Logowanie do SSH za pomocą kluczy zwiększa znacząco bezpieczeństwo serwera i gwarantuje, że tylko osoby posiadające plik z kluczem mogą wejść na serwer. Dziś najpopularniejszy rodzaj ataku na serwer SSH to brutal force – wpisywanie słownikowych haseł, co stanowi problem przy dużej ilości kont użytkowników na serwerze.
Plik klucza użytkownik generuje sam programem PuTTYgen, nie wymaga on instalacji:
http://the.earth.li/~sgtatham/putty/latest/x86/puttygen.exe. Musimy wygenerować dwa pliki, jeden wgramy na serwer, drugi z hasłem mamy „przy sobie”.
Procedura:
- Kliknąć GENERATE
- Poruszając myszką w pustym obszarze generujemy liczby losowe potrzebne dla klucza
- Kopiujemy cały klucz publiczny widoczny w górnej części
- Zapisujemy go w pustym pliku notatnika pod nazwą „authorized_key” (bez rozszerzenia). Zwróć uwagę, czy skopiowałeś cały ciąg znaków, plik może zawierać tylko jedną linijkę. Nie wolno dopisywać do niego innych znaków (np. spacji)
- Na serwerze (przez FTP) w swoim katalogu domowym tworzymy podkatalog
1.ssh
(kropka oznacza ukryty katalog)
- Wgrywamy do tego katalogu plik „authorized_key”
- Na chwilę wracamy do programu PuTTYgen, w którym wpisujemy dwa razy to samo hasło, jako „Passphrase”
- Musimy jeszcze wygenerować plik, który potem potrzebujemy mieć przy sobie w czasie logowania, w tym celu klikamy „Save Private Key” – to będzie nasz klucz *.ppk, który warto mieć „przy sobie”.
Procedura instalacji opisana jest też na stronie :Instalacja kluczy w SSH, łącznie z konfiguracją serwera SSH.
Najprostszy sposób łączenia przez Putty i WinSCP:
- Pobieramy i włączamy program Pageant z pakietu: ze strony PuTTY (ważne, aby zainstalować cały pakiet, bo potem system nie widzi powiązań)
- Uruchamiamy go (pojawi się jako TrayIcon przy zegarku)
- Klikamy ADD Key
- Podajemy lokalizację pliku prywatnego *.ppk (tego, którego mamy mieć przy sobie)
- Wprowadzamy poprawne hasło ustawione przy generowaniu klucza (PassPhrase)
- Klucz pojawia się na liście, od tej pory możemy używać PuTTY i WinSCP przez SSH bez podawania haseł, jedynie przy pierwszym uruchomieniu Pageant będzie trzeba wpisać hasło Passphrase