Как сгенерировать и защитить SSH-ключи для удаленного доступа

Secure Shell (SSH) — это стандартный протокол для безопасного подключения к удаленным серверам и системам. Хотя аутентификация по паролю распространена, использование пар ключей SSH предлагает значительно более надежный, удобный и устойчивый метод аутентификации. Это подробное руководство проведет вас через процесс генерации надежных пар ключей SSH, их защиты с помощью парольных фраз и использования ssh-agent для беспрепятственного и безопасного удаленного доступа.

Понимание управления ключами имеет решающее значение для поддержания безопасности вашей инфраструктуры. Заменяя уязвимые пароли криптографическими ключами, вы снижаете риски, связанные с атаками методом подбора и перебором учетных данных, создавая основу безопасного удаленного подключения.

Понимание пар SSH-ключей

Пара SSH-ключей состоит из двух отдельных компонентов:

1. Закрытый ключ (Private Key): Этот ключ никогда не должен быть передан. Он безопасно хранится на вашей локальной машине и используется для подтверждения вашей личности удаленному серверу.
2. Открытый ключ (Public Key): Этот ключ свободно распространяется и загружается в файл ~/.ssh/authorized_keys на удаленных серверах, к которым вы хотите получить доступ. Сервер использует этот ключ для проверки подписи, сгенерированной вашим закрытым ключом.

Выбор правильного алгоритма

При генерации ключей важно выбрать современный, сильный криптографический алгоритм. RSA по-прежнему широко используется, но Ed25519 часто рекомендуется за его скорость и сильные гарантии безопасности.

Шаг 1: Генерация пары SSH-ключей

Утилита ssh-keygen — это стандартный инструмент для создания пар SSH-ключей в Linux, macOS и Windows (через Git Bash или WSL).

Генерация ключа Ed25519 (рекомендуется)

Для создания современного ключа Ed25519 используйте следующую команду. Мы указываем тип ключа (-t ed25519) и предоставляем комментарий (-C), чтобы помочь идентифицировать назначение или владельца ключа:

ssh-keygen -t ed25519 -C "[email protected]_or_host_name"

При появлении запроса:

1. Enter file in which to save the key: Нажмите Enter, чтобы принять расположение по умолчанию (/home/user/.ssh/id_ed25519).
2. Enter passphrase (recommended): Всегда устанавливайте надежную парольную фразу. Это шифрует ваш закрытый ключ, поэтому даже если кто-то украдет файл, он не сможет использовать его без парольной фразы.

Генерация ключа RSA (альтернативный вариант)

Если требуется совместимость с очень старыми системами, вы можете сгенерировать ключ RSA, убедившись, что вы указываете достаточную длину ключа (минимум 4096 бит):

ssh-keygen -t rsa -b 4096 -C "your_rsa_key_comment"

Выходные файлы ключей

После генерации в вашем каталоге ~/.ssh/ создаются два файла (при использовании значений по умолчанию):

• id_ed25519 (или id_rsa): Ваш закрытый ключ
• id_ed25519.pub (или id_rsa.pub): Ваш открытый ключ

Лучшая практика безопасности: Никогда не делитесь файлом без расширения .pub. Установите ограничительные разрешения для вашего закрытого ключа (chmod 600 ~/.ssh/id_ed25519).

Шаг 2: Копирование открытого ключа на сервер

Удаленный сервер должен иметь ваш открытый ключ в файле ~/.ssh/authorized_keys для предоставления доступа.

Использование ssh-copy-id (самый простой метод)

Утилита ssh-copy-id автоматизирует процесс, обрабатывая создание каталогов и настройки разрешений на удаленном сервере. Вам потребуется пройти аутентификацию с помощью пароля последний раз для этой первоначальной настройки.

ssh-copy-id user@remote_host_ip

В случае успеха команда сообщит вам, что ключи были добавлены. Теперь вы можете попытаться войти.

