Trin 0 – Introduktion
Denne serie er en del af 4 guides!
- Opret en SUDO bruger på Ubuntu
- Hostname, timezone, locales på Ubuntu
- Sådan konfigureres SSH-nøgler på Ubuntu (Denne Guide)
- Beskyt din OpenSSH server på Ubuntu
Når du opretter en ny Ubuntu server, bør du udføre nogle vigtige konfigurationstrin som en del af den indledende opsætning. Disse trin vil øge sikkerheden og anvendeligheden af din server. – Denne guide omhandler SSH-nøgler.
INFO -1 – I denne guide bruger jeg en gratis SSH client som hedder mobaxterm – Download mobaxterm HER
INFO – 2 – Den bruger som bliver anvendt i denne guide hedder “bobby”, og bobby har sudo adgang, som vi gav i denne guide
Trin 1 – Lad os komme i gang
Start mobaxterm. Efterfølgende skal du gå op i menuen og vælge “Terminal” -> “Open new tab”
I det vindue der åbner skal du skrive
MobaXterm vil nu spøge hvor du vil gemme din SSH nøgle. – Her trykker du bare på ENTER
Det vil ca se sådan ud:
ssh-keygen -b 4096 Generating public/private rsa key pair. Enter file in which to save the key (/home/mobaxterm/.ssh/id_rsa): Created directory '/home/mobaxterm/.ssh'.
MobaXterm vil nu spørge om du vil oprette “passphrase” – passphrase gør at du skal indtaste en kode når du benytter din ssh-nøgle! – Det ser ca sådan ud:
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Jeg anbefaler på det kraftigste at du bruger en kode (passphrase) og vælger at bruge en “stærk” kode, da det er med til at øge sikkerheden
Når det er gjort, vil det ca. se sådan ud.
Your identification has been saved in /home/mobaxterm/.ssh/id_rsa Your public key has been saved in /home/mobaxterm/.ssh/id_rsa.pub The key fingerprint is: SHA256:UiroiVppneSUPglQhl2222222222333333359P2oAAZ2I thoma@SkyClient The key's randomart image is: +---[RSA 4096]----+ |.o+..o.o | |.o +o. . | |. E++. . | | .ooB=.o | | o+*+ooS | | o X.+B.o . | |. * B. + + . | |.o . * | |. . o | +----[SHA256]-----+
Trin 2 — Kopiering af din nye ssh-nøgle til din Ubuntu-server
Den hurtigste måde at kopiere din ssh nøgle til Ubuntu serveren er at bruge ssh-copy-id. På grund af dens enkelhed anbefales denne metode.
Værktøjet ssh-copy-id er inkluderet som standard i mange operativsystemer / Programmer! Det findes blandt andet også i MobaXterm
For at denne metode skal fungere, skal du have adgangskodebaseret SSH-adgang og ikke nøglebaseret SSH-adgang aktiveret på din server.
For at bruge værktøjet skal du angive den server, du gerne vil oprette forbindelse til samt en konto. Dette er den konto, som din SSH-nøgle vil blive kopieret til.
I det lokale vindue du kørte de første kommandoer fra skal du nu skrive:
- Min test servers IP er: 142.132.179.217
- Min test bruger jeg kopiere min SSH nøgle til hedder: bobby
I mit test setup vil det se sådan ud:
Når du kører overstående kommando, vil den bede om din adgangskode til “bobby” brugeren. (Altså den bruger vi oprettede i vores anden guide “Opret en SUDO bruger på Ubuntu”
Hvis det lykkes, vil det ca. se sådan ud:
ssh-copy-id bobby@142.132.179.217 /bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/home/mobaxterm/.ssh/id_rsa.pub" /bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed expr: warning: '^ERROR: ': using '^' as the first character of a basic regular expression is not portable; it is ignored /bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys stty: standard input: Inappropriate ioctl for device bobby@142.132.179.217's password: Number of key(s) added: 1 Now try logging into the machine, with: "ssh 'bobby@142.132.179.217'" and check to make sure that only the key(s) you wanted were added.
Trin 3 – Kopiering af SSH-nøglen manuelt
Hvis overstående ikke virker, kan du også manuelt tilføje din information fra “id_rsa.pub” til din server.
For at få vist det lokale indhold af din id_rsa.pub skal du i mobaxterm (I den lokale fane) skrive:
Det vil se sådan ud:
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQNza2EAAAADAQABAAACAQNzayc2EAAAADAQABAAACAQNzayc2EAAAADAQABAAACAQ(MANGE FLERE TEGN)== mymail@futurenode.dk
Åben mobaxterm og vælg sessions -> efterfulgt af SSH
Indset nu din server information – i mit tilfælde vil det se sådan ud
OBS. Hvis man skriver “~/” henviser den til din hjemmemappe! Med andre ord – hvis du er logget ind som bobby og du skriver ~/.ssh vil den henvise til “/home/bobby/.ssh”
Når du har oprettet forbindelse til din server (I dette tilfælde er jeg logget ind som “bobby”):
Skriv nu dette for at oprette .ssh mappe i dit home dir.
Vi skal nu tilføje vores key som vi fandt tidligere
I ovenstående kommando skal du erstatte “public_key_string” med outputtet fra “cat ~/.ssh/id_rsa.pub”
Bemærk “cat ~/.ssh/id_rsa.pub” kommandoen skal du køre på dit lokale fane i mobaxterm og ikke fra din server.
Det burde starte med ssh-rsa AAAA….
I mit tilfælde ser den færdig kommando sådan ud:
Endelig skal vi sikrer, at mappen ~/.ssh og filen authorized_keys har de relevante tilladelser:
Ovenstående fjerner alle “gruppe” samt “andre” tilladelser for mappen ~/.ssh/
Nu skal vi gøre bobby brugeren til ejer af ~/.ssh
Trin 4 – Aktiver nøglebaseret SSH-adgang
Før du udfører trinene i dette afsnit skal du sørge for at du har en en SSH-nøgle-baseret godkendelse konfigureret til en ikke-root bruger på din server!
VIGTIG: Denne bruger skal have sudo-rettigheder – i dette tilfælde “bobby”
Prøv at sætte mobaxterm op som følgende, og prøv så at logge ind på din konto ved hjælp af nøglebaseret SSH-adgang! Har du konfigureret SSH-nøgle-baseret godkendelse korrekt kan du logge ind – Din adgangskodebaserede godkendelse er dog stadig aktiv.
Her et billede af hvordan mobaxterm indstillinger kan se ud. Prøv at logge ind, og se om det virker
Det næste trin låser adgangskodebaserede logins på din server, så det er HELT AFGØRENDE at sikre, at du kan få adgang til serveren via nøglebaseret SSH-adgang inden du forsætter
Du skal nu åbne SSH config filen med.
Inde i filen skal du søge efter PasswordAuthentication Denne linje kan kommenteres ud ved at fjerne # i begyndelsen af linjen, og indstil værdien til “no”. Dette vil deaktivere din mulighed for at logge ind via SSH ved hjælp af adgangskodebaseret adgang
. . . PasswordAuthentication no . . .
Genstart nu SSH Daemon
Trin – 5 – Test om det virker!
Sæt mobaxterm op som følgene, og du burde kunne logge ind med SSH-nøgle-baseret godkendelse
Bemærk, de informationer der bliver brugt i denne guide er fiktive, og du skal indtaste dine egen information
Læg en kommentar