Kunci SSH menawarkan cara yang sangat aman untuk masuk ke server dengan SSH daripada hanya bergantung pada kata sandi. Sementara kata sandi berisiko akhirnya retak, kunci SSH agak tidak mungkin diuraikan menggunakan kekerasan. Faktanya, menghasilkan pasangan kunci menawarkan kepada pengguna dua string karakter panjang yang sesuai dengan kunci publik dan juga kunci pribadi. Pengguna dapat, dengan demikian, menempatkan kunci publik di server mana pun, dan selanjutnya, membuka kunci yang sama dengan menghubungkannya dengan klien yang sudah memiliki kunci pribadi. Setelah mencocokkan dua kunci, sistem akan terbuka tanpa ketergantungan yang mengganggu pada kata sandi. Keamanan dapat di-firewall lebih jauh dengan menjaga kunci pribadi dengan frasa sandi.
Instalasi SSH Keys di Linux - Panduan Langkah demi Langkah
Diuraikan di bawah ini adalah panduan langkah demi langkah yang merinci proses pemasangan SSH Keys di server Linux:
Langkah Satu:Pembuatan Pasangan Kunci RSA
Langkah pertama dalam proses instalasi adalah membuat pasangan kunci pada mesin klien, yang akan, lebih sering daripada tidak, menjadi sistem Anda sendiri. Pengguna perlu menggunakan perintah berikut:
ssh-keygen -o -b 4096 -t rsa
Perintah di atas memulai proses instalasi SSH Key untuk pengguna. Opsi -o memerintahkan ssh-keygen untuk menyimpan kunci pribadi dalam format OpenSSH baru, bukan format PEM lama (dan lebih kompatibel). Sangat disarankan untuk menggunakan opsi -o karena format OpenSSH baru memiliki ketahanan yang meningkat terhadap peretasan kata sandi secara paksa. Jika opsi -o tidak berfungsi di server Anda (telah diperkenalkan pada tahun 2014) atau Anda memerlukan kunci pribadi dalam format PEM lama, gunakan perintah 'ssh-keygen -b 4096 -t rsa '.
Opsi -b dari perintah ssh-keygen digunakan untuk menyetel panjang kunci menjadi 4096 bit, bukan 1024 bit default untuk alasan keamanan.
Saat memasukkan perintah Gen Key utama, pengguna harus melalui latihan berikut dengan menjawab perintah berikut:
Enter the file where you wish to save the key (/home/demo/.ssh/id_rsa)
Pengguna perlu menekan ENTER untuk menyimpan file ke rumah pengguna
Prompt berikutnya akan berbunyi sebagai berikut:
Enter passphrase
Jika, sebagai administrator, Anda ingin menetapkan frasa sandi, Anda dapat melakukannya saat diminta (sesuai pertanyaan di atas), meskipun ini opsional, dan Anda dapat mengosongkan bidang jika Anda tidak ingin menetapkan frasa sandi.
Namun, penting untuk dicatat bahwa memasukkan frasa sandi yang unik memang menawarkan sekumpulan manfaat yang tercantum di bawah ini:
1. Keamanan kunci, bahkan ketika sangat terenkripsi, sangat bergantung pada ketidaktampakannya ke pihak lain mana pun. I 2. Dalam kasus kemungkinan kunci pribadi yang aman dengan frasa sandi jatuh ke dalam pengawasan pengguna yang tidak sah, mereka akan dianggap tidak dapat masuk ke akun sekutunya sampai mereka dapat memecahkan frasa sandi tersebut. Ini selalu memberi korban (pengguna yang diretas) waktu ekstra yang berharga untuk menghindari tawaran peretasan. Sisi negatifnya, menetapkan frasa sandi ke kunci mengharuskan Anda memasukkannya setiap kali Anda menggunakan Pasangan Kunci, yang membuat prosesnya sedikit membosankan, namun benar-benar gagal.
