{"id":443,"date":"2018-11-22T11:06:12","date_gmt":"2018-11-22T10:06:12","guid":{"rendered":"https:\/\/www.kompikownia.pl\/?p=443"},"modified":"2019-03-17T10:26:05","modified_gmt":"2019-03-17T09:26:05","slug":"ssh-autoryzacja-za-pomoca-klucza-certyfikatu","status":"publish","type":"post","link":"https:\/\/www.kompikownia.pl\/index.php\/2018\/11\/22\/ssh-autoryzacja-za-pomoca-klucza-certyfikatu\/","title":{"rendered":"SSH – autoryzacja za pomoc\u0105 klucza\/certyfikatu"},"content":{"rendered":"Czas czytania:<\/span> 7<\/span> minut<\/span><\/span>

Zabezpieczenie zdalnego dost\u0119pu do serwera jest niezmiernie wa\u017cne. Atakuj\u0105cy, hackerzy i crackerzy tylko czekaj\u0105 na to, a\u017c zrobisz jeden malutki b\u0142\u0105d, kt\u00f3ry pozwoli im na do\u0142\u0105czenie twojego VPS-a czy dedyka do botnetu. Wektory ataku mog\u0105 by\u0107 bardzo r\u00f3\u017cne. Zaczynaj\u0105c od luk w CMS-ie, ko\u0144cz\u0105c na b\u0142\u0119dach w konfiguracji serwera i s\u0142abych has\u0142ach. Dzisiaj zajmiemy si\u0119 popraw\u0105 ostatniego z wymienionych aspekt\u00f3w. Ulepszymy autoryzacj\u0119 SSH, jednego z g\u0142\u00f3wnych narz\u0119dzi ka\u017cdego administratora.<\/p>\n

Za\u0142\u00f3\u017cmy, \u017ce masz serwer (lub komputer) na kt\u00f3ry logujesz si\u0119 za pomoc\u0105 SSH. Wpisujesz nazw\u0119 u\u017cytkownika i has\u0142o. Logujesz si\u0119 bez problem\u00f3w. Jest to najprostsza mo\u017cliwa konfiguracja serwera SSH. Z drugiej strony ma kilka wad. Po pierwsze \u2013 je\u015bli masz kilka komputer\u00f3w to musisz pami\u0119ta\u0107 kilka, a nieraz i kilkana\u015bcie hase\u0142. Po drugie \u2013 aby dost\u0119p do pow\u0142oki by\u0142 naprawd\u0119 dobrze zabezpieczony, has\u0142a powinny by\u0107 silne i d\u0142ugie. Czy jest to bezpieczne? Tak. Czy jest to uci\u0105\u017cliwe? Owszem. Jak pokona\u0107 to utrapienie? Wystarczy skonfigurowa\u0107 SSH tak aby korzysta\u0142 z certyfikatu \u2013 czyli logowania za pomoc\u0105 klucza.<\/p>\n

Logowanie SSH za pomoc\u0105 klucza – jak to dzia\u0142a?<\/h2>\n

Do logowania za pomoc\u0105 certyfikatu wymagana jest para kluczy. S\u0105 to klucze nierozerwalnie ze sob\u0105 powi\u0105zane \u2013 publiczny i prywatny. To co zostanie zaszyfrowane za pomoc\u0105 klucza publicznego, mo\u017ce by\u0107 odczytane tylko<\/b> za pomoc\u0105 odpowiadaj\u0105cego mu klucza prywatnego. I na odwr\u00f3t.<\/p>\n

Klucz prywatny znajduje si\u0119 na komputerze klienckim (tym, za pomoc\u0105 kt\u00f3rego logujesz si\u0119 na serwer). Klucz ten powinien by\u0107 chroniony za wszelk\u0105 cen\u0119. W przypadku jego wykradni\u0119cia przez hackera, atakuj\u0105cy mo\u017ce bez problemu autoryzowa\u0107 si\u0119 na twoim serwerze i wprowadzi\u0107 zmiany.<\/p>\n

