Fórum Root.cz
Hlavní témata => Server => Téma založeno: fotka 12. 11. 2014, 16:05:18
-
Pro bezheslový přístup přes SSH se vygeneruje SSH veřejný klíč a vygeneruje se do jakého souboru pravděpodobně, když mám Redhat, CentOS?
Dále použiju ssh-copy-id abych to nahrál ten klíč na jiný server ke kterému chci mít bezheslový přístup? a to se nahraje do jakého souboru na tom vzdáleném serveru?
děkuji
-
to si uz delas srandu, ze ano?
-
Pro bezheslový přístup přes SSH se vygeneruje SSH veřejný klíč a vygeneruje se do jakého souboru pravděpodobně, když mám Redhat, CentOS?
Dále použiju ssh-copy-id abych to nahrál ten klíč na jiný server ke kterému chci mít bezheslový přístup? a to se nahraje do jakého souboru na tom vzdáleném serveru?
děkuji
:o
http://lmgtfy.com/?q=ssh-keygen
-
Zatím bez odpovědi
-
Pokud se nepletu, tak soubor s klíčem (resp. jeho název a cesta) se předává generátoru jako parametr (jsem líný to teď hledat, nicméně manuálová stránka to bude vědět).
Ten veřejný klíč se dává do $HOME/.ssh/auhtorized_keys na straně serveru.
-
Cesta k veřejnému klíči na serveru je nakonfigurována v AuthorizedKeysFile v souboru sshd_config. Cesta s privátním klíčem na klientovi je nakonfigurována v IdentityFile v souboru ssh_config, dá se určit také parametrem -i při spuštění ssh.
Všechny tyhle informace se dají velice snadno najít v manuálových stránkách.
-
kdyz se vygeneruje:
tak vygeneruje se do souboru pro ssh verejny klic
presne jmeno souboru se neda bohuzel zjistit, protoze:
- ssh-keygen se te nepta kam to ulozit ani nezobrazuje cestu nebo jmeno prednastaveneho
- se o tom nezminuje manual pro ssh-keygen
- adresar pro config ssh se jmenuje nejak divne
- v google se o tom neda nic najit
kdyz pouzijes ssh-copy-id:
tak se nahraje do souboru pro verejne klice
opet presne jmeno se neda zjistit protoze:
- se o tom nezminuje manual ssh-copy-id
- adresar pro config ssh se jmenuje nejak divne
- v google se o tom neda nic najit
-
Část manuálové stránky pro ssh-keygen:
FILES
~/.ssh/identity
Contains the protocol version 1 RSA authentication identity of the user. This file should not be readable by anyone but the user. It is possible to specify a passphrase
when generating the key; that passphrase will be used to encrypt the private part of this file using 3DES. This file is not automatically accessed by ssh-keygen but it is
offered as the default file for the private key. ssh(1) will read this file when a login attempt is made.
~/.ssh/identity.pub
Contains the protocol version 1 RSA public key for authentication. The contents of this file should be added to ~/.ssh/authorized_keys on all machines where the user wishes
to log in using RSA authentication. There is no need to keep the contents of this file secret.
~/.ssh/id_dsa
~/.ssh/id_ecdsa
~/.ssh/id_rsa
Contains the protocol version 2 DSA, ECDSA or RSA authentication identity of the user. This file should not be readable by anyone but the user. It is possible to specify a
passphrase when generating the key; that passphrase will be used to encrypt the private part of this file using 3DES. This file is not automatically accessed by ssh-keygen
but it is offered as the default file for the private key. ssh(1) will read this file when a login attempt is made.
~/.ssh/id_dsa.pub
~/.ssh/id_ecdsa.pub
~/.ssh/id_rsa.pub
Contains the protocol version 2 DSA, ECDSA or RSA public key for authentication. The contents of this file should be added to ~/.ssh/authorized_keys on all machines where
the user wishes to log in using public key authentication. There is no need to keep the contents of this file secret.
