SSH - Thêm khóa công khai vào máy chủ sau khi tắt PasswordAuthentication

1

Làm cách nào tôi có thể thêm khóa công khai vào máy chủ từ các máy khách trái phép sau khi vô hiệu hóa PasswordAuthentication?

Tôi có một khách hàng đăng ký với máy chủ thông qua khóa công khai. Tôi cần thêm khách hàng. Tôi có cần bật PasswordAuthenticationmỗi lần tôi cần thêm khóa mới không?

Có một kế hoạch khác để hoàn thành nhiệm vụ này mà tôi không biết?

ssh  authentication 
Wesley Koerber
nguồn

Câu trả lời:

2

Đừng bật PasswordAuthenticationchỉ để thêm khóa mới. Xác thực bằng khóa đã được ủy quyền để tải lên khóa chung mới. Thêm một dòng mới vào authorized_keystệp chứa khóa công khai mới. ( authorized_keysTệp chứa một khóa chung trên mỗi dòng. Ví dụ:

# Copy new public key across
scp new_key.pub server:~
# Shell into the server, again using existing key to auth
ssh server
# Append (using >>) the new public key to authorized_keys:
cat new_key.pub >> ~/.ssh/authorized_keys
# Clean up
rm new_key.pub

Bây giờ hãy thử xác thực với phần riêng tư của khóa mới.

Tuy nhiên, nếu bạn đã tắt PasswordAuthenticationmà không thêm bất kỳ khóa công khai nào ở nơi đầu tiên, bạn sẽ cần tìm một cách khác để có quyền truy cập vào máy chủ. Có thể tại thiết bị đầu cuối vật lý hoặc nếu điều tra dựa trên đám mây nếu nhà cung cấp có đăng nhập bảng điều khiển có sẵn thông qua bảng điều khiển.

v25
nguồn
Tôi đã có một khóa được ủy quyền để truy cập từ xa vào một thiết bị đầu cuối vật lý, vì vậy không có vấn đề gì ở đó. Điều này có nghĩa là tất cả người dùng được xác thực có khả năng thêm các khóa công khai khác? Hoặc nó nên được cấu trúc theo cách chỉ một người dùng có thể thêm khóa mới (có thể là một ý kiến, nhưng tôi đang tìm kiếm bảo mật ở đây)?
Wesley Koerber
1
Theo authorized_keysmặc định, tệp sẽ được sở hữu bởi người dùng unix có thư mục chính mà nó tồn tại và sẽ group/other rwxbị vô hiệu hóa quyền. Một người dùng unix có thể thêm một khóa mới vào authorized_keystệp của riêng họ và bất kỳ người ngoài nào có khóa đó đều có thể xác thực như họ. Điều này có tác dụng tương tự như cho đi khóa riêng của họ. Tuy nhiên, các quyền trên các tệp này theo mặc định sẽ ngăn bob thêm khóa công khai (mà anh ta sở hữu phần riêng tư) để alice authorized_keysvà xác thực là cô ấy.
v25
1
Ngoài ra các khóa riêng có một cụm mật khẩu vì một lý do: Nếu khóa bị đánh cắp, kẻ tấn công vẫn cần biết cụm mật khẩu để sử dụng khóa. Vì lý do này, người dùng của bạn nên thực sự tạo ra khóa riêng tư / công khai của riêng họ và gửi cho bạn một nửa công khai, tại thời điểm đó, bạn thêm nó vào authorized_keysmột phần của quy trình tạo tài khoản.
v25
Điều hợp lý là khóa được lưu trữ trên máy chủ để máy chủ xác thực thay vì đảo ngược điều đó và đặt một khóa trên máy chủ và phân phối khóa chung của máy chủ cho mỗi máy khách.
Wesley Koerber
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.