OpenSSH: võtmetega autentimine: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Lvosandi (talk | contribs)
Lliba (talk | contribs)
m Süntaksi highlight ja võtmefailide õiguste muutmise käsule rekursiivsus lipp, et käsklus ka toimiks.
Line 2: Line 2:


Alustuseks võib kontrollida, kas OpenSSH on arvutisse installeeritud:  
Alustuseks võib kontrollida, kas OpenSSH on arvutisse installeeritud:  
<pre>$ ssh -v  
<source lang="bash">$ ssh -v  
(Nt: OpenSSH_4.7p1 Debian-8ubuntu1.2, OpenSSL 0.9.8g 19 Oct 2007)
(Nt: OpenSSH_4.7p1 Debian-8ubuntu1.2, OpenSSL 0.9.8g 19 Oct 2007)
</pre>
</source>


Seejärel tuleb kliendi süsteemi genereerida avalik võti - kas RSA või DSA (DSA on turvalisem, näidetes kasutan DSA'd).
Seejärel tuleb kliendi süsteemi genereerida avalik võti - kas RSA või DSA (DSA on turvalisem, näidetes kasutan DSA'd).


<pre>$ mkdir ~/.ssh (kui seda veel pole)
<source lang="bash">$ mkdir ~/.ssh (kui seda veel pole)
$ ssh-keygen -q -f ~/.ssh/id_dsa -t dsa
$ ssh-keygen -q -f ~/.ssh/id_dsa -t dsa
Enter passphrase (empty for no passphrase):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:</pre>
Enter same passphrase again:</source>


Luuakse avalik võti faili id_dsa.pub ja luuakse salajane võti faili id_dsa. Parooli võib ka panemata jätta - sel juhul pääseb serverisse pärast ainult võtmetega, parooli ei küsita.
Luuakse avalik võti faili id_dsa.pub ja luuakse salajane võti faili id_dsa. Parooli võib ka panemata jätta - sel juhul pääseb serverisse pärast ainult võtmetega, parooli ei küsita.


<pre>$ chmod 700 ~/.ssh
<source lang="bash">$ chmod 700 ~/.ssh
$ chmod go-rwx ~/.ssh/*</pre>
$ chmod -R go-rwx ~/.ssh/*</source>


Õigused tasub ära muuta, et kõrvalised isikud ei pääseks ligi võtmetele. OpenSSH võib piiramata õiguste puhul keelduda võtmega autentimisest.  
Õigused tasub ära muuta, et kõrvalised isikud ei pääseks ligi võtmetele. OpenSSH võib piiramata õiguste puhul keelduda võtmega autentimisest.  
Line 25: Line 25:
Kui on soov hiljem parooli muuta või parool ära jätta, saab seda teha järgmiselt:
Kui on soov hiljem parooli muuta või parool ära jätta, saab seda teha järgmiselt:


<pre>$ cd .ssh
<source lang="bash">$ cd .ssh
$ ssh-keygen -f id_dsa -p
$ ssh-keygen -f id_dsa -p
Enter old passphrase:
Enter old passphrase:
Enter new passphrase (empty for no passphrase):
Enter new passphrase (empty for no passphrase):
Enter same passphrase again:  
Enter same passphrase again:  
</pre>
</source>


==Avaliku võtme installeerimine serverisse==
==Avaliku võtme installeerimine serverisse==
Line 36: Line 36:
Järgmiseks on avalik võti vaja serverisse kopeerida.
Järgmiseks on avalik võti vaja serverisse kopeerida.


<pre>$ scp ~/.ssh/id_dsa.pub server.example.org:/home/kasutaja/</pre>
<source lang="bash">$ scp ~/.ssh/id_dsa.pub server.example.org:/home/kasutaja/</source>


Seejärel on vaja avalik võti seadistada serveri poole peal kas otse või siis sisse logides näiteks järgmiselt:
Seejärel on vaja avalik võti seadistada serveri poole peal kas otse või siis sisse logides näiteks järgmiselt:


<pre>$ ssh kasutaja@suvaline.server.ee
<source lang="bash">$ ssh kasutaja@suvaline.server.ee
Password:</pre>
Password:</source>


Fail id_dsa.pub tuleb lisada faili ~/.ssh/authorized_keys ning ära muuta ka õigused serveris, pärast mida ära kustutada serverisse saadetud fail id_dsa.pub:
Fail id_dsa.pub tuleb lisada faili ~/.ssh/authorized_keys ning ära muuta ka õigused serveris, pärast mida ära kustutada serverisse saadetud fail id_dsa.pub:


