LM17 jako SSH server – 2. část

termV minulém díle jsme si z běžného LM17 vytvořili SSH server a naučili se, jak si pro bezpečné připojení pomocí šifrování DSA nebo RSA vytvořit privátní a veřejný klíč. Nyní si ukážeme jak se pomocí jediného privátního klíče budeme moci připojovat ke svému serveru odkudkoli. Stačí ho jen mít někde u sebe schovaný třeba na externím disku (flash).

Pokud ještě nemáme veřejný a privátní klíč vygenerovaný tak si je vygenerujeme. To můžeme provést přímo na serveru kam se budeme připojovat:

Příkaz terminálu:
ssh-keygen -t rsa -b 4096

 

SSH05

 

Vytvoříme /home/%username%/.ssh/authorized_keys a nakopírujeme do něj obsah /home/%username%/.ssh/id_rsa.pub. Dále provedeme editaci souboru authorized_keys tak, že nakonci za znakem „=“ smažeme informaci o uživateli a o počítači:

 

SSH06

 

nastavíme atributy:

Příkaz terminálu:
chmod 400 authorized_keys

 

SSH07

 

Zkusíme připojení sami na sebe:

 

SSH08

 

Pokud je vše OK zkopírujeme si privátní klíč id_rsa např. na flash a můžeme zkusit připojení z jiného pc:

 

SSH01

 

Při pokusu o připojení se nám objeví varování a je třeba upravit atributy na id_rsa takto:

Příkaz terminálu:
chmod 400 id_rsa

 

SSH02

 

Pokud zkusíme připojení znovu sice už můžeme zadate heslo, ale objeví se informace o zakázaném přístupu:

 

SSH03

 

Jde o to, že je důležité si uvědomit z jakého účtu na jaký se hlásíme. Pokud jsou názvy rozdílné nestačí jen IP adresa, ale je třeba rozšířit zápis i o jmého uživatele:

Příkaz terminálu:
ssh michal@10.0.0.32

 

SSH04

 

Nyní už jsme schopni se pomocí stejného privátního klíče připojit na svůj LM17 ssh server odkudkoli. Není to úžasné? 😀

Související články:
LM17 jako SSH server – 1. část
LM17 jako SSH server – 3. část
LM17 jako SSH server – 4. část
LM17 jako SSH server – 5. část
LM17 jako SSH server – 6. část
LM17 jako SSH server – 7. část
LM17 jako SSH server – 8. část

Štítky , , , , , , .Záložka pro permanentní odkaz.

7 reakcí na LM17 jako SSH server – 2. část

  1. segfault říká:

    Trochu mi vrtá hlavou, k čemu je dobré smazat informaci o uživateli a pc z authorized_keys.

    • Allconius říká:

      Ahoj, je to proto aby ses pak mohl přihlásit odkudkoli, pokud v tom authorized_keys necháš třeba mirek@mojepc a pak se zkusíš přihlásit z jablko@cizipc tak ti to ten certifikát nezchroustne protože očekává mirek@mojepc, alespon mi to nešlo, ale možná jsem měl někde botu, zkusím ještě otestovat 🙂

      • segfault říká:

        Je to v podstatě jenom komentář, který slouží pro jednoduchou identifikaci klíče. Jednoduše se pak dá konkrétní klíč smazat, aby nedošlo ke zneužití. Hlásit se můžeš odkudkoliv, protože na cílovém serveru se identifikuješ loginem a správným klíčem, bez ohledu na lokální účet.

        • Allconius říká:

          To zní logicky, díky 🙂 jsem se bál, že to nebude nikoho zajímat tak moc díky za reakci 😀

  2. KOLEGA říká:

    Jinak /home/%username% je v proměnné $HOME tedy nejlépe psané jako ${HOME} (složené závorky označují a vymezují název proměnné)

    • Allconius říká:

      Ahoj, no jsem to psal tak nějak s vizí, že by si to mohl vyzkoušet i začátečník, tak jsem tam raději nechal to /home/%username% aby si někdo nezačal vytvářet adresář /home/.ssh 🙂