Понимание аутентификации по SSH-ключам: объяснение открытых и закрытых ключей

SSH (Secure Shell) — это основа безопасного удаленного доступа к серверам, позволяющая администраторам и разработчикам управлять системами из любого места. Хотя аутентификация по паролю является распространенным методом, она часто сопряжена с уязвимостями безопасности. Предпочтительной в индустрии и значительно более безопасной альтернативой является аутентификация по SSH-ключам.

Эта статья призвана развеять тайну аутентификации по SSH-ключам, четко объяснив фундаментальные роли открытых и закрытых ключей. Мы углубимся в то, как эти криптографические пары работают вместе для защиты ваших удаленных соединений, обеспечивая надежную защиту от несанкционированного доступа. К концу вы поймете, почему этот метод не только более безопасен, чем традиционные входы по паролю, но и более удобен для повседневного использования.

Проблема с паролями

Традиционная аутентификация по паролю основана на общем секрете: пароле. Хотя надежные пароли могут обеспечивать приемлемый уровень безопасности, они подвержены ряду недостатков:

Атаки методом перебора (brute-force attacks): Злоумышленники могут перебирать бесчисленные комбинации паролей, пока не подберут правильный.
Атаки по словарю (dictionary attacks): Используя распространенные слова или фразы, злоумышленники могут быстро скомпрометировать учетные записи.
Клавиатурные шпионы (keyloggers): Вредоносное программное обеспечение может перехватывать нажатия клавиш, раскрывая пароли.
Фишинг (phishing): Тактики социальной инженерии могут заставить пользователей раскрыть свои учетные данные.
Человеческий фактор: Пользователи часто выбирают слабые, легко угадываемые или повторно используемые пароли, и могут случайно раскрыть их.

Аутентификация по SSH-ключам снижает эти риски, устраняя необходимость передачи секрета по сети, что делает ее превосходным выбором для защиты вашей удаленной инфраструктуры.

Аутентификация по SSH-ключам: обзор

Аутентификация по SSH-ключам использует асимметричную криптографию — систему, которая использует пару математически связанных ключей: открытый ключ и закрытый ключ. В отличие от симметричной криптографии, где один и тот же ключ используется как для шифрования, так и для дешифрования, асимметричная криптография использует один ключ для шифрования и другой, связанный с ним, для дешифрования.

Когда вы пытаетесь подключиться к SSH-серверу с использованием ключей, сервер запрашивает ваш клиент, а ваш клиент доказывает свою личность, используя свой закрытый ключ, никогда не передавая сам закрытый ключ по сети. Этот процесс гарантирует, что только клиенты, обладающие правильным закрытым ключом, могут установить соединение с серверами, настроенными на доверие соответствующему открытому ключу.

Криптографический дуэт: открытые и закрытые ключи

В основе аутентификации по SSH-ключам лежат эти два различных, но взаимосвязанных компонента.

Закрытый ключ

Закрытый ключ — это ваша секретная личность. Это длинная, сложная строка символов, которую необходимо хранить в абсолютной конфиденциальности и никогда никому не передавать. Думайте о нем как об уникальном ключе от вашего цифрового сейфа.

Критически важно для безопасности: Если ваш закрытый ключ скомпрометирован, злоумышленник может выдать себя за вас и получить несанкционированный доступ к любому серверу, где развернут соответствующий открытый ключ.
Расположение: Обычно хранится на вашей локальной машине (например, ~/.ssh/id_rsa, ~/.ssh/id_ed25519).
Защита: Часто защищается парольной фразой, что добавляет дополнительный уровень безопасности. Даже если злоумышленник получит доступ к вашему файлу закрытого ключа, он не сможет использовать его без парольной фразы.

Открытый ключ

Открытый ключ — это пара к вашему закрытому ключу. Он выводится из вашего закрытого ключа, но не может быть использован для его воссоздания. Как следует из названия, открытый ключ предназначен для распространения и размещения на любом сервере, к которому вы хотите получить доступ.

Можно распространять: Вы можете безопасно распространять свой открытый ключ кому угодно или на любой сервер, не ставя под угрозу свою безопасность.
Расположение: На сервере открытые ключи обычно хранятся в файле ~/.ssh/authorized_keys для каждой учетной записи пользователя. Каждая строка в этом файле представляет собой доверенный открытый ключ.
Роль: Открытый ключ действует как цифровая подпись. Когда вы пытаетесь подключиться, сервер использует ваш открытый ключ для проверки того, что вы обладаете соответствующим закрытым ключом, не видя при этом сам закрытый ключ.

