Схватите озбиљно сајбер безбедност и користите ССХ кључеве за приступ удаљеним пријавама. Они су безбеднији начин за повезивање од лозинки. Показујемо вам како да генеришете, инсталирате и користите ССХ кључеве у Линук-у.
Преглед садржаја
Шта није у реду са лозинкама?
Сецуре схелл (ССХ) је шифровани протокол који се користи за пријаву на корисничке налоге на удаљеним рачунарима сличним Линук-у или Уник-у. Обично су такви кориснички налози заштићени помоћу лозинки. Када се пријавите на удаљени рачунар, морате да унесете корисничко име и лозинку за налог на који се пријављујете.
Лозинке су најчешће средство за обезбеђивање приступа рачунарским ресурсима. Упркос томе, безбедност заснована на лозинкама има својих недостатака. Људи бирају слабе лозинке, деле лозинке, користе исту лозинку на више система итд.
ССХ кључеви су много безбеднији, а када се подесе, лако се користе као и лозинке.
Шта чини ССХ кључеве безбедним?
ССХ кључеви се креирају и користе у паровима. Два кључа су повезана и криптографски безбедна. Један је ваш јавни кључ, а други ваш приватни кључ. Они су везани за ваш кориснички налог. Ако више корисника на једном рачунару користи ССХ кључеве, сваки ће добити свој пар кључева.
Ваш приватни кључ је инсталиран у вашој кућној фасцикли (обично), а јавни кључ је инсталиран на удаљеном рачунару – или рачунарима – којима ћете морати да приступите.
Ваш приватни кључ се мора чувати на сигурном. Ако је доступна другима, ви сте у истој позицији као да су открили вашу лозинку. Разумна — и веома препоручена — мера предострожности је да ваш приватни кључ буде шифрован на вашем рачунару помоћу робусног приступна фраза.
Јавни кључ се може слободно делити без икаквог компромиса по вашу безбедност. Није могуће утврдити шта је приватни кључ испитивањем јавног кључа. Приватни кључ може да шифрује поруке које само приватни кључ може да дешифрује.
Када упутите захтев за повезивање, удаљени рачунар користи своју копију вашег јавног кључа да креира шифровану поруку. Порука садржи ИД сесије и друге метаподатке. Само рачунар који поседује приватни кључ — ваш рачунар — може да дешифрује ову поруку.
Ваш рачунар приступа вашем приватном кључу и дешифрује поруку. Затим шаље сопствену шифровану поруку назад на удаљени рачунар. Између осталог, ова шифрована порука садржи ИД сесије који је примљен са удаљеног рачунара.
Удаљени рачунар сада зна да морате бити оно што кажете да јесте јер само ваш приватни кључ може да издвоји ИД сесије из поруке коју је послао вашем рачунару.
Уверите се да можете да приступите удаљеном рачунару
Уверите се да можете даљински да се повежете и пријавите се на удаљени рачунар. Ово доказује да ваше корисничко име и лозинка имају важећи налог постављен на удаљеном рачунару и да су ваши акредитиви тачни.
Не покушавајте ништа да урадите са ССХ кључевима док не потврдите да можете да користите ССХ са лозинкама за повезивање са циљним рачунаром.
У овом примеру, особа са корисничким налогом који се зове даве је пријављена на рачунар који се зове вдзвдз. Они ће се повезати са другим рачунаром који се зове Сулацо.
Они уносе следећу команду:
ssh [email protected]
Од њих се тражи шифра, унесу је и споје се на Сулацо. Њихова командна линија се мења да би то потврдила.
То је сва потврда која нам треба. Дакле, корисник Даве може да прекине везу са Сулацом командом за излаз:
exit
Они примају поруку о прекиду везе и њихова командна линија се враћа на [email protected]
Креирање пара ССХ кључева
Ова упутства су тестирана на Убунту, Федора и Мањаро дистрибуцијама Линук-а. У свим случајевима процес је био идентичан и није било потребе за инсталирањем новог софтвера на било којој од тест машина.
Да бисте генерисали своје ССХ кључеве, откуцајте следећу команду:
ssh-keygen
Процес генерисања почиње. Бићете упитани где желите да се ваши ССХ кључеви чувају. Притисните тастер Ентер да бисте прихватили подразумевану локацију. Дозволе за фасциклу ће је обезбедити само за вашу употребу.
Сада ће се од вас тражити приступна фраза. Препоручујемо вам да овде унесете приступну фразу. И запамтите шта је то! Можете притиснути Ентер да немате приступну фразу, али ово није добра идеја. Приступна фраза састављена од три или четири неповезане речи, спојене заједно, чиниће веома робусну приступну фразу.
Од вас ће бити затражено да још једном унесете исту приступну фразу како бисте потврдили да сте откуцали оно што сте мислили да сте откуцали.
ССХ кључеви се генеришу и чувају за вас.
Можете занемарити „рандомарт“ који је приказан. Неки удаљени рачунари могу да вам покажу своју насумичну слику сваки пут када се повежете. Идеја је да ћете препознати да ли се насумична слика промени и да будете сумњичави према вези јер то значи да су ССХ кључеви за тај сервер измењени.
Инсталирање јавног кључа
Морамо да инсталирамо ваш јавни кључ на Сулацо, удаљени рачунар, тако да зна да јавни кључ припада вама.
Ово радимо помоћу команде ссх-цопи-ид. Ова команда успоставља везу са удаљеним рачунаром као обична ссх команда, али уместо да вам дозволи да се пријавите, она преноси јавни ССХ кључ.
ssh-copy-id [email protected]
Иако се не пријављујете на удаљени рачунар, ипак морате да се аутентификујете помоћу лозинке. Удаљени рачунар мора да идентификује ком корисничком налогу припада нови ССХ кључ.
Имајте на уму да је лозинка коју морате да унесете овде лозинка за кориснички налог на који се пријављујете. Ово није приступна фраза коју сте управо креирали.
Када је лозинка верификована, ссх-цопи-ид преноси ваш јавни кључ на удаљени рачунар.
Бићете враћени на командну линију вашег рачунара. Нисте остали повезани са удаљеним рачунаром.
Повезивање помоћу ССХ кључева
Хајде да следимо предлог и покушамо да се повежемо са удаљеним рачунаром.
ssh [email protected]
Пошто ће процес повезивања захтевати приступ вашем приватном кључу и пошто сте своје ССХ кључеве заштитили иза приступне фразе, мораћете да наведете приступну фразу да би се веза могла наставити.
Унесите своју приступну фразу и кликните на дугме Откључај.
Једном када унесете приступну фразу у сесији терминала, нећете морати поново да је уносите све док је прозор терминала отворен. Можете да се повежете и прекинете везу са онолико удаљених сесија колико желите, без поновног уноса приступне фразе.
Можете да означите поље за потврду за опцију „Аутоматски откључај овај кључ кад год сам пријављен“, али то ће смањити вашу безбедност. Ако оставите свој рачунар без надзора, свако може да успостави везе са удаљеним рачунарима који имају ваш јавни кључ.
Када унесете приступну фразу, повезани сте са удаљеним рачунаром.
Да бисте још једном потврдили процес од краја до краја, искључите везу са командом за излаз и поново се повежите са удаљеним рачунаром из истог прозора терминала.
ssh [email protected]
Бићете повезани са удаљеним рачунаром без потребе за лозинком или приступном фразом.
Без лозинки, али побољшана безбедност
Стручњаци за сајбер безбедност говоре о ствари која се зове безбедносна трења. То је мањи бол са којим се морате суочити да бисте добили додатну сигурност. Обично је потребан неки додатни корак или два да бисте усвојили сигурнији метод рада. И већини људи се то не свиђа. Они заправо више воле нижу сигурност и недостатак трења. То је људска природа.
Са ССХ кључевима добијате повећану сигурност и повећање погодности. То је дефинитивна победа.