Server start: Sådan konfigureres SSH-nøgler på Ubuntu

Trin 0 – Introduktion

Denne serie er en del af 4 guides!

• Opret en SUDO bruger på Ubuntu
• Hostname, timezone, locales på Ubuntu
• Sådan konfigureres SSH-nøgler på Ubuntu (Denne Guide)
• Beskyt din OpenSSH server på Ubuntu

Når du opretter en ny Ubuntu server, bør du udføre nogle vigtige konfigurationstrin som en del af den indledende opsætning. Disse trin vil øge sikkerheden og anvendeligheden af din server. – Denne guide omhandler SSH-nøgler.

INFO -1  – I denne guide bruger jeg en gratis SSH client som hedder mobaxterm – Download mobaxterm HER

INFO – 2 – Den bruger som bliver anvendt i denne guide hedder “bobby”, og bobby har sudo adgang, som vi gav i denne guide

Trin 1 – Lad os komme i gang

Start mobaxterm. Efterfølgende skal du gå op i menuen og vælge “Terminal” ->  “Open new tab”

I det vindue der åbner skal du skrive

MobaXterm vil nu spøge hvor du vil gemme din SSH nøgle.  – Her trykker du bare på ENTER

Det vil ca se sådan ud:

ssh-keygen -b 4096
Generating public/private rsa key pair.
Enter file in which to save the key (/home/mobaxterm/.ssh/id_rsa):
Created directory 'https://cdn.futurenode.dk/home/mobaxterm/.ssh'.

MobaXterm vil nu spørge om du vil oprette “passphrase” – passphrase gør at du skal indtaste en kode når du benytter din ssh-nøgle! – Det ser ca sådan ud:

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

Jeg anbefaler på det kraftigste at du bruger en kode (passphrase) og vælger at bruge en “stærk” kode, da det er med til at øge sikkerheden

Når det er gjort, vil det ca. se sådan ud.

Your identification has been saved in /home/mobaxterm/.ssh/id_rsa
Your public key has been saved in /home/mobaxterm/.ssh/id_rsa.pub
The key fingerprint is:
SHA256:UiroiVppneSUPglQhl2222222222333333359P2oAAZ2I thoma@SkyClient
The key's randomart image is:
+---[RSA 4096]----+
|.o+..o.o         |
|.o  +o. .        |
|.  E++. .        |
| .ooB=.o         |
|  o+*+ooS        |
| o X.+B.o .      |
|. * B. + + .     |
|.o   .    *      |
|.        . o     |
+----[SHA256]-----+

Trin 2 — Kopiering af din nye ssh-nøgle til din Ubuntu-server

Den hurtigste måde at kopiere din ssh nøgle til Ubuntu serveren er at bruge ssh-copy-id. På grund af dens enkelhed anbefales denne metode.

Værktøjet ssh-copy-id er inkluderet som standard i mange operativsystemer / Programmer! Det findes blandt andet også i MobaXterm

For at denne metode skal fungere, skal du have adgangskodebaseret SSH-adgang og ikke nøglebaseret SSH-adgang aktiveret på din server.

For at bruge værktøjet skal du angive den server, du gerne vil oprette forbindelse til samt en konto. Dette er den konto, som din SSH-nøgle vil blive kopieret til.

I det lokale vindue du kørte de første kommandoer fra skal du nu skrive:

• Min test servers IP er: 142.132.179.217
• Min test bruger jeg kopiere min SSH nøgle til hedder: bobby

I mit test setup vil det se sådan ud:

Når du kører overstående kommando,  vil den bede om din adgangskode til “bobby” brugeren. (Altså den bruger vi oprettede i vores anden guide “Opret en SUDO bruger på Ubuntu”

Hvis det lykkes, vil det ca. se sådan ud:

ssh-copy-id bobby@142.132.179.217
/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "https://cdn.futurenode.dk/home/mobaxterm/.ssh/id_rsa.pub"
/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
expr: warning: '^ERROR: ': using '^' as the first character
of a basic regular expression is not portable; it is ignored
/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
stty: standard input: Inappropriate ioctl for device
bobby@142.132.179.217's password:

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'bobby@142.132.179.217'"
and check to make sure that only the key(s) you wanted were added.

Trin 3 – Kopiering af SSH-nøglen manuelt

Hvis overstående ikke virker, kan du også manuelt tilføje din information fra “id_rsa.pub” til din server.

For at få vist det lokale indhold af din id_rsa.pub skal du i mobaxterm (I den lokale fane) skrive:

Det vil se sådan ud:

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQNza2EAAAADAQABAAACAQNzayc2EAAAADAQABAAACAQNzayc2EAAAADAQABAAACAQ(MANGE FLERE TEGN)== mymail@futurenode.dk

Åben mobaxterm og vælg sessions -> efterfulgt af SSH

Indset nu din server information – i mit tilfælde vil det se sådan ud

OBS. Hvis man skriver “~/” henviser den til din hjemmemappe! Med andre ord – hvis du er logget ind som bobby og du skriver ~/.ssh vil den henvise til “/home/bobby/.ssh”

Når du har oprettet forbindelse til din server (I dette tilfælde er jeg logget ind som “bobby”):

Skriv nu dette for at oprette .ssh mappe i dit home dir.

Vi skal nu tilføje vores key som vi fandt tidligere

I ovenstående kommando skal du erstatte “public_key_string” med outputtet fra “cat ~/.ssh/id_rsa.pub” 

Bemærk “cat ~/.ssh/id_rsa.pub” kommandoen skal du køre på dit lokale fane i mobaxterm  og ikke fra din server.

Det burde starte med ssh-rsa AAAA….

I mit tilfælde ser den færdig kommando sådan ud:

Endelig skal vi sikrer, at mappen ~/.ssh og filen authorized_keys har de relevante tilladelser:

Ovenstående fjerner alle “gruppe” samt “andre” tilladelser for mappen ~/.ssh/

Nu skal vi gøre bobby brugeren til ejer af ~/.ssh

Trin 4 – Aktiver nøglebaseret SSH-adgang

Før du udfører trinene i dette afsnit skal du sørge for at du har en en SSH-nøgle-baseret godkendelse konfigureret til en ikke-root bruger på din server!

VIGTIG: Denne bruger skal have sudo-rettigheder – i dette tilfælde “bobby”

Prøv at sætte mobaxterm op som følgende, og prøv så at logge ind på din konto ved hjælp af nøglebaseret SSH-adgang! Har du konfigureret SSH-nøgle-baseret godkendelse korrekt kan du logge ind – Din adgangskodebaserede godkendelse er dog stadig aktiv.

Her et billede af hvordan mobaxterm indstillinger kan se ud. Prøv at logge ind, og se om det virker

Det næste trin låser adgangskodebaserede logins på din server, så det er HELT AFGØRENDE at sikre, at du kan få adgang til serveren via nøglebaseret SSH-adgang inden du forsætter

Du skal nu åbne SSH config filen med.

Inde i filen skal du søge efter PasswordAuthentication Denne linje kan kommenteres ud ved at fjerne # i begyndelsen af linjen, og indstil værdien til “no”. Dette vil deaktivere din mulighed for at logge ind via SSH ved hjælp af adgangskodebaseret adgang

. . .
PasswordAuthentication no
. . .

Genstart nu SSH Daemon