Klucz, kt\u00f3ry przechowujemy na swoim komputerze mo\u017cemy dodatkowo zabezpieczy\u0107. Taki dodatek to has\u0142o (passphrase), kt\u00f3rym zaszyfrowany jest klucz. Aby skorzysta\u0107 z klucza prywatnego, b\u0119dziemy musieli najpierw wprowadzi\u0107 passphrase s\u0142u\u017c\u0105c\u0105 do jego odszyfrowania.<\/p>\n

A co mo\u017cna powiedzie\u0107 na temat klucza publicznego? Znajduje si\u0119 on na serwerze. Klucza publicznego nie musimy chroni\u0107 \u2013 hackerowi nic nie przyjdzie z jego wykradzenia.<\/p>\n

Logowanie SSH kluczem \u2013 konfiguracja<\/h2>\n

Zak\u0142adam, \u017ce podstawowa konfiguracja SSH, kt\u00f3ra umo\u017cliwia zalogowanie si\u0119 na serwer za pomoc\u0105 has\u0142a jest ju\u017c wykonana. (Dok\u0142adn\u0105 konfiguracj\u0119 SSH om\u00f3wimy innym razem)<\/p>\n

Wygenerowanie pary kluczy<\/h3>\n

Pierwszym krokiem jest wygenerowanie pary kluczy. Robisz to na komputerze lokalnym <\/b>(klienckim), czyli tym, z poziomu kt\u00f3rego logujesz si\u0119 na serwer. S\u0142u\u017cy do tego polecenie:<\/p>\n

