[BSD] Klucz RSA - co i jak

[Maliusek1]

Klucz RSA

 

1.Co to jest klucz RSA?

Pisząc najprościej, jest to wygenerowany klucz, a konkretnie algorytm, dzięki któremu zabezpieczymy jeszcze bardziej wejście przez ssh.

Zalety? Oczywiście znakomicie bezpieczne hasło, szybszy dostęp do ssh (nie trzeba za każdym razem wpisywać hasła), lepsze zabezpieczenie logowania do ssh.

 

2.Instalacja

Logujemy sie do ssh i wpisujemy:

cd /root/.ssh/ && ssh-keygen

Następnie :

 

Key passphrase: (możemy zostawić puste) klucz szyfrujący plik odpowieszialny za RSA

Enter file in which to save the key (/root/.ssh/id_rsa): zostawiamy najlepiej puste (domyślna lokalizacja, /root/.ssh/id_rsa)

Potem zatwierdzamy enterem i wpisujemy polecenie na zmianę nazwy pliku:

mv id_rsa.pub authorized_keys 

Następnie wpisujemy polecenie na edycję pliku i kopiujemy jego całą zawartość do pliku tekstowego na dysku (np. kluczyk.txt):

ee id_rsa

Pobieramy program puttygen.exe (dostępny w załączniku) i uruchamiamy.

Wchodzimy w menu "Conversions" i następnie Import Key:

Wskazujemy miejsce pliku do którego wkleiliśmy zawartość pliku id_rsa (w moim przypadku kluczyk.txt)

Po wskazaniu pliku klikamy w button "Save private key" i zapisujemy np. do C:/ lub moich dokumentów.

 

Po wygenerowaniu pliku z prywatnym kluczem otwieramy Putty.

Tworzymy standardowo połączenie wpisując IP, port, nazwę sesji.

Następnie otwieramy w lewym "drzewku" Connection --> SSH --> Auth:

W private key file for the authentication wskazujemy lokalizację wygenerowanego pliku, zapisujemy sesję i otwieramy.

Wpisujemy root i jeżeli nas zaloguje to znaczy, że wszystko wykonaliśmy pomyślnie.

 

Teraz, pasowałoby zablokować logowanie na zwykłe hasło, tak więc w konsoli wpisujemy polecenie na edycję pliku odpowiedzialnego za konfigurację ssh:

ee /etc/ssh/sshd_config

Ustawiamy odpowiednie linijki na takie:

PasswordAuthentication no
PermitEmptyPasswords no
UsePAM no

Jeżeli nie rozumiecie gdzie co i jak to wystarczy wkleić gotową zawartość config'a:

 

# $OpenBSD: sshd_config,v 1.81 2009/10/08 14:03:41 markus Exp $
# $FreeBSD: src/crypto/openssh/sshd_config,v 1.49.2.2.4.1 2010/12/21 17:09:25 kensmith Exp $

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options change a
# default value.

# Note that some of FreeBSD's defaults differ from OpenBSD's, and
# FreeBSD has a few additional options.

#VersionAddendum FreeBSD-20100308

#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

# The default requires explicit activation of protocol 1
#Protocol 2

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 1024

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile .ssh/authorized_keys

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# Change to yes to enable built-in password authentication.
PasswordAuthentication no
PermitEmptyPasswords no

# Change to no to disable PAM authentication
#ChallengeResponseAuthentication yes
ChallengeResponseAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

# Set this to 'no' to disable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
#UsePAM yes
UsePAM no

#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
#X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10
#PermitTunnel no
#ChrootDirectory none

# no default banner path
#Banner none

# override default of no subsystems
Subsystem sftp /usr/libexec/sftp-server

# Example of overriding settings on a per-user basis
#Match User anoncvs
# X11Forwarding no
# AllowTcpForwarding no
# ForceCommand cvs server

 

Pod koniec wpisujemy polecenie na restart ssh :

/etc/rc.d/sshd restart

 

Od tej chwili posiadamy zabezpieczone logowanie kluczem RSA.

Skan do puttygen.exe:

https://www.virustotal.com/file/43dd37b685cb853a012a4eecc0e3b045c19ec55136ea3a2faf08648bdd2e5093/analysis/

 

Pozdrawiam.

puttygen.zip

[Badar]

Haaa, wiedziałem, że to dasz po tym jak dalem tu o PF .

 

Graty Mario, Graty na coddersa się staraj i tutki pod programistykę pisz, huehue ;f

[SejBes]

No widzę że ktoś to wreszcie wstawił. Przydatne bo bezpieczniej przez plik niż przez hasło .

[Kaczolot16]

Nie lepiej poprostu dac na IP ?

[Badar]

Nie lepiej poprostu dac na IP ?

 

Wbije Ci na router, mam twoje IP + znam hasło i się wjebałem ;f .

 

Ten tutek uniemożliwia logowanie się na SSH po przez hasło, tylko i wyłącznie klucz.

 

Nie tylko dla root'a, ale i dla każdego innego usera.

