Генерация ключей SSH в macOS Sierra (10.12) и High Sierra (10.13)

• Ключевые типы
• Генерация ключей

Из этого туториала вы узнаете, как создавать и защищать ключи SSH в macOS Sierra (10.12) и macOS High Sierra (10.13). Ключи SSH позволяют войти на ваш сервер без пароля. Они повышают удобство и безопасность благодаря большей устойчивости к атакам методом перебора.

SSH (Secure Shell) - это протокол, чаще всего используемый для удаленного управления и для передачи файлов, часто обозначаемый как sFTP (Secure File Transfer Protocol). При доступе к удаленному серверу, такому как Vultr VPS, рекомендуется использовать SSH с PKE (Обмен открытым ключом), который использует пару ключей, где открытый ключ предоставляется серверу, а закрытый ключ хранится на вашем компьютере.

Ключи SSH могут автоматически добавляться на серверы в процессе установки, добавляя ваши открытые ключи на панели управления Vultr. Вы можете управлять своими ключами SSH на этой странице . Важно помнить, что это только ваши открытые ключи (обычно обозначаемые как .pub), вы никогда не должны раскрывать свои личные ключи.

Ключевые типы

Существует несколько различных типов ключей, которые можно выбрать. Используйте -tаргумент при генерации, например ssh-keygen -t ed25519. Тип ключа ED25519, использующий сигнатуру эллиптической кривой, является более безопасным и более производительным, чем DSA или ECDSA. Большинство современных программ SSH (например, OpenSSH начиная с версии 6.5) поддерживают тип ключа ED25519, но вы все равно можете найти программное обеспечение, которое несовместимо, поэтому типом ключа по умолчанию по-прежнему является RSA.

Тип ключа по умолчанию - 2048-битный RSA, который обеспечивает хорошую безопасность и совместимость. Для более высокой безопасности вы можете выбрать больший размер ключа, используя -bаргумент при генерации, например, ssh-keygen -b 4096для создания 4096-битной пары ключей RSA.

Генерация ключей

Чтобы сгенерировать SSH-ключ, вам нужно открыть его Terminal.appв «Приложения> Утилиты> Терминал»

Чтобы создать 4096-битную пару ключей RSA, введите:

ssh-keygen -b 4096

Тогда вы увидите:

Generating public/private rsa key pair.
Enter file in which to save the key (/Users/username/.ssh/id_rsa): 

Нажатие Enter / Return сохранит вашу новую пару ключей в этом месте по умолчанию, что рекомендуется. Затем у вас будет возможность создать ключевую фразу, которая зашифрует ключ, чтобы его нельзя было использовать без авторизации. Использование ключевой фразы также рекомендуется.

Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in id_rsa.   
Your public key has been saved in id_rsa.pub.   
The key fingerprint is:
SHA256:0irBXp+xKwT5e0ZFklbEVkzxu0Bzv9PmvstFD5w6zlQ [email protected]   
The key's randomart image is: 
+---[RSA 4096]----+
|         =o++.   |
|        + + ..   |
|     . . +  o o  |
|   .o  .  .. + + |
|    ooo S.  . E o|
|   . oo+.+   + ++|
|    o..o+   + .o=|
|     .o o. + ..oo|
|       +.   o  ==|
+----[SHA256]-----+

На этом этапе ваша ключевая пара была создана и сохранена в ~/.ssh/id_rsa. Чтобы сделать ключ доступным для системы и сохранить ключевую фразу в системной цепочке для ключей, нам необходимо выполнить несколько дополнительных шагов. Обратите внимание, что это необходимо только в том случае, если вы не хотите запрашивать ключевую фразу каждый раз, когда она используется.

Добавить новую пару ключей в агент SSH

Введите ssh-add -K ~/.ssh/id_rsa. Затем вам будет предложено ввести фразу-пароль, и вы увидите следующее:

Identity added: id_rsa ([email protected])

Если вы хотите использовать этот ключ SSH для входа на уже созданный сервер, вы можете использовать ssh-copy-idинструмент для хранения открытого ключа на сервере, к которому вы хотите получить доступ.

Добавить новый ключ на удаленный сервер

Использование ssh-copy-id:

# Substitute your server IP
ssh-copy-id -i ~/.ssh/id_rsa [email protected]

Консоль запросит ваш пароль для входа, так как удаленный сервер еще не знает ваш ключ. Вы увидите следующее:

/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "id_rsa.pub"

Number of key(s) added:        1

Now try logging into the machine, with: "ssh '[email protected]'"
and check to make sure that only the key(s) you wanted were added.

Теперь вы можете попытаться войти на удаленный сервер, ssh [email protected]и вы должны быть подключены без запроса пароля.