ssh-keygen<\/pre>\n
Program zapyta ciebie, w kt\u00f3rej lokalizacji chcesz przechowywa\u0107 klucze. Domy\u015blnie jest to \/[home]\/.ssh\/id_rsa<\/em>. (Za [home] podstaw nazw\u0119 u\u017cytkownika). Oczywi\u015bcie, mo\u017cesz zmieni\u0107 t\u0119 lokalizacj\u0119, ale wi\u0105\u017c\u0105 si\u0119 z tym pewne komplikacje.<\/p>\n
\"ssh-keygen<\/p>\n
Nast\u0119pnie ssh-keygen zapyta o has\u0142o, jakim ma zosta\u0107 zakodowany generowany klucz. Mo\u017cesz zostawi\u0107 te pole puste. Lecz nie polecam tego rozwi\u0105zania. Nara\u017casz si\u0119 tym samym na to, \u017ce kto\u015b mo\u017ce wykra\u015b\u0107 klucz i wtedy bez problemu zaloguje si\u0119 na serwer. W przypadku zabezpieczenia za pomoc\u0105 passphrase, opr\u00f3cz klucza nale\u017cy zna\u0107 tak\u017ce odkodowuj\u0105ce go has\u0142o.<\/p>\n
I to by by\u0142o na tyle. Para kluczy zostaje wygenerowana i zapisana we wskazanym przez nas katalogu. My natomiast mo\u017cemy przej\u015b\u0107 do kolejnego etapu konfiguracji.<\/p>\n
Kopiowanie klucza na serwer \u2013 metoda I \u2013 ssh-copy-id<\/h3>\n
Drugi etap jest r\u00f3wnie prosty jak pierwszy. Wygenerowali\u015bmy ju\u017c klucze. Prywatny, jak ju\u017c wiesz, zostaje na twoim komputerze. Na serwer nale\u017cy przekopiowa\u0107 klucz publiczny. Mo\u017cesz to zrobi\u0107 za pomoc\u0105 narz\u0119dzia: ssh-copy-id. Pe\u0142ne polecenie, kt\u00f3re musisz wyda\u0107, wygl\u0105da tak:<\/p>\n
ssh-copy-id login@host<\/pre>\n
Za login podstawiasz nazw\u0119 u\u017cytkownika, a za host adres domenowy lub adres IP serwera.<\/p>\n
Na ekranie mo\u017ce zosta\u0107 wy\u015bwietlone ostrze\u017cenie, \u017ce to\u017csamo\u015b\u0107 zdalnego hosta nie mo\u017ce zosta\u0107 zidentyfikowana. Je\u015bli to pocz\u0105tkowa konfiguracja, nie musimy si\u0119 tym przejmowa\u0107.<\/p>\n
Nast\u0119pnie b\u0119dziesz musia\u0142 poda\u0107 has\u0142o u\u017cytkownika, kt\u00f3rym normalnie logowa\u0142by\u015b si\u0119 na serwer. Gdy zostaniesz pomy\u015blnie autoryzowany, a klucz zostanie przekopiowany, b\u0119dziesz m\u00f3g\u0142 powiedzie\u0107, \u017ce ten etap konfiguracji zako\u0144czy\u0142 si\u0119 powodzeniem.<\/p>\n
Klucz publiczny zostanie zapisany na serwerze w pliku ~\/.ssh\/authorized_keys.<\/p>\n
Kopiowanie klucza na serwer \u2013 metoda II \u2013 r\u0119czna<\/h3>\n
Co zrobi\u0107 w sytuacji, kiedy w danej chwili masz tylko fizyczny dost\u0119p do serwera? Musisz wtedy r\u0119cznie przenie\u015b\u0107 klucz publiczny z klienta na serwer. Aby to zrobi\u0107, powiniene\u015b skopiowa\u0107 plik ~\/.ssh\/id_rsa.pub z lokalnego komputera na jaki\u015b no\u015bnik pami\u0119ci, np.: pendrive. Mo\u017cesz to zrobi\u0107 za pomoc\u0105 polecenia:<\/p>\n
cp ~\/.ssh\/id_rsa.pub \/media\/pendrive<\/pre>\n
Zmie\u0144 \u015bcie\u017ck\u0119 \/media\/pendrive na katalog, w kt\u00f3rym zamontowana jest pami\u0119\u0107 masowa, na kt\u00f3r\u0105 chcesz przekopiowa\u0107 klucz publiczny.<\/p>\n
Nast\u0119pnie pod\u0142\u0105cz pendrive\u2019a lub inn\u0105 pami\u0119\u0107 masow\u0105 do serwera. Najpierw stw\u00f3rz katalog ~\/.ssh, o ile ju\u017c nie istnieje. S\u0142u\u017cy do tego polecenie:<\/p>\n
mkdir -p ~\/.ssh<\/pre>\n
Potem dopisz sw\u00f3j nowy klucz publiczny na ko\u0144cu pliku authorized_keys.<\/p>\n