 

SSHGuard, AutoSSH, PAM, RS'a, IP, PF i jako tako SSH chronisz

[AdminFreeBSD]

Bardzo dobrze opisane, według mnie logowanie na klucz RSA to zabezpieczenie, które MUSI mieć serwer dedykowany. Do tego zastosowanie hasła czyli PassPhrase do klucza = brak możliwości złamania SSH. Dodając jeszcze Firewall z odblokowanymi tylko portami ssh + game to twierdza nie do zdobycia A konfigurując takie zabezpieczenia, aż prosi się o tunel do MySQL.

 

Pozdrawiam autora - dobra robota

[szeler]

Witam

 

Nie posiadam tego pliku/katalogu .ssh to co zamiast niego wpisać?

[Maliusek1]

Witam

 

Nie posiadam tego pliku/katalogu .ssh to co zamiast niego wpisać?

 

Jeżeli nie masz katalogu /root/.ssh, to po prostu go stwórz i tam wygeneruj klucz.

Wydaję mi się jednak, że powinieneś posiadać taki katalog.

[AdminFreeBSD]

Komendą ls go na pewno nie zobaczysz bo katalogi z . na początku nazwy są ukryte. Można je zobaczyć poprzez ls -a. A tak btw. nie przejmuj się tym katalogiem i wcale nie musisz do niego wchodzić przed generowaniem kluczy. Klucze generują się domyślnie do katalogu .ssh w home directory aktualnie zalogowanego usera. Więc możesz być w dowolnym katalogu będąc zalogowanym na roota to ssh-keygen będzie podpowiadał ścieżkę /root/.ssh/ Jeśli nawet by nie było tego katalogu to po prostu podczas tworzenia kluczy zostanie on automatycznie założony. A jeśli chcesz ten sam klucz wykorzystać dla innego user bądź serwera kopiujesz plik authorized_keys do katalogu /home/user/.ssh/ lub na inny serwer i będzie działać.

 

Pozdrawiam

 

AdminFreeBSD

[PixelekCS]

Dobrze opisane + leci =)

[szeler]

A jak sie teraz zalogować do FTP?

[Badar]

A jak sie teraz zalogować do FTP?

 

Primo - w SFTP

 

Secendo - masz w winSCP podczas tworzenia sesji "plik klucza prywatnego"

[szeler]

Ok bo zawsze używałem FileZille

[Xyli]

Ja mogę tylko za pomocą tego klucza wejść na konto root, a na inne już nie mogę.

 

Disconnected: No supported authentication methods available (server sent: publickey)

Może ktoś pomóc z zalogowaniem na zwykłego użytkownika?

[Badar]

Ja mogę tylko za pomocą tego klucza wejść na konto root, a na inne już nie mogę.

 

Disconnected: No supported authentication methods available (server sent: publickey)

Może ktoś pomóc z zalogowaniem na zwykłego użytkownika?

 

Miszczu bo na koncie roota generowałeś klucz, czyli robiłeś to dla usera root .

 

Jako, że w konfigu SSH wyłączyłeś żądanie hasła, a ustawiłeś jedynie klucz - zalogujesz się tylko na root'a .

 

Ustaw z powrotem żądanie hasła i zaloguj na zwykłego usera, lub spróbuj zalogować bez tych zmian - też powinno się udać (oczywiście na osobnej sesji i głowy nie daję za tą metodę ;p)

 

Zapamiętaj każdy user = osobny klucz .

[KastielMt]

Dobra robota! przydało sie dzięki.

[AdminFreeBSD]

Miszczu bo na koncie roota generowałeś klucz, czyli robiłeś to dla usera root .

 

Jako, że w konfigu SSH wyłączyłeś żądanie hasła, a ustawiłeś jedynie klucz - zalogujesz się tylko na root'a .

 

Ustaw z powrotem żądanie hasła i zaloguj na zwykłego usera, lub spróbuj zalogować bez tych zmian - też powinno się udać (oczywiście na osobnej sesji i głowy nie daję za tą metodę ;p)

 

Zapamiętaj każdy user = osobny klucz .

 

Zaloguj się na roota. Zrób su nazwa_usera i robisz dla tego usera ssh-keygen, a dalej to samo jak dla roota w konfiguracji putty.

[Xyli]

Cytat

Miszczu bo na koncie roota generowałeś klucz, czyli robiłeś to dla usera root .

 

Jako, że w konfigu SSH wyłączyłeś żądanie hasła, a ustawiłeś jedynie klucz - zalogujesz się tylko na root'a .

 

Ustaw z powrotem żądanie hasła i zaloguj na zwykłego usera, lub spróbuj zalogować bez tych zmian - też powinno się udać (oczywiście na osobnej sesji i głowy nie daję za tą metodę ;p)

 

Zapamiętaj każdy user = osobny klucz .

 

Dziękuję, Mistrzu. Już działa

 

 

[BR3NDzik]

ZABEZPIECZAJ FLOURINE TEGO ASKARIALA, BO LADA MOMENT START