Shell Aman , yang dikenal sebagai SSH , adalah protokol jaringan aman yang memungkinkan pengguna terhubung dengan aman ke host jarak jauh seperti server. Ini didasarkan pada arsitektur client-server dan menggunakan dua metode otentikasi utama – sandi dan ssh-key otentikasi pasangan.
Kunci SSH otentikasi pasangan menggunakan penggunaan kunci SSH yang merupakan kunci kriptografik yang digunakan untuk mengotentikasi dan mengamankan komunikasi antara klien dan server. Otentikasi pasangan kunci SSH lebih disukai daripada otentikasi kata sandi karena memberikan otentikasi yang lebih aman yang tidak rentan terhadap serangan brute force.
Dalam tutorial ini, kami mengilustrasikan bagaimana Anda dapat mengatur kunci SSH di AlmaLinux .
Membuat Pasangan Kunci RSA SSH di AlmaLinux
Untuk memulai pertunjukan, kami akan membuat RSA pasangan kunci yang terdiri dari kunci publik dan kunci privat. Kami akan mengungkap kunci-kunci ini nanti dalam panduan ini. Untuk membuat pasangan kunci, jalankan perintah:
$ ssh-keygen OR $ ssh-keygen -t rsa
Perintah di atas membuat 2048 -bit pasangan kunci RSA yang dianggap cukup baik untuk menawarkan enkripsi yang layak untuk mengamankan komunikasi. Namun, Anda dapat membuat 4096 -pasangan kunci bit yang lebih kuat dan menawarkan enkripsi yang lebih baik.
Untuk melakukannya, cukup berikan -b bendera. Inilah yang akan kami lakukan.
$ ssh-keygen -b 4096
Tepat setelah Anda menekan ENTER , Anda akan diminta untuk memberikan jalur di mana kunci akan disimpan. Secara default, ini adalah ~/.ssh direktori. Kecuali diperlukan untuk mengubahnya ke jalur yang berbeda, cukup buka direktori default dengan menekan ENTER .
Setelah itu, Anda akan diminta untuk memberikan kata sandi atau kata sandi. Meskipun opsional, ini menambahkan lapisan perlindungan ekstra saat mengautentikasi.
Namun, ini membatasi ketika Anda ingin mengonfigurasi otentikasi kunci ssh tanpa kata sandi ke host jarak jauh. Jika ini adalah tujuan Anda, cukup tekan ‘ENTER ' untuk melewati pemberian frasa kunci.
Berikut adalah seluruh output dari perintah tersebut.
Pada titik ini, kunci Anda harus disimpan di ~/.ssh direktori yang merupakan direktori tersembunyi di direktori home Anda. Hanya untuk mengkonfirmasi ini, jalankan perintah:
$ ls -la ~/.ssh
Beberapa hal yang perlu diperhatikan:
- id_rsa adalah kunci pribadi. Seperti namanya, ini harus dijaga kerahasiaannya dan tidak boleh diungkapkan atau dibagikan. Penyerang dapat dengan mudah mengkompromikan host jarak jauh Anda setelah mereka mendapatkan kunci pribadi.
- id_rsa.pub adalah kunci publik, yang dapat dibagikan tanpa masalah. Anda dapat menyimpannya ke host jarak jauh mana pun yang ingin Anda sambungkan.
Salin Kunci Publik SSH ke Server Linux Jarak Jauh
Langkah selanjutnya adalah menyalin atau mentransfer kunci publik ke server atau host jarak jauh. Anda dapat melakukannya secara manual, tetapi ssh-copy-id perintah dengan mudah memungkinkan Anda melakukan ini.
ssh-copy-id perintah mengambil sintaks berikut:
$ ssh-copy-id user@remote-host-ip-address
Dalam pengaturan kami, kami memiliki host jarak jauh dengan IP 172.105.135.246 dan pengguna jarak jauh yang dikonfigurasi bernama jack .
Untuk menyalin kunci SSH publik, kita akan menjalankan perintah:
$ ssh-copy-id [email protected]
Jika ini adalah pertama kalinya terhubung ke host, Anda akan mendapatkan output yang ditunjukkan di bawah ini. Untuk melanjutkan autentikasi, ketik 'ya' dan tekan ENTER untuk melanjutkan.
Setelah Anda memberikan kata sandi dan tekan ‘ENTER ' kunci publik ditempatkan di authorized_file file di ~/.ssh direktori pada host jarak jauh.
Pada sistem lokal Anda, known_hosts file dibuat di ~/.ssh direktori. File tersebut berisi sidik jari SSH untuk host jarak jauh yang telah Anda sambungkan.
$ ls -la ~/.ssh
Anda dapat melihatnya sebagai berikut.
$ cat ~/.ssh/known_hosts
Login Tanpa Kata Sandi SSH ke Linux Jarak Jauh
Dengan kunci publik sekarang disimpan di host jarak jauh, sekarang kita dapat masuk ke host jarak jauh tanpa otentikasi kata sandi SSH. Untuk mengujinya, kami akan mencoba masuk secara normal ke host jarak jauh.
$ ssh [email protected]
Dari output, Anda dapat melihat bahwa kami langsung turun ke shell sistem jarak jauh. Ini mengonfirmasi bahwa kami telah berhasil mengonfigurasi SSH Otentikasi tanpa kata sandi.
Sekarang konfirmasikan bahwa kunci publik disimpan di authorized_keys file di host jarak jauh.
$ ls -la ~/.ssh/
Untuk melihat file, gunakan perintah cat sebagai berikut.
$ cat ~/.ssh/authorized_keys
Nonaktifkan Otentikasi Kata Sandi SSH
Kami belum selesai, otentikasi kata sandi masih diaktifkan dan ini berpotensi membuat server jarak jauh atau host terkena serangan brute force.
Untuk menghilangkan vektor serangan ini, sangat disarankan untuk menonaktifkan otentikasi kata sandi. Ini memastikan bahwa login hanya dimungkinkan melalui pasangan kunci SSH. Untuk mencapai ini, buka sshd_config file yang merupakan file konfigurasi SSH utama.
$ sudo vim /etc/ssh/sshd_config
Temukan PasswordAuthentication pengarahan. Jika dikomentari, batalkan komentarnya dan setel ke 'tidak' .
PasswordAuthentication no
Simpan perubahan dan keluar dari file.
Kemudian restart SSH untuk menerapkan perubahan yang dibuat.
$ sudo systemctl restart sshd
Ini berhasil menonaktifkan otentikasi kata sandi dan hanya pengguna dengan kunci SSH pribadi yang dapat masuk.
Pada titik ini, otentikasi kata sandi SSH telah dinonaktifkan di server jarak jauh dan satu-satunya cara yang mungkin untuk mengakses server jarak jauh adalah melalui kunci publik otentikasi.
Kami telah berhasil menyiapkan kunci SSH di Almalinux dan bahkan melanjutkan untuk mengonfigurasi otentikasi SSH tanpa kata sandi menggunakan pasangan kunci SSH. Kami selanjutnya menonaktifkan otentikasi kata sandi untuk mencegah serangan brute force.