cat \/media\/pendrive\/id_rsa.pub >> ~\/.ssh\/authorized_keys<\/pre>\n
To wszystko.<\/p>\n
Windows \u2013 generowanie pary kluczy za pomoc\u0105 Putty<\/h2>\n
Nie ka\u017cdy u\u017cywa Linuksa jako sw\u00f3j g\u0142\u00f3wny system operacyjny \ud83d\ude42 Ty tak\u017ce nie musisz. A je\u015bli nie u\u017cywasz Linuksa, to z ogromnym prawdopodobie\u0144stwem korzystasz z Windowsa. Tam zasady post\u0119powania s\u0105 nieco inne. Przede wszystkim, Windows (w wersjach <1803) nie posiada wbudowanego klienta SSH. W takiej sytuacji musisz pobra\u0107 ma\u0142y programik zwany Putty.<\/p>\n
Wraz z zainstalowaniem programu Putty dostaniesz programik Puttygen, kt\u00f3ry s\u0142u\u017cy do generowania par kluczy publiczny\/prywatny. Obs\u0142uga PuttyGen jest banalnie prosta.<\/p>\n
\"okno_puttygen\"
Okno programu PuttyGen<\/figcaption><\/figure>\n
Tak wygl\u0105da g\u0142\u00f3wne okno programu. W dolnej cz\u0119\u015bci mamy nieco mo\u017cliwo\u015bci personalizacji. Mo\u017cemy m.in. zmieni\u0107 typ czy d\u0142ugo\u015b\u0107 klucza. Domy\u015blne parametry s\u0105 ca\u0142kowicie wystarczaj\u0105ce. Aby stworzy\u0107 par\u0119 kluczy, wystarczy wcisn\u0105\u0107 przycisk \u201eGenerate\u201d.<\/p>\n
\"puttygen_po_generate\"<\/p>\n
Aby klucze by\u0142y bezpieczne i ca\u0142kowicie \u201elosowe\u201d, musimy pom\u00f3c generatorowi. Po wci\u015bni\u0119ciu przycisku \u201eGenerate\u201d program poprosi ci\u0119 o ruszanie kursorem myszki, co generuje entropi\u0119 dla generatora. Sprawia to, \u017ce klucze s\u0105 bezpieczniejsze.<\/p>\n
\"puttygen_ssh_klucze_wygenerowane\"<\/p>\n
W ostatnim kroku mo\u017cemy opcjonalnie poda\u0107 passphrase, co dodatkowo zabezpieczy nasz klucz przed kradzie\u017c\u0105. Po wszystkim wystarczy tylko klikn\u0105\u0107 przyciski \u201eSave public key\u201d i \u201eSave private key\u201d.<\/p>\n
Klucz, kt\u00f3ry powinni\u015bmy umie\u015bci\u0107 w pliku ~\/.ssh\/authorized_keys na serwerze, znajduje si\u0119 w g\u00f3rnej cz\u0119\u015bci okna, w polu \u201ePublic key for pasting into OpenSSH authorized_keys file:\u201d .<\/p>\n
Skopiowanie klucza Putty na serwer<\/h3>\n
Wykonanie tej operacji pod Windowsem jest prawie identyczne z wersj\u0105 linuksow\u0105. Niestety nie masz do dyspozycji polecenia ssh-copy-id, kt\u00f3re za\u0142atwi\u0142oby wszystko za ciebie. Aby przekopiowa\u0107 klucz publiczny wygenerowany przez Putty na serwer, musisz wykona\u0107 kilka czynno\u015bci. Przede wszystkim, powiniene\u015b zalogowa\u0107 si\u0119 na serwer. Najpierw stw\u00f3rz katalog ~\/.ssh, o ile ju\u017c nie istnieje. Zrobisz to za pomoc\u0105 polecenia:<\/p>\n
mkdir -p ~\/.ssh<\/pre>\n
Nast\u0119pnie wystarczy skopiowa\u0107 klucz z programu PuttyGen i wyda\u0107 nast\u0119puj\u0105ce polecenie:<\/p>\n
echo \u201e[tu wklejony klucz]\u201d >> ~\/.ssh\/authorized_keys<\/pre>\n
np.:<\/p>\n
echo \u201eAAAAfajerofajerofajerofajeroxxx\u201d >> ~\/.ssh\/authorized_keys<\/pre>\n
Od teraz mo\u017cesz si\u0119 logowa\u0107 za pomoc\u0105 Putty na serwer zdalny za pomoc\u0105 klucza SSH.<\/p>\n
Konfiguracja Putty na komputerze klienckim<\/h3>\n
To, \u017ce wygenerowali\u015bmy par\u0119 kluczy wcale nie oznacza, \u017ce Putty b\u0119dzie z nich korzysta\u0142o. Musimy poinformowa\u0107 program, gdzie zapisali\u015bmy klucz prywatny. Podobnie jak wszystkie pozosta\u0142e, tak\u017ce i to zadanie nie powinno nastr\u0119czy\u0107 ci zbytnich trudno\u015bci.<\/p>\n
