Conexão com chaves assimétricas sem uso de senha em servidor sshd

rbn_jesus

Esse artigo explica como se conectar a um servidor remoto através de ssh sem a necessidade de senha. Usaremos criptografia assimétrica para a autenticação, ou seja, chaves pública e privada.

[ Hits: 23.814 ]

Por: Ricardo Brito do Nascimento em 12/04/2007 | Blog: http://brito.blog.incolume.com.br

0 0

Denuncie Favoritos Indicar Impressora

Configuração

PASSO 2 - Distribuir a chave pública

Ambas as chaves pública/privada serão criadas no diretório que foi especificado no passo anterior. Respectivamente /home/admin/.ssh/id_rsa.pub e /home/admin/.ssh/id_rsa. A chave privada '/home/admin/.ssh/id_rsa' é a base da segurança, nunca a distribua!

A chave pública '/home/admin/.ssh/id_rsa.pub' é a que deve ser distribuída para que tenha a validação autenticada do usuário.

$ scp ~/.ssh/id_rsa.pub Servidor_Remoto:/tmp
ou
$ scp ~/.ssh/id_rsa.pub Servidor_Remoto:/home/admin

Ou também pode ser utilizado um pendrive, disquete, ou qualquer outra mídia para transportar a chave pública.

PASSO 3 - Configurando o SSH para trabalhar com a chave pública

O sshd trabalha verificando as chaves autorizadas no arquivo ~/ssh/authorized_keys. Então após distribuídas as chaves nas máquinas remotas deve-se fazer a sua configuração para começar a utilizar autenticação assimétrica. Há duas maneiras para que façamos a configuração.

1. Configuração para apenas 01 validação RSA e/ou DSA:

RSA:

$ mv /tmp/id_rsa.pub ~/.ssh/
$ ln -s ~/.ssh/id_rsa.pub ~/.ssh/autorized_keys

Ou também:

$ mv /tmp/id_rsa.pub ~/.ssh/autorized_keys

DSA:

$ mv /tmp/id_dsa.pub ~/.ssh/
$ ln -s ~/.ssh/id_rsa.pub ~/.ssh/autorized_keys2

Ou também:

$ mv /tmp/id_dsa.pub ~/.ssh/autorized_keys2

2. Configuração para vários usuários com validação RSA e/ou DSA:

RSA:

$ cat /tmp/id_rsa.pub >> ~/.ssh/autorized_key

DSA:

$ cat /tmp/id_dsa.pub >> ~/.ssh/autorized_key2

OBS: Execute o comando específico para chave que está em uso para cada usuário remoto.

Pronto!!! É só usar...

Página anterior

Páginas do artigo

1. Introdução
2. Configuração

Outros artigos deste autor

Gerenciando certificados A1 fornecidos pelo ICB-Brasil no navegador Chrome sobre Linux

Clonagem de Hardware Hotline em Software Livre

Proteção utilizando fail2ban contra ataques do tipo

Configurando proxy no shell

Encapsulamento de Apache com chroot

Leitura recomendada

Instalando gerenciador de projetos Redmine usando o PostgreSQL sobre o nginx

Balanceamento de carga com 2 links no MikroTik

Instalando o Blackbox

Squid com WCCP

Configuração de servidor DHCP no Debian Linux

Comentários

[1] Comentário enviado por y2h4ck em 12/04/2007 - 10:24h

Bom, não preciso nem comentar nada né

http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=1084&pagina=2

0 0

[2] Comentário enviado por removido em 12/04/2007 - 11:18h

Estou achando os artigos fraquinhos ultimamente. Acho que acabou o conceito de qualidade. :(

0 0

[3] Comentário enviado por y2h4ck em 12/04/2007 - 11:49h

Foi oque eu comentei no Artigo de NETCAT postado esses dias, os Moderadores não estão mais analisando criticamente os artigos, se o cara escreveu sem erro de ortografia ta publicado ....

Estou muito triste com o andamento do VOL... Fabio me perdoe, mas acho que vc tem que me dar razão, minhas críticas visam somente o melhor para o VOL.

0 0

[4] Comentário enviado por epgielow em 12/04/2007 - 17:32h

pois eh ...

