Вопрос Нужен ли ключ ssh id_rsa?


Я столкнулся с этой проблемой пару раз при создании серверов сборки с проверкой ключа.

Мне было интересно, есть ли у кого-нибудь еще опыт. У меня есть несколько ключей для моего текущего пользователя, которые могут подключаться к разным машинам. Пусть говорят machine1 и machine2. Я вставил свой открытый ключ в свой файл authorized_keys. Первый, который я назвал первым ключом id_rsa и вторым ключом.

Когда я пытаюсь подключиться к bender, я получаю следующий вывод с моим подробным подключением ssh

debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey
debug1: Next authentication method: publickey
debug1: Trying private key: /home/bozo/.ssh/.ssh/identity
debug1: Trying private key: /home/bozo/.ssh/.ssh/id_rsa
debug1: Trying private key: /home/bozo/.ssh/id_dsa
debug1: No more authentication methods to try.
Permission denied (publickey).

Он предлагает только ключ id_rsa, как вы можете видеть выше. Это верно? Если да, то почему? Как мне получить больше ключей? Я знаю, что это проблема, которую я вижу с перерывами, потому что у меня дома у меня много ключей без особых проблем.

Я также хотел бы получить обзор того, как паб и частные ключи взаимодействуют с клиентом и сервером. Я думал, что у меня довольно приличная идея, но, видимо, я чего-то не хватает.

Пожалуйста и спасибо.


110
2018-03-17 15:37


происхождения




ответы:


По умолчанию ssh ищет id_dsa а также id_rsa файлы. Ключи не обязательно должны быть названы так, вы можете назвать это mykey точно также, или даже разместить его в другом каталоге. Однако, если вы выполните одно из этих действий, вам нужно явно указать ключ в команде ssh следующим образом:

ssh user@server -i /path/to/mykey

Если команда не принимает -i, например. sshfs, использовать IdentityFile опция:

sshfs -o IdentityFile=/path/to/mykey user@host:/path/on/remote /mountpoint

Как это работает

При генерации ключа вы получите два файла: id_rsa (закрытый ключ) и id_rsa.pub (открытый ключ). Как показывают их имена, секретный ключ должен храниться в секрете, а публичный ключ может публиковаться публично.

Аутентификация с открытым ключом работает с открытым и закрытым ключом. У клиента и сервера есть свои ключи. При установке openssh-server открытые и закрытые ключи сервера генерируются автоматически. Для клиента вам придется делать это самостоятельно.

Когда вы (клиент) подключаетесь к серверу, обмениваются открытыми ключами. Вы получите серверы один, а сервер ваш. При первом получении открытого ключа сервера вас попросят принять его. Если этот открытый ключ изменяется с течением времени, вы будете предупреждены, потому что происходит возможная атака MITM (Человек в середине), перехватывая трафик между клиентом и сервером.

Сервер проверяет, разрешено ли вам подключение (определенное в /etc/ssh/sshd_config), и если ваш открытый ключ указан в ~/.ssh/authorized_keys файл. Возможные причины отказа публичного ключа:

  • /etc/ssh/sshd_config:
    • AllowUsers или AllowGroups , но ваш пользователь сервера не указан в списке групп или пользователей (по умолчанию не определен, не запрещается вход в систему пользователям или группам).
    • DenyUsers или DenyGroups и вы находитесь в списке пользователей или групп.
    • Вы пытаетесь войти в систему как root, но PermitRootLogin для No (по умолчанию yes).
    • PubkeyAuthentication для No (по умолчанию yes).
    • AuthorizedKeysFile устанавливается в другое место, а открытые ключи не добавляются в этот файл (по умолчанию .ssh/authorized_keys, относительно домашней директории)
  • ~/.ssh/authorized_keys: ваш открытый ключ не добавляется в этот файл (обратите внимание, что этот файл читается как пользователь root)

Использование нескольких клавиш

Нередко использовать несколько ключей. Вместо запуска ssh user@host -i /path/to/identity_file, вы можете использовать файл конфигурации, ~/.ssh/config,

Обычными настройками являются IdentityFile (ключи) и порт. Следующая конфигурация будет проверять «id_dsa» и «bender» только при подключении ssh youruser@yourhost:

Host yourhost
   IdentityFile ~/.ssh/id_dsa
   IdentityFile ~/.ssh/bender

Если вы опустите Host yourhost, настройки будут применяться ко всем соединениям SSH. Другие параметры также могут быть указаны для этого совпадения с хостом, например User youruser, Port 2222и т. д. Это позволит вам соединиться со стенографией ssh yourhost вместо ssh -p2222 youruser@yourhost -i ~/.ssh/id_dsa -i ~/.ssh/bender,