Как работает аутентификация по SSH-ключам: рукопожатие

Давайте пошагово разберем процесс установки безопасного соединения с помощью аутентификации по SSH-ключам:

Генерация пары ключей: Сначала вы генерируете пару открытого и закрытого ключей на своей локальной машине. Закрытый ключ остается секретным, а открытый ключ вы будете распространять.
Развертывание открытого ключа: Вы копируете свой открытый ключ на удаленный сервер, к которому хотите получить доступ. Этот ключ обычно добавляется в файл ~/.ssh/authorized_keys в домашнем каталоге вашего пользователя на сервере.
Попытка подключения: Когда вы инициируете SSH-соединение с вашей локальной машины к удаленному серверу, ваш SSH-клиент указывает, что хочет аутентифицироваться с помощью ключа.
Запрос сервера: Сервер, имея ваш открытый ключ, генерирует случайную строку данных («запрос») и шифрует ее с помощью вашего открытого ключа.
Ответ клиента: Сервер отправляет этот зашифрованный запрос вашему SSH-клиенту. Затем ваш клиент использует ваш закрытый ключ для расшифровки запроса.
Проверка: Затем ваш клиент шифрует исходную случайную строку (или ее производную, вместе с данными сеанса) с помощью вашего закрытого ключа и отправляет ее обратно серверу. Сервер использует ваш открытый ключ для расшифровки этого ответа. Если расшифрованное значение совпадает с исходным запросом, сервер убеждается, что вы обладаете правильным закрытым ключом.
Предоставление доступа: Если проверка успешна, сервер предоставляет вам доступ, и устанавливается безопасный SSH-сеанс.

Ключевой момент: ваш закрытый ключ никогда не покидает вашу локальную машину в течение всего этого процесса. Обмениваются только криптографические доказательства, производные от него.

Генерация пары SSH-ключей

Генерация пары SSH-ключей — это простой процесс с использованием команды ssh-keygen на вашей локальной машине (Linux, macOS или WSL/Git Bash в Windows).

ssh-keygen -t ed25519 -C "[email protected]"

-t ed25519: Указывает тип создаваемого ключа. ed25519 — это современный, высокобезопасный и эффективный алгоритм. rsa также распространен, но ed25519 в настоящее время предпочтительнее.
-C "[email protected]": Добавляет комментарий к открытому ключу, который помогает вам определить его назначение или владельца.

Вам будет предложено указать файл для сохранения ключа (по умолчанию ~/.ssh/id_ed25519) и парольную фразу. Всегда используйте надежную парольную фразу для защиты вашего закрытого ключа.

Generating public/private ed25519 key pair.
Enter file in which to save the key (~/.ssh/id_ed25519):
Created directory '/home/youruser/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/youruser/.ssh/id_ed25519.
Your public key has been saved in /home/youruser/.ssh/id_ed25519.pub.
The key fingerprint is: SHA256:...
The key's randomart image is:
+--[ED25519 256]----+
|      .=+          |
|     . o. .        |
|    . + o.         |
|   o = B o.        |
|  . S @ + +        |
|   = + B .         |
|  o * * E          |
| . o o             |
|  . .              |
+----[SHA256]-------+

После генерации в вашем каталоге ~/.ssh появятся два файла:

id_ed25519 (ваш закрытый ключ)
id_ed25519.pub (ваш открытый ключ)

Внимание: Убедитесь, что ваш файл закрытого ключа (id_ed25519) имеет строгие разрешения (например, chmod 600 ~/.ssh/id_ed25519), чтобы только вы могли его читать/записывать.

Развертывание открытого ключа

Для использования аутентификации по ключам ваш открытый ключ должен быть размещен на удаленном сервере, к которому вы хотите получить доступ.

Использование `ssh-copy-id` (рекомендуется)

Утилита ssh-copy-id — это самый простой и безопасный способ развертывания вашего открытого ключа. Она создает каталог ~/.ssh и файл authorized_keys с правильными разрешениями, если они не существуют.

ssh-copy-id -i ~/.ssh/id_ed25519.pub user@remote_host

Замените user на ваше имя пользователя на удаленном сервере, а remote_host — на IP-адрес или имя хоста сервера. Вам будет предложено ввести ваш пароль для user@remote_host в последний раз, чтобы загрузить ключ.

Ручное развертывание

Если ssh-copy-id недоступен, вы можете скопировать открытый ключ вручную:

Скопируйте содержимое открытого ключа: Отобразите ваш открытый ключ с помощью cat.
bash cat ~/.ssh/id_ed25519.pub
Скопируйте весь вывод, который начинается с ssh-ed25519 ... и заканчивается вашим комментарием.
Войдите на удаленный сервер по SSH, используя аутентификацию по паролю:
bash ssh user@remote_host
Введите свой пароль, когда появится запрос.
Создайте каталог ~/.ssh и файл authorized_keys, если они не существуют:
bash mkdir -p ~/.ssh chmod 700 ~/.ssh touch ~/.ssh/authorized_keys chmod 600 ~/.ssh/authorized_keys
Добавьте ваш открытый ключ в authorized_keys: Вставьте содержимое открытого ключа, которое вы скопировали ранее, в файл authorized_keys.
bash echo "ssh-ed25519 AAAA..." >> ~/.ssh/authorized_keys
(Замените ssh-ed25519 AAAA... на фактическое содержимое вашего открытого ключа)

