SSH ключове за отдалечен достъп: Сигурност и удобство

В света на отдалечените връзки, безопасността и удобството са две ключови думи. Именно тук се впишва ролята на SSH ключовете – мощно средство за сигурно логване, което осигурява по-добра защита отколкото традиционните пароли.

В тази статия ще разгледаме как да използваме SSH ключове за отдалечен достъп, предлагайки подробностите в бързи и удобни части.

Какво е SSH (Secure Shell)

SSH (Secure Shell) е протокол за отдалечен достъп, който се използва за свързване с компютри по безопасен начин. Той използва криптиране за защита на данните, предавани между двата компютъра.

Едно от предимствата на SSH е, че позволява използването на ключове за удостоверяване вместо пароли. Ключовете за удостоверяване са по-сигурни от паролите, тъй като не могат да бъдат откраднати или разбити толкова лесно.

Видове SSH ключове

• RSA (Rivest–Shamir–Adleman) е алгоритъм за асиметрично шифроване, който се използва за генериране на SSH ключове. RSA е най-старият алгоритъм и е най-широко използван.

ssh-keygen -t rsa -b 4096

• DSA (Digital Signature Algorithm) е алгоритъм за асиметрично шифроване, който се използва за генериране на SSH ключове. DSA е по-стар от RSA, но все още е много сигурен.

ssh-keygen -t dsa

• ECDSA (Elliptic Curve Digital Signature Algorithm) е алгоритъм за асиметрично шифроване, който се използва за генериране на SSH ключове. ECDSA е по-нов от DSA и е по-сигурен.

ssh-keygen -t ecdsa -b 521

• EdDSA (Edwards-curve Digital Signature Algorithm) е алгоритъм за асиметрично шифроване, който се използва за генериране на SSH ключове. EdDSA е най-новият алгоритъм и е най-сигурният.

ssh-keygen -t ed25519

Коментари

• Размерът на ключа определя колко трудно е да се разбие ключът. По-големият размер на ключа прави ключа по-трудно да се разбие. Препоръчителният размер на ключа за SSH е 2048 бита или повече.
• Алгоритъмът за шифроване също играе роля в сигурността на ключа. По-новите алгоритми като ECDSA и EdDSA са по-сигурни от по-старите алгоритми като RSA и DSA.
• Скоростта също е фактор, който трябва да се вземе предвид при избора на SSH ключ. Алгоритмите ECDSA и EdDSA са по-бързи от алгоритмите RSA и DSA.

В зависимост от вашия сценарий, можете да изберете този, който отговаря най-добре на вашите нужди за сигурност и съвместимост. По-новите алгоритми, като ECDSA и Ed25519, обикновено се препоръчват поради своите предимства в сигурност и ефективност.

Генериране на SSH ключове

За да създадете ключове за удостоверяване, ще ви трябва SSH клиент. Можете да използвате всеки SSH клиент, който поддържа създаване на ключове.

В тази статия ще използваме OpenSSH клиента, който е включен в повечето операционни системи.

За да създадете ключове за удостоверяване с OpenSSH, изпълнете следната команда:

ssh-keygen -t rsa -b 2048

Тази команда ще ви подкани да въведете име за вашия ключ. Можете да въведете каквото си искате.

След това ще трябва да въведете парола за вашия ключ. Паролата е опционална, но се препоръчва да я използвате за допълнителна сигурност.

Тази команда ще създаде RSA ключ. Можете да изберете друг вид ключ, като използвате командите по-горе.

Споделяне на публичния ключ

За да се свържете с компютър с помощта на ключове за удостоверяване, трябва да споделите вашия публичен ключ с този компютър.

След като генерирате двойка SSH ключове, можете да използвате ssh-copy-id командата, за да копирате своя публичен ключ на отдалечения сървър. Синтаксисът на ssh-copy-id командата е както следва:

ssh-copy-id username@remote_server_ip

Заменете usernameс потребителското име, което искате да използвате за влизане в отдалечения сървър, и remote_server_ip с IP адреса или името на хоста на отдалечения сървър.

Когато изпълните ssh-copy-id командата, ще бъдете подканени да въведете паролата за username акаунта на отдалечения сървър. След като въведете паролата, ssh-copy-id командата ще копира вашия публичен ключ във ~/.ssh/authorized_keys файла на отдалечения сървър.

Или ръчно поставете ключа във файла ~/.ssh/authorized_keys на сървъра.

Оптимизация на логването

Оптимизирайте вашата команда за логване, използвайки опцията -i за указване на пътя до частния ви ключ. Това е удобен начин да намалите дължината на командата.

ssh -i ~/.ssh/id_rsa -o IdentitiesOnly=yes -p 22 [email protected]

Можете да използвате опцията -i за да посочите файл с частен ключ, който се намира на друго място, освен в стандартния директория за SSH ключове.

Ако не използвате опцията -i, SSH клиента ще използва по подразбиране частния ключ, който се намира в файла ~/.ssh/id_rsa.

Конфигурационен файл за повече удобство

Ако се свързвате често с определени сървъри, използването на конфигурационен файл може да бъде полезно.

Създайте файл ~/.ssh/config и настройте параметрите за връзка за конкретни сървъри.

Пример:

Host *
	IdentitiesOnly=yes

Host proxmox
        Hostname 10.10.10.100
        IdentityFile ~/.ssh/id_rsa
        User root
    	Port 22

Host pihole                                                                                 
         Hostname 10.10.10.110
         IdentityFile ~/.ssh/id_rsa
         User root
         Port 22

Удобно логване с алиаси

След добавянето на алиасите в конфигурационния файл, логването става по-лесно и кратко.

Например, за да се логнете в Host proxmox , трябва да напишете следната команда:

ssh proxmox

За да се логнете в Host pihole , трябва да напишете следната команда:

ssh pihole

Лесно, кратко и удобно.

Допълнителни Съвети

• Внимавайте със съхранението на частния ключ.
• Използвайте различни ключове за различни сървъри за допълнителна сигурност.
• Практикувайте редовна поддръжка на ключовете и преглед на конфигурационните файлове.

Заключение

SSH ключовете предлагат баланс между сигурност и удобство. С правилното им използване, вие контролирате достъпа до вашите сървъри, като същевременно предоставяте удобство при отдалечената работа. Следвайки горните стъпки, може да съчетаете безопасността с лесната и удобна употреба.

Благодарим ви за прочитането на статията! Ако намерихте информацията за полезна, можете да дарите посредством бутоните по-долу: