Ключ SSH RSA с пользователем без полномочий root

Question

Я пытаюсь защитить свой VPS (работает под управлением Ubuntu 10.04), поэтому я пытаюсь использовать аутентификацию RSA, очевидно, я не хочу входить в систему как root, поэтому я отключил PermitRootLogin но я также отключил PasswordAuthentication

У меня вопрос, как я могу получить мой ключ RSA для аутентификации у обычного пользователя. Как я уже сказал, я получил его для работы с root, когда у меня были включены эти настройки, но я понятия не имею, как заставить его работать без них, с обычным пользователем.

Answer 1

Вы должны иметь возможность поместить открытый ключ в ~/.ssh/authorized_keys или ~/.ssh/авторизованный_keys2 (режим 600) и заставить его работать так же, как и с учетной записью root.

Выполните эти команды, чтобы исправить разрешения

chmod 600 ~/.ssh/authorized_keys2
chmod 600 ~/.ssh/authorized_keys
chmod 700 ~/.ssh

Answer 2

Сначала вы захотите выполнить небольшую настройку на сервере.

1. Сгенерируйте свой ключ (похоже, вы там хороши)

   ssh-keygen -t rsa -b 1024 -C "Comment if you want it" -f id_arbitraty_name
   

2. Кошка Публичный (* .pub) ключ к папке authorized_keys для пользователей , которые вы хотите , чтобы войти в систему как (как указано @John, 644 для них); расширение будет делать это как для authorized_keys и authorized_keys2 .

   cat id_arbitrary_name.pub >> /home/<username>/.ssh/authorized_keys{,2}
   

3. Скачать приватный ключ

   scp user@server:/loc/on/server/id_arbitrary_name ~/.ssh/
   

4. Установите безопасные разрешения для закрытого ключа 600, так как он находится на вашем локальном компьютере

   chmod 600 ~/.ssh/id_arbitrary_name
   

Необязательный:

5. Если вы хотите сохранить ввод локально, настройте локальный файл конфигурации в ~/.ssh/

   vim ~/.ssh/config
   
   Host SomeIdentifyingName
       Hostname domain.com
       User username
       IdentityFile ~/.ssh/id_arbitrary_name
   

Это позволяет вам просто набрать ssh SomeIdentifyingName (на этом работает завершение табуляции!) и подключиться.

Примечание. Похоже, вы отключили root-вход, так что это не относится к вам. Однако для будущих читателей:

С учетом вышесказанного предлагается разделение ключей. В противном случае, если я не укажу имя пользователя и запросы сервера - root - это очевидная попытка!