Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

--- linux:klic_misto_hesla [2015/04/03 09:28] – Hever
+++ linux:klic_misto_hesla [2015/04/14 15:37] (aktuální) – [Umístění veřejného klíče na server] Hever
@@ Řádek 1: / Řádek 1: @@
-====== Klíč místo hesla pro SSH ======
+====== Přihlašování na SSH pomocí klíče ======
 [[:sifrovani_kryptografie|Šifrování - kryptografie]]
-Přihlašování na SSH pomocí klíče je nejbezpečnější z mnoha metod, použitelných s OpenSSH. Už pro svou délku jsou mnohem obtížněji prolomitelné hrubou silou.
+Přihlašování na [[SSH]] pomocí klíče je nejbezpečnější z mnoha metod, použitelných s OpenSSH. Už pro svou délku jsou klíče mnohem obtížněji prolomitelné hrubou silou než hesla.
-===== Nástin principu =====
+===== Princip =====
 Klient se serveru představí a žádá o komunikaci. Pokud má server u sebe uložený veřejný klíč toho kdo se představil, zašifruje jím nějaká data a pošle je klientovi. Ten je díky svému tajnému soukromému klíči jako jediný dokáže rozluštit a pošle zpět. Server díky tomu ví, že klient je skutečně ten za koho se vydává a je ověřený.
@@ Řádek 13: / Řádek 13: @@
   mkdir ~/.ssh &&  chmod 700 ~/.ssh
-A vygenerovat do souborů veřejný a soukromý klíč (pokud klient svůj bezpečně uchovávaný klíč ještě nemá)
+**Vygenerování** do souborů veřejný a soukromý klíč (pokud klient svůj bezpečně uchovávaný klíč ještě nemá)
   ssh-keygen
@@ Řádek 19: / Řádek 19: @@
   # specifikování typu, vychozi a doporuceny je rsa
   ssh-keygen -t rsa
-  # specifikování delky, vychozi a doporuceny je rsa
+  # specifikování delky, vychozi a současně dostatečný je 2048
-  ssh-keygen -b 2048
+  ssh-keygen -b 4096
 Budeme dotázání kam klíč uložit (nabízené výchozí místo je nejvhodnější), a na passphrase - přístupové heslo.
+Vygeneruje a uloží se klíč do ''~/.ssh'' (ve windows je to ''c:/Users/myUserName/.ssh''). Vytvoří soubory ''id_rsa'' a ''id_rsa.pub'' (privátní a veřejný). Privátní je nutné si střežit jako oko v hlavě, veřejný rozdávat. Pokud existuje klíč (tzn. soubor ''id_rsa'') v adresáři ''$HOME/.ssh'', aplikace ho obvykle rozpoznají a automaticky použijí, takže k němu není potřeba specifikovat cestu.
 ==== Passphrase - přístupové heslo ====
@@ Řádek 28: / Řádek 30: @@
 Heslo lze nezadávat - to dává smysl, pokud se je potřeba provádět automatizované ověřování identity bez interaktivity uživatele.
+Osobní klíč by měl být zašifrovaný silným heslem, doporučuje se 10 až 30 znaků.
 ===== Umístění veřejného klíče na server =====
-Veřejný klíč klienta je potřeba přidat na server do souboru ''~/.ssh/authorized_keys''
+Veřejný klíč klienta je potřeba **přidat na server** do souboru ''~/.ssh/authorized_keys''
 <code>
@@ Řádek 44: / Řádek 48: @@
 </code>
-''ssh-keygen'' - vygeneruje a uloží klíč do ''~/.ssh'' (ve windows je to ''c:/Users/myUserName/.ssh''). Vytvoří soubory ''id_rsa'' a ''id_rsa.pub'' (privátní a veřejný). Privátní je nutné si střežit jako oko v hlavě, veřejný rozdávat. Pokud existuje klíč (tzn. soubor ''id_rsa'') v adresáři ''$HOME/.ssh'', aplikace ho obvykle rozpoznají a automaticky použijí, takže k němu není potřeba specifikovat cestu.
+**ověření funkčnosti**
+<code>
-Ověření funkčnosti např.
   ssh uzivatel@domena.cz ls
-Pokud klíč nemá standartní umístění
+  # pokud klíč nemá standartní umístění
   ssh -i cesta/ke/klici/klic uzivatel@domena.cz
+</code>
+----
+==== Troubleshooting ====
+https://help.ubuntu.com/community/SSH/OpenSSH/Keys#Troubleshooting
+Možný problém v nastavených právech domovského a .ssh adresáře.
+  chmod 700 ~/.ssh && chmod 600 ~/.ssh/authorized_keys && chmod go-w ~
-===== Délka klíče =====
+Princip přihlašování klíčem patří k jinému princpitu kryptografie než přihlašování heslem. Klíče http://forum.root.cz/index.php?topic=9660.msg104717#msg104717
-Poté se klíč určuje počtem bitů, alespoň 2048 je dobrý nápad (čím budou výkonější počítače, délka se bude zvětšovat).

La'hev

Uživatelské nástroje

Nástroje pro tento web

Rozdíly

Nástroje pro stránku