Подключение с использованием SSH-ключей

После того как ваш открытый ключ окажется на сервере, вы можете подключиться, просто указав пользователя и хост:

ssh user@remote_host

Если у вас несколько пар ключей или ваш закрытый ключ находится не в стандартном расположении (~/.ssh/id_rsa или ~/.ssh/id_ed25519), вам может потребоваться указать его с помощью опции -i:

ssh -i ~/.ssh/my_custom_key user@remote_host

Если ваш закрытый ключ защищен парольной фразой, вам будет предложено ввести ее. Чтобы избежать повторного ввода парольной фразы в течение сеанса, вы можете использовать ssh-agent.

Преимущества аутентификации по SSH-ключам

Исключает угадывание паролей: Поскольку пароли не используются для аутентификации, атаки перебором на ваш пароль становятся невозможными.
Более сильные учетные данные: SSH-ключи обычно представляют собой криптографические значения длиной 2048 бит (RSA) или 256 бит (Ed25519), что делает их намного более сложными и трудными для взлома, чем даже самые надежные пароли, сгенерированные человеком.
Нет передачи секрета: Ваш закрытый ключ никогда не покидает вашу локальную машину, что значительно снижает риск его перехвата или кражи во время аутентификации.
Удобство для автоматизации: Ключи позволяют выполнять входы без пароля с помощью скриптов, что необходимо для инструментов автоматизации и конвейеров CI/CD.
Защита парольной фразой: Добавление парольной фразы к вашему закрытому ключу обеспечивает дополнительный уровень безопасности. Даже если ваш файл закрытого ключа украден, он останется бесполезным без парольной фразы.

Управление вашими SSH-ключами

`ssh-agent`

ssh-agent — это программа, которая работает в фоновом режиме и хранит ваши расшифрованные закрытые ключи в памяти. Когда вы пытаетесь подключиться к SSH-серверу, ваш SSH-клиент может запросить у ssh-agent необходимый закрытый ключ, устраняя необходимость многократно вводить парольную фразу.

Чтобы запустить ssh-agent и добавить ваш ключ:

eval "$(ssh-agent -s)"
ssh-add ~/.ssh/id_ed25519

Вы введете свою парольную фразу один раз при добавлении ключа в агент.

Именование и организация ключей

Для управления несколькими ключами (например, для разных организаций, проектов или личного использования) рассмотрите возможность использования понятных имен:

ssh-keygen -t ed25519 -f ~/.ssh/id_work_project -C "work_project_key"
ssh-keygen -t ed25519 -f ~/.ssh/id_personal_github -C "personal_github_key"

Затем вы можете указать, какой ключ использовать, с помощью опции -i, или настроить файл ~/.ssh/config для автоматического выбора правильного ключа на основе хоста.

Пример ~/.ssh/config:

Host github.com
    IdentityFile ~/.ssh/id_personal_github
    User git

Host work-server
    Hostname 192.168.1.100
    IdentityFile ~/.ssh/id_work_project
    User devuser

Лучшие практики и советы

Никогда не передавайте свой закрытый ключ: Это золотое правило. Ваш закрытый ключ — это ваша цифровая личность.
Используйте надежную парольную фразу: Защитите свой закрытый ключ надежной парольной фразой, аналогичной надежному паролю. Это сделает ваш ключ бесполезным, даже если он попадет не в те руки.
Регулярно меняйте ключи: Периодически генерируйте новые ключи и отзывайте старые, особенно если вы подозреваете, что ключ мог быть скомпрометирован.
Ограничивайте разрешения файлов: Убедитесь, что ваш файл закрытого ключа имеет разрешения 600 (rw-------), а ваш каталог ~/.ssh — 700 (rwx------).
Отключите аутентификацию по паролю на серверах: После настройки аутентификации по ключам рассмотрите возможность отключения аутентификации по паролю для SSH на ваших серверах, чтобы значительно повысить безопасность. Это часто делается путем установки PasswordAuthentication no в /etc/ssh/sshd_config.
Используйте ssh-agent: Для удобства и безопасности используйте ssh-agent для управления вашими ключами, особенно теми, которые защищены парольной фразой.

Заключение

Аутентификация по SSH-ключам предоставляет надежный, безопасный и удобный метод доступа к удаленным серверам. Понимая различия между ролями открытых и закрытых ключей и то, как они взаимодействуют во время криптографического рукопожатия, вы можете значительно повысить безопасность своей операционной деятельности. Переход от входов по паролю к SSH-ключам — это фундаментальный шаг к лучшему управлению серверами и защите от распространенных векторов атак. Используйте этот мощный механизм безопасности для защиты вашей цифровой инфраструктуры.