Průběh z generování klíče (bez parametrů) obsahuje jména souborů:
Generating public/private rsa key pair.
Enter file in which to save the key (/home/testuser/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/testuser/.ssh/id_rsa.
Your public key has been saved in /home/testuser/.ssh/id_rsa.pub.
v parametrech pro ssh-keygen lze zadat umístění vygenerovaných souborů ...
-
Fotka, proboha, co jsme ti udelali? O tomhle musi existovat nejmene milion clanku, tusim, ze nejaky byl i tady na rootu.
-
Cesta k veřejnému klíči na serveru je nakonfigurována v AuthorizedKeysFile v souboru sshd_config. Cesta s privátním klíčem na klientovi je nakonfigurována v IdentityFile v souboru ssh_config, dá se určit také parametrem -i při spuštění ssh.
Všechny tyhle informace se dají velice snadno najít v manuálových stránkách.
Mám to tam zakomentované:
sshd_config
#AuthorizedKeysFile .ssh/authorized_keys
tento soubor obsahuje 2 klíče jeden pro lokální server a druhý pro externí :-\
ssh_config
# IdentityFile ~/.ssh/identity
# IdentityFile ~/.ssh/id_rsa
# IdentityFile ~/.ssh/id_dsa
.ssh/id_rsa obsahuje jeden PRIVATE KEY
ostatní 2 soubory neexistují..
nevím tedy co si o tom mám myslet. přijde mi že pro ten můj přístup jsou důležité ty dva v tom ".ssh/authorized_keys", ale nevím proč tam není jen klíč externího serveru
-
prosím Vás, pokud mám skupinu 9 serverů a každý má v .ssh/authorized_keys asi 8 klíčů (aby každý ze serverů mohl přistupovat na ostatní), tak když budu instalovat 10tý server, tak jen skopíruji ten .ssh/authorized_keys z jednoho ze serverů a automaticky získám bezheslový přístup na všechny ostatní? nebo to tak nefunguje?
-
Mám to tam zakomentované:
Takže se použije výchozí nastavení.
#AuthorizedKeysFile .ssh/authorized_keys
tento soubor obsahuje 2 klíče jeden pro lokální server a druhý pro externí :-\
Ne, soubor .ssh/authorized_keys neobsahuje klíče pro žádný server.
nevím tedy co si o tom mám myslet.
Nemyslete si o tom nic. Přečtěte si nápovědu.
-
Precti si pozorne tohle: https://help.ubuntu.com/community/SSH/OpenSSH/Keys
Jestli necemu z toho nebudes rozumet, tak se zeptej, radi poradime.
-
vygenerovat to umim a přenést pomocí ssh-copy-id umim, jen nevim jestli můžu rozkopírovat ty authorized_keys soubory z jednoho serveru na druhý pomocí rsync
jde mi o to abych to nemusel dělat manuálně když je víc serverů, aby to bylo pomocí skriptu
-
Kdybyste si o tom konečně něco přečetl a aspoň trochu to pochopil, tak byste to věděl.
-
Fotko... Dostal jsi odkazy kde to je na netu, dostal jsi informaci, kde to je v manuálových stránkách, dostal jsi kusy vykopírované dokumentace ap. Vše na co se ptáš máš přímo před nosem. Ale tobě to zdá se nestačí a "nutíš" diskutující k tomu, aby to udělali za tebe. To si myslím nebude problém, domluv si s kýmkoli co za to budou chtít, myslím si, že od té doby co byla vymyšlena objednávky a pracovní ap. smlouvy a také peníze, není problém domluvit si, aby pro tebe někdo něco udělal, když to sám neumíš, nebo z nějakého důvodu nechceš dělat ty sám.
-
vygenerovat to umim a přenést pomocí ssh-copy-id umim, jen nevim jestli můžu rozkopírovat ty authorized_keys soubory z jednoho serveru na druhý pomocí rsync
Ok, kazdy ma dostat druhou sanci.
Precti si pozorne tohle: https://help.ubuntu.com/community/SSH/OpenSSH/Keys
Jestli necemu z toho nebudes rozumet, tak se zeptej, radi poradime.
