Secure Shell (SSH) 仍然是連接到遠(yuǎn)程 Linux 服務(wù)器和各種網(wǎng)絡(luò)設(shè)備的實際方式。隨著對 Ansible 等自動化技術(shù)的更大依賴,它的使用不僅沒有失去重要性,反而有所增加。
假設(shè)您的開發(fā)團(tuán)隊在他們的測試環(huán)境中建立了一個新的網(wǎng)絡(luò)服務(wù)器,并且忽略了在服務(wù)器的防火墻中打開端口 80 和 443。團(tuán)隊與您聯(lián)系,要求您解決問題。您可以使用 SSH 遠(yuǎn)程訪問網(wǎng)絡(luò)服務(wù)器。您建立連接,在出現(xiàn)提示時輸入密碼并完成防火墻配置。它快速、簡單且安全。但是有更好的方法嗎?
本教程涵蓋實施和使用基于密鑰的身份驗證以支持更輕松的 SSH 身份驗證和改進(jìn)的自動化。SSH 身份驗證方法可能是CompTIA Linux+和CompTIA Security+考試的主題。
在您的家庭實驗室中將本教程與兩個或多個基于 Linux 的虛擬機(jī)一起使用。熟悉基于密鑰的身份驗證的另一種好方法是在連接到Raspberry Pi計算機(jī)時使用它。這些設(shè)備是開始使用 Linux 的好方法。
標(biāo)準(zhǔn) SSH 身份驗證
SSH 的標(biāo)準(zhǔn)語法包括ssh命令、連接用戶的名稱以及目標(biāo)設(shè)備的名稱或 IP 地址。之后,遠(yuǎn)程系統(tǒng)提示輸入帳戶密碼。
圖 1:標(biāo)準(zhǔn) SSH 連接的密碼挑戰(zhàn)
您現(xiàn)在已連接到系統(tǒng),可以根據(jù)您當(dāng)前的身份進(jìn)行更改或使用sudo提升您的權(quán)限。
什么是基于 SSH 密鑰的身份驗證?
基于密鑰的身份驗證通過使用公鑰/私鑰對替換 SSH 身份驗證質(zhì)詢中的“您知道的”密碼部分。這種非對稱加密唯一地標(biāo)識了用戶。也許更重要的是,至少在自動化的情況下,它不需要手動輸入密碼。SSH 自動傳遞身份驗證密鑰。假設(shè)遠(yuǎn)程系統(tǒng)接受密鑰,則身份驗證是立即且無聲的。
實施步驟
實施基于密鑰的身份驗證很簡單,包括三個步驟:
1.生成密鑰對
2.復(fù)制公鑰到遠(yuǎn)程服務(wù)器
3.測試認(rèn)證
您還可以編輯/etc/ssh/sshd_config文件以要求在您的遠(yuǎn)程系統(tǒng)上進(jìn)行基于密鑰的身份驗證。
以下是這三個實施步驟的更多詳細(xì)信息。
生成密鑰對
公鑰/私鑰對是一組在數(shù)學(xué)上相關(guān)的密鑰,可以唯一地標(biāo)識用戶或計算機(jī)。Linux ssh-keygen命令生成密鑰。根據(jù)您組織的安全要求,您可以使用-t選項來創(chuàng)建各種類型的密鑰。選項包括 RSA、DSA 和 ECDSA。
使用以下命令在您將連接到遠(yuǎn)程設(shè)備的客戶端計算機(jī)上創(chuàng)建密鑰對:
# ssh-keygen
檢查~/.ssh目錄中的密鑰。您將看到id_rsa(私鑰)和id_rsa.pub(公鑰)。密鑰名稱可能因所選的加密方法而異。
圖 2:ssh-keygen 命令生成公鑰/私鑰對
滾動到文件底部并觀察用戶名。請記住,這是遠(yuǎn)程系統(tǒng)識別的用戶。
密鑰生成實用程序為您提供了設(shè)置密碼的機(jī)會。按兩次Enter跳過此提示。您可能不想設(shè)置密碼,尤其是當(dāng)您在自動化環(huán)境中使用 SSH 時。
復(fù)制公鑰
