastavení SSH poslouchá na portu 22. Změna výchozího portu SSH sníží riziko automatických útoků.

ssh zabezpečení