136
2018-03-17 15:58



почему мне нужно указать ключ? все дело в том, чтобы я мог ssh на машине легче. - myusuf3
@StevenRoose от ssh_config(5): Имя файла может использовать синтаксис тильды для ссылки на домашний каталог пользователя или один из следующих escape-символов: «% d» (домашний каталог локального пользователя), «% u» (локальное имя пользователя), «% l» (локальный имя хоста), '% h' (имя удаленного хоста) или '% r' (имя удаленного пользователя). Невозможно указать дикие карты, но это должно быть достаточно удобно, я думаю. Имейте в виду, что сервер должен проверять каждую отправленную вами клавишу, поэтому лучше указывать меньше ключей. Подстановочные знаки на хосте работают, см. Снова страницу руководства ssh_config(5), - Lekensteyn
@therobyouknow Вам не нужно создавать уникальную пару ключей для каждой машины. Обычно у вас есть несколько ключей и добавьте открытый ключ одного из ключей к .ssh/authorized_keys файл на удаленных компьютерах. Если вы используете стандартный .ssh/id_rsa имя файла (или id_dsa, id_ecdsa или недавний id_ed25519), тогда ssh попытается выполнить это автоматически, и вам не нужно указывать IdentityFile в вашей конфигурации (или -i path/to/id_file параметр для ssh). - Lekensteyn
Мне нравятся ответы, которые выходят за рамки требуемых деталей и не торопятся объяснять концепцию. Великолепная работа! +1 - user2490003
@landed Это хост SSH-сервера (это может быть IP-адрес или DNS-имя). Я попытался прояснить этот раздел, надеюсь, это поможет. - Lekensteyn


Мой любимый метод позволяет автоматически выбирать закрытый ключ

IdentityFile ~/.ssh/%l_%r@%h_id_rsa

SSH заменит% l местным именем машины,% r с удаленным именем пользователя и% h с удаленным хостом, поэтому, если бы я хотел подключиться с моего компьютера с именем foo к bar как пользователь, я запускаю:

ssh bar

И ssh автоматически будет использовать:

~/.ssh/foo_user@bar_id_rsa

Так как локальный хост также хранится, это позволяет использовать домашние каталоги, разделяемые по NFS (по разному ключу на машину!) Или даже определить, на какой машине должен был быть ключ ...


30
2018-02-19 18:54





Учитывая комментарий StevenRoose, для определения многих ключей требуется больше времени, и я, случается, играю с большим количеством клавиш, я хотел бы предложить свое личное решение.

Я создаю символическую ссылку на ключ, который я хочу использовать в то время, и поскольку это изменяется редко, в зависимости от того, над каким проектом я работаю, я доволен этим.

Здесь я связан с моими ключами для машин под управлением виртуального бокса:

$ cd .ssh/
$ ln -s adam_vbox-id_rsa.pub id_rsa.pub
$ ln -s adam_vbox-id_rsa id_rsa

$ ls -l
total 12
-rw------- 1 adam adam 1675 2013-10-04 02:04 adam_vbox-id_rsa
-rw-r--r-- 1 adam adam  396 2013-10-04 02:04 adam_vbox-id_rsa.pub
lrwxrwxrwx 1 adam adam   16 2013-10-04 02:17 id_rsa -> adam_vbox-id_rsa
lrwxrwxrwx 1 adam adam   20 2013-10-04 02:17 id_rsa.pub -> adam_vbox-id_rsa.pub
-rw-r--r-- 1 adam adam 3094 2013-10-04 02:09 known_hosts

Можно также добавить очень быстрый скрипт для перехода на другой набор без необходимости вручную вводить пер снова.

Опять же, это не решение только для двух ключей, но для большего числа оно может быть работоспособным.


0
2017-10-04 14:43



Я просто добавляю псевдоним в bash_profile для каждого сервера, с которым я работаю. Так что для сервера с именем bob у меня просто есть это ... alias bob = "ssh bob.example.com -l pete -i / path / to / key" - тогда я просто набираю bob - и я нахожусь! - Peter Bagnall
В то время как иногда проще «сделать все так, как вы уже знаете», есть более простые подходы при настройке ключей .ssh / configs и хостов. Этот комментарий направлен как на комментарий, так и на комментарий @ Peter-Bagnall - Crossfit_and_Beer