Ручное копирование (если ssh-copy-id недоступен)

Если вы не можете использовать ssh-copy-id, вы можете вручную добавить содержимое открытого ключа. Сначала отобразите открытый ключ:

cat ~/.ssh/id_ed25519.pub

Затем войдите на удаленный сервер, используя свой пароль, и добавьте вывод в файл authorized_keys:

# На удаленном сервере
mkdir -p ~/.ssh
chmod 700 ~/.ssh
# Замените <PASTE_YOUR_PUBLIC_KEY_HERE> на фактическое содержимое ключа
echo "<PASTE_YOUR_PUBLIC_KEY_HERE>" >> ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

Шаг 3: Защита доступа с помощью ssh-agent

Ввод парольной фразы каждый раз при подключении к серверу становится утомительным. ssh-agent — это фоновая программа, которая безопасно хранит расшифрованные закрытые ключи в памяти, позволяя использовать их без многократного ввода парольной фразы.

Запуск и использование ssh-agent

1. Убедитесь, что агент запущен: На большинстве современных систем Linux/macOS агент запускается автоматически при входе в систему. Вы можете проверить его статус, просмотрев переменные окружения:

   bash echo $SSH_AUTH_SOCK

2. Добавьте свой ключ в агент: Используйте команду ssh-add для загрузки вашего закрытого ключа. Вам будет предложено ввести парольную фразу только один раз.

   ```bash
   ssh-add ~/.ssh/id_ed25519

   Enter passphrase for /home/user/.ssh/id_ed25519: ****

   Identity added: /home/user/.ssh/id_ed25519 (comment)

   ```

3. Проверьте загруженные ключи:

   bash ssh-add -l

Теперь, когда вы запустите ssh user@remote_host_ip, соединение будет аутентифицировано с использованием ключа, хранящегося агентом, без повторного запроса парольной фразы (пока сессия агента не завершится).

Важные примечания по ssh-agent

• Зависимость от сессии: Ключи, загруженные в агент, обычно доступны только для текущей сессии терминала или сессии входа в систему. Вам потребуется повторно запустить ssh-add после выхода и повторного входа.
• Срок действия ключа: Вы можете установить максимальный срок действия для ключей, хранящихся в агенте, используя флаг -t (например, ssh-add -t 1h ~/.ssh/id_ed25519 сохраняет ключ загруженным на один час).

Расширенная безопасность: Отключение аутентификации по паролю

Как только вы убедились, что аутентификация на основе ключей работает безупречно на всех необходимых серверах, самой сильной мерой безопасности является полное отключение входа по паролю. Это предотвращает атаки методом подбора против паролей.

1. Подключитесь к своему серверу по SSH, используя свой ключ.

2. Отредактируйте файл конфигурации демона SSH, обычно расположенный по адресу /etc/ssh/sshd_config:

   bash sudo nano /etc/ssh/sshd_config

3. Найдите и установите следующие директивы:

   ```config

   Убедитесь, что это установлено в yes (обычно по умолчанию)

   PubkeyAuthentication yes

   Отключить вход по паролю

   PasswordAuthentication no
   ```

4. Перезапустите службу SSH для применения изменений:

   ```bash
   sudo systemctl restart sshd # Для систем на основе systemd (большинство современных Linux)

   ИЛИ

   sudo service ssh restart # Более старые системы
   ```

Внимание: Перед отключением аутентификации по паролю убедитесь, что вы успешно вошли хотя бы один раз, используя свой новый ключ. Блокировка доступа из-за ошибки конфигурации — это распространенная, но восстановимая ошибка, однако она требует доступа к консоли или альтернативного доступа.

Итоги и дальнейшие шаги

Генерация и управление SSH-ключами — это фундаментальный навык для безопасного системного администрирования. Следуя этим шагам — генерируя современные ключи Ed25519, защищая закрытый ключ надежной парольной фразой, безопасно устанавливая открытый ключ на целевых серверах и используя ssh-agent — вы создаете высоконадежный и эффективный механизм аутентификации.

Дальнейшие шаги:

• Генерируйте уникальную пару ключей для каждой основной системы или службы, к которой вы обращаетесь.
• Регулярно проверяйте файл authorized_keys на критически важных серверах.
• Используйте разные парольные фразы для разных пар ключей, если это возможно, или хотя бы убедитесь, что они сложные.