Berikut adalah garis besar proses pembuatan kunci end-to-end:
Kunci publik sekarang dapat dilacak ke tautan ~/.ssh/id_rsa.pub
Kunci pribadi (identifikasi) sekarang dapat dilacak ke link-/home/demo/.ssh/id_rsa 3
Langkah Kedua:Menyalin Kunci Publik
Setelah pasangan kunci yang berbeda telah dibuat, langkah selanjutnya adalah menempatkan kunci publik di server virtual yang ingin kita gunakan. Pengguna akan dapat menyalin kunci publik ke file otor_keys dari mesin baru menggunakan perintah ssh-copy-id. Diberikan di bawah ini adalah format yang ditentukan (sebagai contoh) untuk memasukkan nama pengguna dan alamat IP, dan harus diganti dengan nilai sistem yang sebenarnya:
ssh-copy-id [email protected]
Sebagai alternatif, pengguna dapat menempelkan kunci dengan menggunakan SSH (sesuai perintah yang diberikan):
cat ~/.ssh/id_rsa.pub | ssh [email protected] "cat >> ~/.ssh/authorized_keys"
Salah satu dari perintah di atas, saat digunakan, akan memunculkan pesan berikut di sistem Anda:
Keaslian host '192.168.0.100 ' tidak dapat ditentukan. Sidik jari kunci RSA adalah b1:2d:32:67:ce:35:4d:5f:13:a8:cd:c0:c4:48:86:12. Apakah Anda yakin ingin melanjutkan koneksi (ya/tidak)? ya Peringatan:Menambahkan '192.168.0.100' (RSA) secara permanen ke daftar host yang dikenal. kata sandi [dilindungi email]:Sekarang coba masuk ke mesin, dengan "ssh '[email protected]'", dan periksa:~/.ssh/authorized_keys untuk memastikan kami belum menambahkan kunci tambahan yang bukan milik Anda tidak mengharapkan.
Setelah latihan di atas, pengguna siap untuk melanjutkan dan masuk ke [dilindungi email] tanpa dimintai sandi. Namun, jika sebelumnya Anda telah menetapkan frasa sandi ke kunci (sesuai Langkah 2 di atas), Anda akan diminta untuk memasukkan frasa sandi pada saat ini (dan setiap kali untuk login berikutnya).
Langkah Tiga (Langkah Ini Opsional):Menonaktifkan Sandi untuk Memfasilitasi Login Root
Setelah pengguna menyalin kunci SSH mereka ke server Anda dan memastikan masuk tanpa hambatan hanya dengan kunci SSH, mereka memiliki opsi untuk membatasi login root, dan mengizinkan hal yang sama hanya melalui kunci SSH. Untuk mencapai ini, pengguna perlu mengakses file konfigurasi SSH menggunakan perintah berikut:
sudo nano /etc/ssh/sshd_config
Setelah file diakses, pengguna perlu menemukan baris di dalam file yang menyertakan PermitRootLogin , dan modifikasi yang sama untuk memastikan koneksi yang sangat mudah menggunakan kunci SSH. Perintah berikut akan membantu Anda melakukannya:
PermitRootLogin without-password
Langkah terakhir dalam proses tetap mengimplementasikan perubahan dengan menggunakan perintah berikut:
reload ssh
Di atas menyelesaikan proses pemasangan kunci SSH di server Linux.
Mengonversi kunci pribadi OpenSSH ke format baru
Sebagian besar kunci OpenSSH lama disimpan dalam format PEM. Meskipun format ini kompatibel dengan banyak aplikasi lama, ia memiliki kelemahan bahwa kata sandi dari kunci pribadi yang dilindungi kata sandi dapat diserang dengan serangan brute force. Bab ini menjelaskan cara mengonversi kunci pribadi dalam format PEM menjadi kunci dalam format OpenSSH baru.
ssh-keygen -p -o -f /root/.ssh/id_rsa
Jalur /root/.ssh/id_rsa adalah jalur file kunci pribadi lama.
Kesimpulan
Langkah-langkah di atas akan membantu Anda menginstal kunci SSH di server pribadi virtual apa pun dengan cara yang sepenuhnya aman, terlindungi, dan tanpa kerumitan.