3 Steps to Perform SSH Login Without Password
It is very easy to perform SSH login to the remote server without prompting a password.
With a help of utilities from OpenSSH package, you can generate authentication keys on your local machine, copy public key to the remote server and add identities to your authentication agent.
Just three simple steps separate you from the possibility of connecting to a remote server without prompting a password.
Step 1: Generate a key pair on the local server
Use ssh-keygen to generate authentication keys for SSH.
Step 2: Install your public key on the remote server
Use ssh-copy-id to connect to the remote machine and install your public key by adding it the authorized_keys file.
Step 3: Add a private key to the authentication agent on the local server
Use ssh-add to add identities to the ssh-agent – the authentication agent.
Now you can log into the remote server via the SSH protocol without prompting a password.
SSH без пароля или аутентификация с использованием шифрованных ключей
У вас есть отдельно стоящий сервер? Ходите на него через ssh? Пароль в целях безопасности больше 10 символов? В день заходите на сервер n-ное количество раз? Реально задолбало вводить каждый раз пароль на вход? Меня тоже 🙂
А выход как всегда прост до безобразия, потому что все уже придумано до нас.
Ключи SSH. Или метод Identity/Pubkey
При использовании метода идентификации Identity/Pubkey исключается использования статических паролей. Дабы каждый раз не набирать пароли, которые можно перехватить кейлоггером ну или просто подсмотреть, мы будем хранить на диске пару ключей, которые и будут использоваться для проверки подлинности.
Вот некоторые из положительных моментов этого типа аутентификации:
- Никто не сможет войти на сервер с Вашей учетной записью, так как им необходимо обладать приватным ключом и кодовой фразой.
- Администратор сервера может вообще убрать пароль учетной записи, дабы исключить его дискредитацию.
- Вы можете использовать утилиту ssh-agent и он будет предоставлять аутентификационные данные за Вас.
- Вы можете устанавливать определенные ограничения, например запрещая перенаправление портов, выполнение определенных программ и т.д.
Генерация SSH ключей. Или создание Identity/Pubkey
Для генерации пары ключей нам необходимо воспользоваться утилитой ssh-keygen.
Опцией -t rsa мы указали тип создаваемых ключей (возможны варианты ключей — rsa1, rsa или dsa)
Настройка сервера SSH
Все вышеуказанные манипуляции мы делали на локальной машине, теперь надо поднастроить удаленную (сервер куда мы будем логиниться).
Ключи есть, теперь необходимо разрешить данный тип аутентификации на сервере SSH. Сначала определим тип аутентификации — Pubkey или Identity, установив следующие настройки в sshd_config:
# Should we allow Identity ( SSH version 1 ) authentication?
RSAAuthentication yes
# Should we allow Pubkey ( SSH version 2 ) authentication?
PubkeyAuthentication yes
# Where do we look for authorized public keys?
# If it doesn’t start with a slash, then it is
# relative to the user’s home directory
AuthorizedKeysFile .ssh/authorized_keys
Приведенные выше значения разрешают аутентификацию Identity/Pubkey для протокола SSH версии 1 и 2, и проверяют наличие публичных ключей в файле $HOME/.ssh/authorized_keys.
Необходимо проверить наличие этих строк в файле конфигурации /etc/ssh/sshd_config, если таковых нету — добавить и перезапустить сервис.
Копирование файла с ключом на удалённый хост
Два варианта
ssh-copy-id
Скорей всего у вас должна быть утилитка ssh-copy-id и с ее помощью
/ .ssh / id_rsa.pub youruser @ remote.server.host
«ручной» вариант
/ .ssh / id_rsa.pub | ssh -l user @ remote.server.host ‘ mkdir -p .ssh; touch .ssh / authorized_keys; cat >> .ssh / authorized_keys; chmod 700
/ .ssh / id_rsa.pub youruser @ remote.server.host
localhost$ ssh youruser @ remote.server.host
remote.server.host$ [ -d
/ .ssh )
remote.server.host$ cat
/ .ssh / authorized_keys
remote.server.host$ chmod 600
Вроде все сделали, все настроили — пора пробовать
Должно пустить без пароля (если только вы не ставили пароль на сам ключ).
upd:
по совету Vladimir-а (см. первый комментарий), ставим более правильные права доступа (chmod) — на каталог
- 1
К ручному методу я бы добавил изменение прав на каталог (0700) и ключ (0600). Так безопаснее 🙂
2 
Мда, сорри, не увидел второй блок 🙁 Но всё равно права на папку
/.ssh лучше ставить 0700 — ибо смысл туда ходить посторонним, если всё равно на чтение ключей прав у них быть не должно?
3 
Спасибо за совет, подкорректировал права доступа
И за плагин спасибо — разобрался, все работает.
4 
В статье ошибка, нужно заменить:
/.ssh/id_rsa | ssh -l user@remote.server.host ‘mkdir -p .ssh;touch .ssh/authorized_keys; cat >> .ssh/authorized_keys;chmod 700
/.ssh/authorized_keys’
на
cat
/.ssh/id_rsa.pub | ssh -l user@remote.server.host ‘mkdir -p .ssh;touch .ssh/authorized_keys; cat >> .ssh/authorized_keys;chmod 700
5
Таки да, вы правы
А ведь столько раз пересматривал запись и столько же раз делал по своей же инструкции и не заметил.
Спасибо большое, подправил
6 
А как быть если к одному серверу нужно подключиться с разными authorized_keys как прописать в конфиге.
7 
Все равно запрашивает пароль на удаленного юзера!
8 
> А как быть если к одному серверу нужно подключиться с разными authorized_keys как прописать в конфиге.
Добавлять каждый ключик новой строчкой в
> Все равно запрашивает пароль на удаленного юзера!
Значит что-то не так делали. Инструкция рабочая.
9 
у меня также запрашивает пароль но без пароля и даже с вводом пароля не пускает. Как исправить?
10 
«Значит что-то не так делали. Инструкция рабочая.»
ну да, да….
автор
а если версия ssh2 не нужно ли создавать authorized_keys2 ?
а править конфиг файл не нужно?
11 
Все эти действия проводятся на удалённой тачке. Разве этого достаточно?? А на локальной, если она под управлением linux? Или windows? В случае с виндой надо ещё с PUTTY.EXE колдовать.
12 
13 
14 
Только что проверил. Все работает.
15 
У кого запрашивает пароль — вы вероятно не тот ключи скопировали. паблик ключ начинается с ssh-rsa
16 
17 
долго же я мучался, пытаясь понять что сделал не так. 100 раз перепроверил ключи, chmod’Ы… а сервер всё пишет: server refused your certificate. оказывается…. надо было указать владельца, после создания папки «mkdir .ssh».
например chown $USER:$USER — вдруг кому поможет … 🙂