لینوکس, مدیریت سرور لینوکس

آموزش ساخت و استفاده از کلید SSH در لینوکس

SSH Keys

ساخت کلید SSH در لینوکس و استفاده از آن کار سختی نیست و کافیست چند مرحله ساده را انجام دهید، در این مقاله داتیس نتورک همراه ما باشید تا روش راه اندازی کلید SSH را در لینوکس به شما عزیزان آموزش دهیم.

آموزش ساخت و استفاده از کلید SSH در لینوکس

مرحله اول – ایجاد RSA Key Pair 

در مرحله اول نیاز است تا یک جفت کلید که یکی از انها Public و دیگری نیز Private است ایجاد نمایید.

در ویندوز میتوانید از ابزار PuTTYgen برای این کار استفاده نمایید و در لینوکس نیز کافیست دستور زیر را برای کلید ها در command-line وارد نمایید.

ssh-keygen -t rsa

مرحله دوم – ذخیره کلید ها و PassPhrase 

پس از وارد کردن دستور ایجاد کلید ها در خط فرمان چند سوال از شما خواهد شد.

در سوال اول از شما محل مورد نظر جهت ذخیره کلید ها پرسیده خواهد شد:

Enter file in which to save the key (/home/demo/.ssh/id_rsa):

در صورت تمایل میتوانید ادرس مورد نظر خود را وارد نمایید.

در غیر این صورت میتوانید Enter را زده تا فایل کلید ها در ادرس ذکر شده در خط فرمان ذخیره شود.

در مرحله بعد از شما PassPhrase درخواست میشود.

بهتر است قبل از هر چیز توضیح کوتاهی در مورد PassPhrase داده شود.

استفاده از این امکان دارای مزایای خاص خود است: کلیدهای امنیتی هرچقدر که پیچیده باشند وابسته به این هستند که توسط شخصی دیده نشوند و یا در اختیار کسی قرار نگیرند.

با استفاده از PassPhrase حتی اگر Private key در اختیار شخصی قرار داده شده باشد بدون دانستن PassPhrase نمیتوانید به سرور متصل شود.

اعمال و یا عدم اعمال پسوورد دوم به سلیقه شما بستکی دارد:

Enter passphrase (empty for no passphrase):

اگر مایل هستید میتوانید برای Private Key یک PassPhrase ایجاد نمایید و در صورت عدم تمایل کافیست Enter را زده و وارد مرحله بعد شوید.

توجه : درصوت فعال سازی PassPhrase نیاز است تا در هر اتصال پسوورد را وارد نمایید. فعال کردن این مورد برای سرور های عملیاتی تحت ابزار های DevOPS توصیه نمیشود.

بطور کلی روند ساخت SSH Keys بصورت زیر خواهد بود:

ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/demo/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /home/demo/.ssh/id_rsa.
Your public key has been saved in /home/demo/.ssh/id_rsa.pub.
The key fingerprint is:
4a:dd:0a:c6:35:4e:3f:ed:27:38:8c:74:44:4d:93:67 demo@a
The key's randomart image is:
+--[ RSA 2048]----+
|          .oo.   |
|         .  o.E  |
|        + .  o   |
|     . = = .     |
|      = S = .    |
|     o + = +     |
|      . o + o .  |
|           . o   |
|                 |
+-----------------+

پس از پایان کار کلید های ایجاد شده در مسیر های زیر ذخیره خواهد شد:

Public Key: /home/demo/.ssh/id_rsa.pub

Private Key: /home/demo/.ssh/id_rsa

مرحله سوم – کپی کردن Public Key

پس از ایجاد کلیدها زمان ان رسیده تا Public Key را وارد سرور مجازی مورد نظر خود نمایید.

با استفاده از دستور ssh-copy-id میتوانید عملیات مورد نظر خود را انجام دهید.

ssh-copy-id User@YourServerIPAddress

توجه داشته باشید در جای گذاری اطلاعات صحیح IP  و نام کاربری را وارد نمایید.

برای این کار روش دومی هم وجود دارد که میتوانید با استفاده از دستور ssh نیز فایل Public Key را به سرور مورد نظر انتقال دهید.

cat ~/.ssh/id_rsa.pub | ssh User@YourServerIPAddress “mkdir -p ~/.ssh && cat >>  ~/.ssh/authorized_keys”

مهم نیست از کدام روش استفاده میکنید. خروجی باید مشابه زیر باشد:

The authenticity of host '192.168.1.3 (192.168.1.3)' can't be established.
RSA key fingerprint is b1:2d:33:67:ce:35:4d:5f:f3:a8:cd:c0:c4:48:86:12.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.1.3' (RSA) to the list of known hosts.
user@192.168.1.3's password: 
Now try logging into the machine, with "ssh 'user@192.168.1.3'", and check in:

  ~/.ssh/authorized_keys

to make sure we haven't added extra keys that you weren't expecting.

پس از انجام مراحل بالا باید بتوانید بدون درخواست پسسورد به سرور خود بدون درخواست پسوورد متصل شوید.

هرچند اگر PassPhrase را فعال کرده باشید از شما برای ورود پسورد درخواست خواهد شد.

مرحله چهارم – غیر فعال کردن پسوورد root برای لاگین به SSH

زمانی که عملیات کپی فایل Public Key به سرور مورد نظر به پایان رسید از اتصال به سرور بدون استفاده از اطلاعات root اطمینان حاصل نمایید، پس از ان میتوانید محدودیت های لازم را بر روی یوزر root اعمال کرده و اتصال به SSH از طریق پروتکل SSH را غیر فعال نمایید. برای اعمال تغییرات فایل کانفیگ SSH را باز نمایید.

    sudo nano /etc/ssh/sshd_config

در این فایل متن PermitRootLogin را جستجو مرده و ان را بصورت زیر تغییر دهید تا از اتصال فقط ار طریق SSH Key اطمینان حاصل نمایید.

    PermitRootLogin without-password

سپس سرویس ssh را ری استارت نمایید تا تغییرات اعمال شود.

service sshd restart

systemctl restart sshd

نکته: دستور ری استارت سرویس SSH ممکن است در هر نسخه و یا توزیع لینوکس متفاوت باشد. دستورات بالا مربوط به توزیع CentOS میباشد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *