Översikt
För att börja använda RSA-nycklar (istället för)/(tilsammans med) lösenord för SSH behöver du först göra två saker:- Generera ett nyckel-par med PuTTYgen
- Klistra in din publika nyckel på servern i $HOME/.ssh/authorized_keys
- Lägg in din privata nyckel i PuTTY och spara anslutningen så du slipper göra om det
Guide för Windows
Se till att du har både PuTTY och PuTTYgen. Ladda ner här.Öppna PuTTYgen och generera ett nyckel-par med som är minst 1024 bitar.
Lägg sedan ditt namn i kommentaren, t.ex "rsa-key-John", och (om du vill) ett lösenord som måste skrivas för att nyckeln ska kunna användas.
Varför ha ett lösenord på nyckeln?
Om en hacker får tag på din privata nyckel måste han/hon först brute-force:a RSA-nyckelns lösenord för att kunna logga in på server. Det ger tid för en administratör att upptäcka läckan och blockera den/de läckta nycklarnas tillgång till servern.
Om en hacker får tag på din privata nyckel måste han/hon först brute-force:a RSA-nyckelns lösenord för att kunna logga in på server. Det ger tid för en administratör att upptäcka läckan och blockera den/de läckta nycklarnas tillgång till servern.
Spara både den publika och privata nyckeln på din dator. All säkerhet hänger på att din privata nyckel hålls hemlig. Kopiera den text som är markerad i bildan ovanför. Det är din publika nyckel som du ska lägga in på servern.
Hantering av din privata nyckel.
Några riktlinjer:
Några riktlinjer:
- Lägg inte nyckeln i Dropbox
- Skicka inte nyckeln i e-post
- Ge inte din nyckel till någon annan - generera istället en ny
- Använd ett USB-minne om du behöver flytta en privat nyckel
- Vill du ha en nyckel hemma också? Generera en ny och maila den publika nyckeln så du kan lägga in den från kontoret
Sista steget: Kopiera din publika nyckel som står i rutan "Public key for pasting into..", och klistra in den i $HOME/.ssh/authorized_keys på en egen rad.
Lägg in din privata nyckel i PuTTY och spara anslutningen i Session så du slipper göra om det.
Det anses vara helt säkert att ha en publik SSH-server som endast accepterar RSA-nyckel-inloggning - förutsatt att du håller dina privata nycklar privata. Därför bör du definitivt stänga av lösenords-inloggning i /etc/ssh/sshd_config så att alla brute-force attacker blir meningslösa.
No comments:
Post a Comment