\"Putty_ssh_private_key\"<\/p>\n
Uruchom program Putty i przejd\u017a na zak\u0142adk\u0119 Connection\u2192SSH\u2192Auth. W okienku w\u0142a\u015bciwo\u015bci po prawej stronie pojawi si\u0119 pole o tytule: \u201ePrivate key file for authentication\u201d<\/strong>. Wystarczy, \u017ce wybierzesz przycisk \u201eBrowse…\u201d i wska\u017cesz klucz prywatny, kt\u00f3tego chcesz u\u017cywa\u0107 do autoryzacji.<\/p>\n
Domy\u015blnie b\u0119dziesz musia\u0142 powtarza\u0107 t\u0119 operacj\u0119 za ka\u017cdym razem, kiedy uruchomisz Putty ponownie. Aby zmiany w konfiguracji zosta\u0142y zapami\u0119tane, musisz zapisa\u0107 sesj\u0119.<\/p>\n
\"putty_zapisz_sesje\"<\/p>\n
Aby to zrobi\u0107, musisz przej\u015b\u0107 na pierwsz\u0105 zak\u0142adk\u0119 (Session), czyli tam, gdzie wpisujesz adres IP\/nazw\u0119 serwera, z kt\u00f3rym chcesz si\u0119 po\u0142\u0105czy\u0107. W dolnej cz\u0119\u015bci okienka znajduje si\u0119 obszar zatytu\u0142owany \u201eLoad, save or delete a stored session\u201d. W polu edycyjnym \u201eSaved Sessions\u201d podaj nazw\u0119 sesji, a nast\u0119pnie kliknij Save. Nowo dodana sesja pojawi si\u0119 na li\u015bcie poni\u017cej. Teraz za ka\u017cdym razem, kiedy b\u0119dziesz chcia\u0142 si\u0119 po\u0142\u0105czy\u0107 z tym serwerem wystarczy, \u017ce wybierzesz odpowiedni wpis z listy.<\/p>\n
Wy\u0142\u0105czenie logowania za pomoc\u0105 has\u0142a<\/h3>\n
Spr\u00f3buj teraz zalogowa\u0107 si\u0119 na sw\u00f3j serwer. Je\u015bli:<\/p>\n
    \n
  • nie ustawi\u0142e\u015b passphrase, powiniene\u015b zosta\u0107 zalogowany na serwer bez pytania o has\u0142o<\/li>\n
  • ustawi\u0142e\u015b passphrase, pojawi si\u0119 pytanie o jego podanie. Po podaniu passphrase powiniene\u015b zosta\u0107 zalogowany o serwer<\/li>\n<\/ul>\n
    Je\u015bli autoryzacja si\u0119 powiod\u0142a, mo\u017cesz by\u0107 z siebie dumny. Uda\u0142o ci si\u0119 skonfigurowa\u0107 autoryzacj\u0119 za pomoc\u0105 klucza. Pozosta\u0142 tylko jeden drobny szkopu\u0142 \u2013 dalej dost\u0119pna jest metoda logowania za pomoc\u0105 has\u0142a. Powinni\u015bmy j\u0105 wy\u0142\u0105czy\u0107.<\/p>\n
    Uwaga: Na pocz\u0105tku dodaj klucze ssh dla wszystkich kont, na kt\u00f3re zamierzasz si\u0119 logowa\u0107. Operacj\u0119 t\u0119 powt\u00f3rz dla wszystkich komputer\u00f3w, z kt\u00f3rych zamierzasz zarz\u0105dza\u0107 serwerem. Powiniene\u015b mie\u0107 m.in. dost\u0119p do konta z uprawnieniami root (albo bezpo\u015brednio, albo za pomoc\u0105 konta o ni\u017cszych uprawnieniach kt\u00f3re mo\u017ce u\u017cywa\u0107 su albo sudo). <\/strong>Je\u015bli wy\u0142\u0105czysz logowanie za pomoc\u0105 has\u0142a, jedyn\u0105 metod\u0105 zdalnego dost\u0119pu do serwera pozostan\u0105 certyfikaty kt\u00f3re doda\u0142e\u015b wcze\u015bniej. Zastan\u00f3w si\u0119 wi\u0119c dobrze, zanim permanentnie wy\u0142\u0105czysz domy\u015bln\u0105 metod\u0119 autoryzacji. W przeciwnym wypadku mo\u017cesz utraci\u0107 dost\u0119p do serwera!<\/p>\n
    Edytuj plik \/etc\/ssh\/sshd_config<\/p>\n
    Znajd\u017a linijk\u0119 PasswordAuthentication. Je\u015bli jest zahashowana, skasuj znaczek #. Zmie\u0144 s\u0142\u00f3wko yes na no.<\/p>\n
    \"SSH<\/p>\n
    Nast\u0119pnie wydaj polecenie:<\/p>\n
