Adicione outro par de chaves para autenticação

0

Eu preciso ter um novo par de chaves para um host adicional que terá permissão para acessar o servidor (mas não posso compartilhar o par existente por motivos de segurança).

Agora, criei um novo par no servidor com ssh-keygen -t rsa -f newkey.key , que funcionou bem, depois copiei a chave para o cliente e tentei fazer o login usando ssh user@server -i newkey.key , mas ele não me deixa entrar, mas, em vez disso, :

$ ssh user@server -i newkey.key
Warning: Permanently added 'server' (ECDSA) to list ofknown hosts.
Permission denied (publickey).
$

Por que isso e como faço isso funcionar? newkey.key tem permissões definidas para 400 .

    
por cerr 03.11.2018 / 13:50

1 resposta

2

Um dos problemas mais comuns que vejo quando as pessoas tentam configurar a autenticação baseada em chaves é que elas se esquecem de adicionar a metade pública do par de chaves ao arquivo authorized_keys .

Em server.example.com , você gera o par de chaves público / privado -

user@server:~/ $ ssh-keygen -t rsa -f newkey.key

Defina a senha (ou não) conforme apropriado.

Em seguida, coloque a metade pública no arquivo authorized_keys -

user@server:~/ $ cat ~/.ssh/newkey.key.pub >> ~/.ssh/authorized_keys

Em seguida, copie a metade privada da chave para a sua máquina cliente e você poderá se conectar -

user@client:~/ $ ls -1 .ssh
authorized_keys
config
newkey.key

user@client:~/ $ ssh -i ~/.ssh/newkey.key user@server

Editar por @Haxiel e @RubberStamp (e meu próprio) concordam que a chave privada não deve ser deixada no servidor que é usada para acessar.

CERTIFIQUE-SE DE REMOVER A CHAVE PRIVADA DO SERVIDOR PARA SER CONECTADO, a menos que você não tenha outra alternativa. Este é um problema de segurança que é muito fácil de evitar.

As chaves devem ser geradas na máquina local e a chave pública copiada para a máquina remota via scp ou ssh-copy-id ... sendo a última opção preferida, já que garante que a chave pública seja colocada corretamente na arquivo remoto ~ / .ssh / authorized_keys junto com as permissões apropriadas no arquivo

    
por 03.11.2018 / 14:19