Login da chave do SSH Pub sem senha

Navegue suas respostas
1

Estou configurando um servidor SSH no Ubuntu 14.04.1 Server Edition. O objetivo é usar somente autenticação por chave pública e permitir apenas certos nomes de usuários.

Minhas chaves públicas e privadas são criadas e uma senha é definida na chave privada. Eu copiei a chave pública para o servidor (processo exato descrito abaixo) e consegui conectar o SSH ao servidor pela primeira vez usando este comando 

ssh -i /path/to/id_rsa -p 50000 [email protected]

Fui solicitado pela senha da chave privada e permissão para efetuar login. Ótimo.

No entanto, toda vez que eu faço o SSH de volta ao servidor, não sou mais solicitada a senha da minha chave privada. Eu posso até fazer o login sem especificar o caminho para a minha chave privada, assim: 

ssh -p 50000 [email protected]

Eu posso até deletar ~ / .ssh / known_hosts no cliente (Mac OS X 10.8) e SSH com sucesso no servidor via 

ssh -p 50000 [email protected]

Então, minhas perguntas são:

  1. O que o servidor está usando para me autenticar se não estiver usando meu chave privada, a senha da chave, nem o conteúdo do ~ / .ssh / known_hosts do cliente?
  2. O meu servidor SSH é inseguro? Cópia de sshd_config incluída abaixo.

Obrigado pela sua ajuda.

Processo de criação de chaves 

- at your computer (not the server) do
    - generate the keys: ssh-keygen -t rsa -b 4096
        - public key is saved at ~/.ssh/id_rsa.pub
        - private key is saved at ~/.ssh/id_rsa
- copy id_rsa.pub to server and append to ~/.ssh/authorized_keys
    - ssh-copy-id username@remotehost
    - a more secure method is to copy via usb drive
        - make a backup: cp authorized_keys authorized_keys.original
        - add public key to file: cat id_rsa.pub >> authorized_keys
    - if your home directory is encrypted (mine is)
        - in sshd_config: AuthorizedKeysFile /etc/ssh/%u/authorized_keys
        - move the authorized_keys file to /etc/ssh/me/authorized_keys
            - mkdir /etc/ssh/me
                - chmod u=rwx,go= /etc/ssh/me
                - chown me /etc/ssh/me
            - mv ~/.ssh/authorized_keys /etc/ssh/me/authorized_keys
                - chmod u=rw,go= /etc/ssh/me/authorized_keys
                - chown me /etc/ssh/me/authorized_keys

sshd_config 

# User modified sshd_config.
# See the sshd_config(5) manpage for details.


#### Networking options ####

# Listen on a non-standard port > 1024. Default is 22.
Port 50000

# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0

# Only use protocol version 2.
Protocol 2

X11Forwarding no
X11DisplayOffset 10

# Helps the server recognize problems and the connection will be killed.
TCPKeepAlive yes

#### Networking options ####


#### Key Configuration ####

# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key

# Privilege Separation is turned on for security.
UsePrivilegeSeparation yes

# Use public key authentication
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys
AuthorizedKeysFile /etc/ssh/%u/authorized_keys

#### Key Configuration ####


### Authentication ###

# 30 seconds to enter your key passphrase.
LoginGraceTime 30

# No root login.
PermitRootLogin no

# Force permissions checks on keyfiles and directories.
StrictModes yes

HostbasedAuthentication no

# Don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication.
IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED).
PermitEmptyPasswords no

# Disable challenge and response auth. Unnecessary when using keys.
ChallengeResponseAuthentication no

# Disable the use of passwords completly, only use public/private keys.
PasswordAuthentication no

# Using keys, no need for PAM (Pluggable Authentication Modules).
# Also allows SSHD to be run as a non-root user.
UsePAM no

# Don't use login(1)
UseLogin no

AllowUsers me

### Authentication ###


### Misc ###

# Logging
SyslogFacility AUTH
LogLevel VERBOSE

# Print the last time the user logged in.
PrintLastLog yes

# Maximum number of concurrent unauthenticated connections to the SSH daemon (the number of users still logging in).
MaxStartups 10:30:60

# Display login banner.
Banner /etc/issue.net

# Allow client to pass locale environment variables.
# Accept language variables to help the shell session display properly for the client.
AcceptEnv LANG LC_*

# External file transfer daemon to use for sftp requests.
Subsystem sftp /usr/lib/openssh/sftp-server

# Should the SSH daemon itself read and display the message of the day file.
PrintMotd no

### Misc ###

Configuração do firewall 

- allow incoming connections to port 50000
    - sudo ufw allow in 50000
- Rate-limit the connections
    For example, deny connections if an IP address has attempted to initiate
    6 or more connections in the last 30 seconds.
    - sudo ufw limit ssh
    
por fire_water 15.10.2014 / 18:59

1 resposta

1

  1. Seu computador cliente provavelmente armazenou as credenciais em cache, de modo que provavelmente ainda esteja usando sua chave privada. Se você reiniciar o computador, deverá digitar a senha novamente. (também, se suas chaves estão em ~/.ssh/ , então esse é o local padrão ssh verifica para elas)

  2. Sua configuração de SSH parece boa, assim como suas configurações de firewall (supondo que esteja configurada como padrão para negar). Não posso comentar sobre a segurança do seu sistema como um todo.

Deixe-me saber se isso erra alguma coisa.

    
por 15.10.2014 / 19:22

Tags

Configurando o servidor sftp de terceiros para executar na porta 22 Como instalar o Binwalk no Debian sem instalar as bibliotecas de gráficos?