     systemctl restart ssh<\/pre>\n
    To koniec konfiguracji. Je\u015bli wszystko dzia\u0142a, mo\u017cesz by\u0107 z siebie zadowolony :).<\/p>\n
    Podsumowuj\u0105c<\/h2>\n
    Logowanie za pomoc\u0105 certyfikatu\/klucza niesie ze sob\u0105 sporo zalet. Najwi\u0119ksz\u0105 z nich jest bardzo du\u017ce zwi\u0119kszenie poziomu zabezpiecze\u0144. Od momentu w\u0142\u0105czenia tego rodzaju autoryzacji serwer nie b\u0119dzie nara\u017cony m.in. na ataki brute-force czy s\u0142ownikowe, gdy\u017c \u017cadnego has\u0142a po prostu nie b\u0119dzie. Metody autoryzacji za pomoc\u0105 pary kluczy publiczny\/prywatny obecnie z\u0142ama\u0107 si\u0119 nie da. Poza tym maj\u0105c kilka serwer\u00f3w, nie musisz pami\u0119ta\u0107 has\u0142a do \u017cadnego z nich. Wystarczy, \u017ce na ka\u017cdy przekopiujesz sw\u00f3j klucz publiczny. Od tego momentu do ka\u017cdego serwera b\u0119dziesz m\u00f3g\u0142 si\u0119 logowa\u0107 za pomoc\u0105 tego samego klucza, a bezpiecze\u0144stwo pozostanie na tym samym \u2013 wysokim \u2013 poziomie.<\/p>\n
    Je\u015bli nie pope\u0142nisz \u017cadnego b\u0142\u0119du, kt\u00f3ry powodowa\u0142by wyciek klucza prywatnego zapisanego na twoim komputerze do os\u00f3b trzecich, mo\u017cesz by\u0107 pewien \u017ce nikt niepowo\u0142any nie zaloguje si\u0119 na tw\u00f3j serwer za pomoc\u0105 ssh.<\/p>\n
    Gdyby\u015b zauwa\u017cy\u0142 jakie\u015b nie\u015bcis\u0142o\u015bci, \u015bmia\u0142o poinformuj o tym w komentarzu :). W wypadku, gdybym nie wspomnia\u0142 o jakim\u015b fakcie, kt\u00f3ry uwa\u017casz za istotny, napisz komentarz. Do zobaczenia. Mi\u0142ego dnia\/nocy :).<\/p>\n","protected":false},"excerpt":{"rendered":"
    Czas czytania:<\/span> 7<\/span> minut<\/span><\/span> Zabezpieczenie zdalnego dost\u0119pu do serwera jest niezmiernie wa\u017cne. Atakuj\u0105cy, hackerzy i crackerzy tylko czekaj\u0105 na to, a\u017c zrobisz jeden malutki b\u0142\u0105d, kt\u00f3ry pozwoli im na do\u0142\u0105czenie twojego VPS-a czy dedyka do …<\/p>\n","protected":false},"author":1,"featured_media":461,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[27,29],"tags":[63],"_links":{"self":[{"href":"https:\/\/www.kompikownia.pl\/index.php\/wp-json\/wp\/v2\/posts\/443"}],"collection":[{"href":"https:\/\/www.kompikownia.pl\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kompikownia.pl\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kompikownia.pl\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kompikownia.pl\/index.php\/wp-json\/wp\/v2\/comments?post=443"}],"version-history":[{"count":10,"href":"https:\/\/www.kompikownia.pl\/index.php\/wp-json\/wp\/v2\/posts\/443\/revisions"}],"predecessor-version":[{"id":1294,"href":"https:\/\/www.kompikownia.pl\/index.php\/wp-json\/wp\/v2\/posts\/443\/revisions\/1294"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kompikownia.pl\/index.php\/wp-json\/wp\/v2\/media\/461"}],"wp:attachment":[{"href":"https:\/\/www.kompikownia.pl\/index.php\/wp-json\/wp\/v2\/media?parent=443"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kompikownia.pl\/index.php\/wp-json\/wp\/v2\/categories?post=443"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kompikownia.pl\/index.php\/wp-json\/wp\/v2\/tags?post=443"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}