Как сгенерировать ключ SSH в Windows
SSH расшифровывается как Secure Shell и представляет собой метод, используемый для установления безопасного соединения между двумя компьютерами.
SSH работает путем аутентификации на основе пары ключей, причем закрытый ключ находится на удаленном сервере, а соответствующий открытый ключ — на локальной машине. Когда ключи совпадают, доступ предоставляется удаленному пользователю.
Это руководство покажет вам, как сгенерировать пару ключей SSH в Windows 10, используя OpenSSH или PuTTY .
Генерация ключа SSH в Windows 10 с помощью OpenSSH Client
Шаг 1. Проверьте, установлен ли клиент OpenSSH
Во-первых, проверьте, установлен ли у вас клиент OpenSSH:
1. Войдите в меню Параметры , и затем нажмите Приложения .
2. Во вкладке Приложения и возможности выберите Дополнительные компоненты .
3. Прокрутите список вниз, чтобы увидеть, есть ли в списке клиент OpenSSH .
Шаг 2. Откройте командную строку
Нажмите клавишу Windows, в строке поиска введите cmd, в результатах нажните правой кнопкой на значок командной строки и выберите Запуск от имени администратора .
Шаг 3. Использование OpenSSH для генерации пары ключей SSH
1. В командной строке введите следующее:
2. По умолчанию система сохранит ключи в C:\Users\your_username\.ssh\id_rsa. Вы можете использовать имя по умолчанию, или вы можете выбрать более осмысленные имена. Это может помочь различать ключи, если вы используете несколько пар ключей. Чтобы придерживаться опции по умолчанию, нажмите Enter. Если файл с таким именем уже существует, вам будет предложено перезаписать файл.
3. Вас попросят ввести кодовую фразу. Нажмите Enter, чтобы пропустить этот шаг.
4. Система сгенерирует пару ключей и отобразит отпечаток ключа и изображение randomart.
5. Откройте проводник
6. Перейдите к C:\Users\your_username\.ssh.
7. Вы должны увидеть два файла. Идентификация сохраняется в файле id_rsa, а открытый ключ помечается как id_rsa.pub. Это ваша пара ключей SSH.
Обычно открытый ключ идентифицируется расширением .pub. Вы можете использовать Блокнот, чтобы просмотреть содержимое как закрытого, так и открытого ключа.
Генерация ключей SSH с помощью PuTTY
До того, как OpenSSH был включен в Windows, инструмент PuTTY был золотым стандартом для генерации ключей SSH.
Шаг 1: Установите PuTTY
Шаг 2: Запустите генератор ключей PuTTY SSH
1. Откройте меню Пуск
2. Введите puttygen.
3. В результатах щелкните правой кнопкой мыши на PuTTYgen и нажмите Запуск от имени администратора.
Шаг 3: Используйте PuTTY для создания пары ключей SSH
Процесс, описанный ниже, сгенерирует ключи RSA, классический и широко используемый тип алгоритма шифрования. Инструмент PuTTY keygen предлагает несколько других алгоритмов — DSA, ECDSA, Ed25519 и SSH-1 (RSA).
Если вам требуется другой алгоритм шифрования, выберите нужную опцию в разделе Parameters перед созданием пары ключей.
1. В окне PuTTY Key Generator нажмите Generate .
2. Переместите курсор в серое поле, чтобы заполнить зеленую полосу.
3. Сохраните открытый ключ:
- Нажмите кнопку Save public key .
- Выберите место для сохранения ключа.
- Дайте ключу имя (например, putty_key.pub)
4. Сохраните закрытый ключ:
- Откройте меню Conversions наверху.
- Нажмите Export OpenSSH key .
- Вас спросят, хотите ли вы сохранить ключ без ключевой фразы. Нажмите Да .
- Выберите место для сохранения ключа (обычно это та же папка, что и открытый ключ).
- Дайте ключу имя (например, putty_key).
Использование ваших ключей SSH
Чтобы использовать ваши ключи SSH, скопируйте ваш открытый ключ SSH в систему, к которой вы хотите подключиться. Используйте свой личный ключ SSH в своей системе. Ваш закрытый ключ будет соответствовать открытому ключу и предоставит доступ.
Простое копирование ssh ключей между серверами c использованием утилиты ssh-copy-id
Традиционно администраторы решают задачу копирования ssh ключей между серверами путем копирования содержимого файла /root/.ssh/id_rsa.pub с сервера server1 на server2 в файл /root/.ssh/authorized_keys. Копируют обычно из одного терминала в другой, но есть более изящное решение — это использование утилиты ssh-copy-id, которая позволяет скопировать содержимое id_rsa.pub сервера источник (в нашем случае server1) на сервер приемник (server2) в нужный нам authorized_keys не открывая консоль сервера приемника (server2).
Исходные данные: 2 сервера с Debian 8 (server1 и server2).
Задача: Организовать вход по ssh ключу с сервера server1 на server2 с правами root.
Итак сделаем все по порядку:
1. Генерируем публичный открытый и закрытый ключи, под пользователем root на server1:
Если на сервере уже есть эти ключи, то он выдаст предупреждение, где нужно будет либо подтвердить замену старых ключей либо отказаться.
Мы создаем ключи впервые, поэтому предупреждения не будет, будет выведена примерно такая информация:
Вы можете защитить приватный ключ паролем и тогда чтобы попасть на сервер server2 по ssh ключу нужно будет ввести этот пароль, я настоятельно рекомендую для доступа с уровнем root ввести пароль на приватный ключ.