<pre>server$ mkdir ~/.ssh (kui veel ei ole)
<source lang="bash">server$ mkdir ~/.ssh (kui veel ei ole)
server$ chmod 700 ~/.ssh
server$ chmod 700 ~/.ssh
server$ cat ~/id_dsa.pub >> ~/.ssh/authorized_keys
server$ cat ~/id_dsa.pub >> ~/.ssh/authorized_keys
server$ chmod 600 ~/.ssh/authorized_keys
server$ chmod 600 ~/.ssh/authorized_keys
server$ rm ~/id_dsa.pub</pre>
server$ rm ~/id_dsa.pub</source>


Võtme kopeerimise ning authorized_keys faili lisamise teeb kõik ära järgnev käsk:
Võtme kopeerimise ning authorized_keys faili lisamise teeb kõik ära järgnev käsk:


<pre>ssh-copy-id kasutaja@suvaline.server.ee</pre>
<source lang="bash">ssh-copy-id kasutaja@suvaline.server.ee</source>


==Avaliku võtmega sisselogimine==
==Avaliku võtmega sisselogimine==
Line 59: Line 59:
Nüüd peaks klient-serveri vahel autentimine ja ligipääs olema seadistatud.  
Nüüd peaks klient-serveri vahel autentimine ja ligipääs olema seadistatud.  


<pre>$ ssh kasutajanimi@suvaline.server.ee </pre>
<source lang="bash">$ ssh kasutajanimi@suvaline.server.ee </source>


Kui passphrase sai tühjaks jäetud, rohkem midagi ei küsita, muidu on vaja ka see sisestada.
Kui passphrase sai tühjaks jäetud, rohkem midagi ei küsita, muidu on vaja ka see sisestada.

Revision as of 18:30, 13 April 2015

Avaliku võtme ülesseadmine

Alustuseks võib kontrollida, kas OpenSSH on arvutisse installeeritud:

$ ssh -v 
(Nt: OpenSSH_4.7p1 Debian-8ubuntu1.2, OpenSSL 0.9.8g 19 Oct 2007)

Seejärel tuleb kliendi süsteemi genereerida avalik võti - kas RSA või DSA (DSA on turvalisem, näidetes kasutan DSA'd).

$ mkdir ~/.ssh (kui seda veel pole)
$ ssh-keygen -q -f ~/.ssh/id_dsa -t dsa
Enter passphrase (empty for no passphrase):
Enter same passphrase again:

Luuakse avalik võti faili id_dsa.pub ja luuakse salajane võti faili id_dsa. Parooli võib ka panemata jätta - sel juhul pääseb serverisse pärast ainult võtmetega, parooli ei küsita.

$ chmod 700 ~/.ssh
$ chmod -R go-rwx ~/.ssh/*

Õigused tasub ära muuta, et kõrvalised isikud ei pääseks ligi võtmetele. OpenSSH võib piiramata õiguste puhul keelduda võtmega autentimisest.


Parooli muutmine

Kui on soov hiljem parooli muuta või parool ära jätta, saab seda teha järgmiselt:

$ cd .ssh
$ ssh-keygen -f id_dsa -p
Enter old passphrase:
Enter new passphrase (empty for no passphrase):
Enter same passphrase again:

Avaliku võtme installeerimine serverisse

Järgmiseks on avalik võti vaja serverisse kopeerida.

$ scp ~/.ssh/id_dsa.pub server.example.org:/home/kasutaja/

Seejärel on vaja avalik võti seadistada serveri poole peal kas otse või siis sisse logides näiteks järgmiselt:

$ ssh kasutaja@suvaline.server.ee
Password:

Fail id_dsa.pub tuleb lisada faili ~/.ssh/authorized_keys ning ära muuta ka õigused serveris, pärast mida ära kustutada serverisse saadetud fail id_dsa.pub:

server$ mkdir ~/.ssh (kui veel ei ole)
server$ chmod 700 ~/.ssh
server$ cat ~/id_dsa.pub >> ~/.ssh/authorized_keys
server$ chmod 600 ~/.ssh/authorized_keys
server$ rm ~/id_dsa.pub

Võtme kopeerimise ning authorized_keys faili lisamise teeb kõik ära järgnev käsk:

ssh-copy-id kasutaja@suvaline.server.ee

Avaliku võtmega sisselogimine

Nüüd peaks klient-serveri vahel autentimine ja ligipääs olema seadistatud.

$ ssh kasutajanimi@suvaline.server.ee

Kui passphrase sai tühjaks jäetud, rohkem midagi ei küsita, muidu on vaja ka see sisestada.

Kasulikke viiteid

  1. keygen'i manual
  2. OpenSSH koduleht
  3. http://sial.org/howto/openssh/publickey-auth/problems/ Probleemide korral

Kasutatud materjalid

  1. http://archive.networknewz.com/networknewz-10-20030707AuthenticatingbyPublicKeyOpenSSH.html
  2. http://sial.org/howto/openssh/publickey-auth/

Autor

Miina Sikk