Установка и настройка SSH сервера для беспарольной аутентификации, и запрет входа по паролю.
Установка сервера:
sudo apt-get install openssh-server
генерация ключей:
ssh-keygen -t rsa -b 2048
или так:
ssh-keygen -t dsa -b 1024
Секретный ключ id_rsa остаётся у клиента:
~/.ssh/id_rsa
Публичный ключ id_rsa.pub копируется на сервер и вносится в список разрешённых ключей
cat id_rsa.pub >> ~/.ssh/authorized_keys
Сам файл id_rsa.pub после этого с сервера можно удалить.
Теперь настраивается конфиг ssh:
sudo gedit /etc/ssh/sshd_config
По умолчанию работает аутентификация и по паролю, и по ключам на выбор входящего. Но в целях безопасности, чего ради и настраиваются ключи, парольная аутентификация отключается параметром:
PasswordAuthentication no
Ничего больше настраивать не надо.
Для применения настроек в силу перезапускается демон:
Парольная аутентификация должна быть недоступна, вход только по ключу, и по парольной фразе к нему, если она задавалась.
Для входа на сервер из консоли с подробной информацией на экран:
ssh username@ip -v
Поскольку у меня возникли большие сложности с настройкой ssh, и начитавшись всяких мануалов я испортил конфиг (полагаю именно из-за UsePAM no у меня клиенты не видели на сервере русские буквы), привожу на всякий случай свой дефолтный работающий из ubuntu 14.04:
Port 22 Protocol 2 HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key HostKey /etc/ssh/ssh_host_ecdsa_key HostKey /etc/ssh/ssh_host_ed25519_key UsePrivilegeSeparation yes KeyRegenerationInterval 3600 ServerKeyBits 1024 SyslogFacility AUTH LogLevel INFO LoginGraceTime 120 PermitRootLogin without-password StrictModes yes RSAAuthentication yes PubkeyAuthentication yes IgnoreRhosts yes RhostsRSAAuthentication no HostbasedAuthentication no PermitEmptyPasswords no ChallengeResponseAuthentication no PasswordAuthentication no X11Forwarding yes X11DisplayOffset 10 PrintMotd no PrintLastLog yes TCPKeepAlive yes Banner /etc/issue.net AcceptEnv LANG LC_* Subsystem sftp /usr/lib/openssh/sftp-server UsePAM yes
Пример применения SSH. Смонтировать домашнюю папку удалённого пользователя для чтения и записи файлов, как если бы они были на локальной машине: $ sshfs username@12.34.56.78 : ~/net
Если вы не совершаете каких-либо действий, будет выполнен автоматический выход из сессии ssh. Для поддержания подключения в активном состоянии добавьте следующую строку в ~/.ssh/config или /etc/ssh/ssh_config клиента: ServerAliveInterval 120
В этом случае на сервер будет посылаться сигнал "keep alive" каждые 120 секунд.
С другой стороны, для поддержания в активном состоянии входящих подключений, вы можете прописать (или любое другое число больше 0) в /etc/ssh/sshd_config на сервере. ClientAliveInterval 120
Permissions 0755 for '../id_rsa' are too open. It is required that your private key files are NOT accessible by others. This private key will be ignored.
Слишком открытый ключ. НАДО изменить права! chmod 700 ~/.ssh/id_rsa
В целях защиты от спама, добавлять комментарии могут только зарегистрированные пользователи.
Если Вы не хотите регистрироваться под своим именем, войдите под логином: anonymous, паролем: anonymous.
( Регистрация, Вход).