密鑰對現(xiàn)在駐留在您的客戶端計算機(jī)上。這可能是您辦公桌上用于遠(yuǎn)程連接到您負(fù)責(zé)的各種設(shè)備的計算機(jī)。下一步是將公鑰復(fù)制到遠(yuǎn)程系統(tǒng)。
Linux 也有針對此任務(wù)的特定命令。命令是ssh-copy-id。例如,要將用戶student的密鑰復(fù)制到遠(yuǎn)程服務(wù)器192.168.1.101,請鍵入:
# ssh-copy-id學(xué)生@192.168.1.101
圖 3:ssh-copy-id 命令將用戶的公鑰復(fù)制到遠(yuǎn)程服務(wù)器
遠(yuǎn)程系統(tǒng)提示您輸入密碼。鍵入用于連接到目標(biāo)服務(wù)器的用戶帳戶的密碼。如果一切順利,這是您最后一次必須輸入此密碼。
您可以檢查遠(yuǎn)程系統(tǒng)的~/.ssh/authorized_keys文件并找到公鑰。
圖 4:公鑰文件的內(nèi)容
測試身份驗證
測試新的身份驗證方法就像建立 SSH 連接一樣簡單。鍵入通常的ssh命令并觀察遠(yuǎn)程系統(tǒng)不會向您詢問密碼。你只是連接!
圖 5:基于密鑰的 SSH 連接沒有密碼挑戰(zhàn)
SSH 連接在后臺傳遞公鑰,證明您的身份。
明顯的好處是易于連接。不再被要求輸入密碼很方便。然而,在自動化的背景下,基于密鑰的身份驗證使管理員不必輸入或嘗試保護(hù)文件中的密碼。自動化工具可以在管理員不在場的情況下使用 SSH 連接并完成它們的任務(wù)。很難夸大此功能在當(dāng)今自動化世界中的重要性。
強(qiáng)制執(zhí)行基于密鑰的身份驗證
SSH 的基于密鑰的身份驗證肯定會改善您組織的安全狀況。要實施此方法,請更新遠(yuǎn)程服務(wù)器上的/etc/ssh/sshd_config文件以要求基于密鑰的身份驗證并拒絕基于密碼的連接嘗試。
打開遠(yuǎn)程服務(wù)器上的/etc/ssh/sshd_config文件進(jìn)行編輯。找到讀取PubKeyAuthentication的節(jié)并將其編輯為yes。找到PasswordAuthentication的節(jié)并將其設(shè)置為no。
密碼認(rèn)證號
PubKeyAuthentication 是
當(dāng)您這樣做時,請考慮其他 SSH 安全最佳實踐,例如將用戶列入白名單和拒絕 root 帳戶的遠(yuǎn)程連接。以下條目可能有助于更好地保護(hù)您的 SSH 連接。在生產(chǎn)環(huán)境中實施它們之前,請務(wù)必了解并測試它們。一個錯誤可能會停止與服務(wù)器的遠(yuǎn)程連接。
PermitEmptyPasswords 否
PermitRoot登錄號
允許用戶 admin1
保持練習(xí)
基于 SSH 密鑰的身份驗證對于當(dāng)今的遠(yuǎn)程管理和自動化任務(wù)至關(guān)重要。花幾分鐘清點您經(jīng)常通過 SSH 連接的 Linux 服務(wù)器和網(wǎng)絡(luò)設(shè)備,然后創(chuàng)建一個密鑰對。將公鑰復(fù)制到這些系統(tǒng)。我還鼓勵您將這些目標(biāo)設(shè)備配置為需要 SSH 密鑰進(jìn)行身份驗證并拒絕基于密碼的嘗試。
如果您正在準(zhǔn)備 CompTIA Linux+、CompTIA Security+ 或CompTIA Cyber??security Analyst (CySA+)等認(rèn)證考試,請確保您可以識別與基于密鑰的身份驗證相關(guān)的組件和命令。在您的家庭實驗室環(huán)境中完成這些步驟,直到它們成為第二天性。
網(wǎng)站資訊
解決方案
關(guān)于我們