0 0

[5] Comentário enviado por lacierdias em 13/04/2007 - 09:57h

Gente não vamos transformar o artigo do companheiro em discussão sobre qualidade e capacidade critica dos moderadores.
Gostaria de propor uma enquete sobre o assunto.

Uma coisa que venho observado é que nos artigos antigos não temos como fazer atualizações ou correções de configuração.
Queria saber se isso é possível.
Cada tutorial editado pelo autor entraria de novo para a fila de moderação como se fosse um artigo novo.

Assim acho que evitaríamos do autor de um artigo escreva outro para atualizar o primeiro e assim manteríamos tudo sempre atualizado.

Oq vcs acham?

Lacier Dias

0 0

[6] Comentário enviado por fabio em 13/04/2007 - 11:50h

Pô, até concordo que existem artigos que tem deixado a desejar, mas meu papel é filtrar somente o que não tem condições, a avaliação/julgamento do artigo fica mais por conta da comunidade, que pode votar e comentar.

Em fevereiro tivemos uma seqüência de artigos excelentes, esse mês ainda não engrenamos, mas isso não passa de coincidência. Porém com o acúmulo de tempo, a escassez de assuntos inéditos se atenua, visto que novidades tecnológicas são lançadas menos vezes que artigos no site, daí há essa tendência de assuntos repetidos.

Esse artigo aqui por exemplo possui um similar (o link que você indicou) que foi publicado em 2003, não vejo motivos para alarde com relação a isso, pelo contrário, o artigo de 2003 aparece lá atrás no índice de busca do google, enquanto que esse, por ser recente, lá na frente. Isso é bom pro site, que necessita de page views pra gerar receita de anúncio e se manter.

Falando sobre este artigo, ao que o texto se propõe, que é a autenticação sem chaves, a informação aqui contida está bem completa. Trata-se de um assunto simples e objetivo, não dá pra enrolar muito.

Concordo com suas críticas, mas não há mágica a se fazer. Os melhores artigos não são produzidos diariamente.

Um abraço,
Fábio

0 0

[7] Comentário enviado por demattos em 13/04/2007 - 21:03h

Achei interesante o artigo publicado, tenho este processo funcionando perfeitamente, valeu pela ajuda, e acredito que tem ajudado mais jente por ai, mas aproveitando vou deixar uma critica a aqueles que jugam os artigos de fraco por que estes nao fazem algo melhor para ajudar os iniciantes ou ja estao altos suficientes para somente jugar e nao mais contribuir, o o vivaolinux tem sido para mim um lugar de descubertas

t+

0 0

[8] Comentário enviado por super7 em 14/04/2007 - 11:38h

O artigo é excelente, existe um similar bem antigo. Nao vejo motivo para criticar nosso amigo que gastou seu tempo escrevendo, pq ele nao precisava escrever, ele ja usou isso na pratica e resolveu seu problema, ele somente ajudou. Portanto se vc acha que falta qualidade.... quem fa a qualidade nao é só ele que publicou, mas eu , voce e todos. Portanto alem de ficar escrevendo comentarios desnecessarios, publique artigos com algum conhecimento seu. Um abraço, Daniel

0 0

[9] Comentário enviado por y2h4ck em 14/04/2007 - 13:10h

super7, não acho que meu comentário seja desnecessário. Acho que foi bom, dar uma acordada na galera.

Se vc achou desnecessário beleza :)

0 0

[10] Comentário enviado por jhenrique em 30/04/2007 - 13:53h

Uma pequena contribuição: o nome do arquivo com a chave no host de destino deve ser ~/.ssh/authorized_keys ou ~/.ssh/authorized_keys2 (a menos que seja especificado outro nome em /etc/ssh/sshd_config).

Parabéns pelo Artigo. Ficou muito bom...

0 0

[11] Comentário enviado por rbn_jesus em 15/05/2007 - 09:05h

Obrigado jherique por sua contribuição! foi erro de digitação.

0 0

[12] Comentário enviado por rbn_jesus em 15/05/2007 - 09:06h

!!!RATIFICAÇÃO!!!
Onde está escrito autorized_keys ou autorized_keys2,
leia-se << authorized_keys >> ou << authorized_keys2 >>

Desculpas a todos

0 0