-
vygenerovat to umim a přenést pomocí ssh-copy-id umim, jen nevim jestli můžu rozkopírovat ty authorized_keys soubory z jednoho serveru na druhý pomocí rsync
jde mi o to abych to nemusel dělat manuálně když je víc serverů, aby to bylo pomocí skriptu
LDAP?
(Radši to udělej pomocí scp, nastavit a zprovoznit LDAP by nejspíš znamenalo padesát tisíc dalších dotazů)
-
prosím Vás, pokud mám skupinu 9 serverů a každý má v .ssh/authorized_keys asi 8 klíčů (aby každý ze serverů mohl přistupovat na ostatní), tak když budu instalovat 10tý server, tak jen skopíruji ten .ssh/authorized_keys z jednoho ze serverů a automaticky získám bezheslový přístup na všechny ostatní? nebo to tak nefunguje?
Pokud provozuješ OpenSSH 5.4 a novější, tak vůbec nemusíš používat nějaký pochybný authorized_keys/know_hosts a rozkopírovávat samostanté veřejné klíče účtů na X serverů při přidání jednoho klíče. Ověřování jde dělat centralizovaně pro klienty i servery pomocí jednoho klíče, který plní podobnou roli, jako certifikační autorita v klasické PKI infrastruktuře. Jen se musí rozkopírovat 1x veřejná část tohoto CA-SSH klíče na všechny servery/klienty a už se vzájemně podepsané klíče serverů i klientů ověří automaticky. Při přidání nového serveru tak jen podepíšu vygenrovaný klíč toho nového servru tímto SSH-CA klíčem a na ostntí stroje vůbec nešahám.
Jak to funguje a používat je popsáno i česky přímo zde na serveru:
http://www.root.cz/clanky/certifikaty-v-openssh/
-
Pokud provozuješ OpenSSH 5.4 a novější, tak vůbec nemusíš používat nějaký pochybný authorized_keys/know_hosts
Nehledě na to, že v jakékoliv ne-prehistorické verzi můžeš použít PAM a autentizovat se čímkoli. Třeba kerberem nebo modulem pam_postovni_holub :)
-
Nu, a pokud se s tím nechce moc párat tak může použít jednu sadu normálních sSH klíčů stejnou na všech serverech a nemusí nic kopírovat, jen na nově přidaný server nahraje tu sadu klíčů a má to. Při prolomení jendoho serveru stejně bud emuset měnit vše nebo kopírovat revokační listy atd.
-
Prisaham na mou dusi, na psi usi, ze jsem tento dotaz rozklikl jen po precteni predmetu, abych se podival, jestli je to Fotka. ;)
-
Chlapi kura, tak kde jsou ty klice? :D
-
nemozete niekto tie kluce vygenerovat a rozdistribuovat zanho?
-
Toto je lepšie ako diskusia o SystemD. Fotka, máš moje uznanie.
-
jen ho nechte az se to podela rad to za nejakou to korunu opravim ;-)
Doporucim kolego abyste si to nastudoval poradne. ne ze by to bylo tezke ale je treba tomu rozumet nebo si v tom udelate bordel
ssh-keygen bez parametru ulozi private and public key do ~/.ssh/id_rsa an ~/.ssh/id_rsa.pub pri pouziti rsa sifry
vnitrek .pub soboru date to ~/.ssh/authorized_keys nebo do ~/.ssh/authorized_keys2 toho uctu kam mate mit pristup
vse je samozrejmne pravda pokud mate defaultni sshd and ssh config....
pokud si v tom udelate bordel nebudete vedet kdo ma kam pristup
z toho jak pokladate otazky a na co se vlastne ptate bych vam doporucil to nedelat radeji nekomu zaplatte at je to udelane poradne..
-
děkuji za rady, už jsem na to přišel, zde příspěvek přede mnou to docela pěkně vysvětluje kde jsou ty klíče a co kam patří. děkuji