Ключи сгенерированы, мы можем проверить под пользователем root выполнив команду
В ответ увидим примерно:
Теперь нужно передать публичный ключ id_rsa.pub пользователя root на server2, для этого на server1 выполняем:
Вводим пароль root от сервера server2 и ключ будет передан и записан в нужный файл authorized_keys
Важное уточнение: Чтобы передать публичный ключ на server2 под root нужно чтобы пользователю root было разрешен вход по ssh на server2, обычно при базовой установке Debian/Ubuntu вход под root по ssh разрешен, это настраивается директивой PermitRootLogin в файле /etc/ssh/sshd_config
PermitRootLogin yes — Вход под root по ssh разрешен.
PermitRootLogin no — Вход под root по ssh запрещен.
PermitRootLogin without-password — Вход под root по ssh разрешен только по ssh ключам.
PermitRootLogin forced-commands-only — Вход под root по ssh разрешен только по ssh ключам и только для выполнения заранее определенной команды, сама команда прописывается в /root/.ssh/authorized_keys в формате:
После изменения PermitRootLogin не забудьте перезапустить службу sshd командой:
На этом все, до скорых встреч. Если у Вас возникли вопросы или Вы хотите чтобы я помог Вам, то Вы всегда можете связаться со мной разными доступными способами.
ssh-copy-id
ssh-copy-id installs an SSH key on a server as an authorized key. Its purpose is to provision access without requiring a password for each login. This facilitates automated, passwordless logins and single sign-on using the SSH protocol.
The ssh-copy-id tool is part of OpenSSH .
Contents
Setting up public key authentication
Key based authentication in SSH is called public key authentication . The purpose of ssh-copy-id is to make setting up public key authentication easier. The process is as follows.
Generate an SSH Key
With OpenSSH , an SSH key is created using ssh-keygen . In the simplest form, just run ssh-keygen and answer the questions. The following example illustates this.
Creating a key pair (public key and private key) only takes a minute. The key files are usually stored in the
Copy the key to a server
Once an SSH key has been created, the ssh-copy-id command can be used to install it as an authorized key on the server. Once the key has been authorized for SSH, it grants access to the server without a password.
Use a command like the following to copy SSH key:
This logs into the server host, and copies keys to the server, and configures them to grant access by adding them to the authorized_keys file. The copying may ask for a password or other authentication for the server.
Only the public key is copied to the server. The private key should never be copied to another machine.
Test the new key
Once the key has been copied, it is best to test it:
The login should now complete without asking for a password. Note, however, that the command might ask for the passphrase you specified for the key.
Troubleshooting
There are a number of reasons why the test might fail:
The server might not be configured to accept public key authentication. Make sure /etc/ssh/sshd_config on the server contains PubkeyAuthentication yes . Remember to restart the sshd process on the server.
If trying to login as root , the server might not be configured to allow root logins. Make sure /etc/sshd_config includes PermitRootLogin yes , PermitRootLogin prohibit-password , or without-password . If it is set to forced-commands-only , the key must be manually configured to use a forced command (see command= option in
Make sure the client allows public key authentication. Check that /etc/ssh/config includes PubkeyAuthentication yes .
Try adding -v option to the ssh command used for the test. Read the output to see what it says about whether the key is tried and what authentication methods the server is willing to accept.
OpenSSH only allows a maximum of five keys to be tried authomatically. If you have more keys, you must specify which key to use using the -i option to ssh .
How ssh-copy-id works
ssh-copy-id uses the SSH protocol to connect to the target host and upload the SSH user key. The command edits the authorized_keys file on the server. It creates the .ssh directory if it doesn’t exist. It creates the authorized keys file if it doesn’t exist. Effectively, ssh key copied to server.
It also checks if the key already exists on the server. Unless the -f option is given, each key is only added to the authorized keys file once.
It further ensures that the key files have appropriate permissions. Generally, the user’s home directory or any file or directory containing keys files should not be writable by anyone else. Otherwise someone else could add new authorized keys for the user and gain access. Private key files should not be readable by anyone else.
Some best practices for SSH keys
SSH keys are very useful, but can lead to problems if they are not properly managed. They are access credentials just like user names and passwords. If they are not properly removed when people leave or systems are decommissioned, no-one may any longer know who really has access to which systems and data. Many large organizations have ended up having millions of SSH keys.
Use a passphrase when possible
It is recommended that keys used for single sign-on have a passphrase to prevent use of the key if it is stolen or inadvertatly leaked. The ssh-agent and ssh-add programs can be used to avoid having to enter the passphrase every time the key is used.
Generally all keys used for interactive access should have a passphrase. Keys without a passphrase are useful for fully automated processes. They allow shell scripts, programs, and management tools to log into servers unattended. This is often used for backups and data transfers between information systems.
Add a command restriction when possible
The copy-id tool does not automatically add command restrictions to keys. Using command restrictions is highly recommended when the key is used for automating operations, such as running a report for fetching some files. A command restriction is basically a command=»
» option added to the beginning of the line in the server’s authorized_keys file.
Managing SSH keys
Anyone having more than a few dozen servers is strongly recommended to manage SSH keys . Not managing the keys exposes the organization to substantial risks, including loss of confidentiality, insertion of fraudulent transactions, and outright destruction of systems.
The copy-id tool can be dangerous. It can easily accidentally install multiple keys or unintended keys as authorized. The logic for choosing which key to install is convoluted. Extra authorized keys grant permanent access. They can later be used to spread attacks host-to-host, and the more keys there are, the higher the risk. It also violates all regulatory compliance requirements .
The Universal SSH Key Manager is a widely used product for managing SSH keys.
Command-line options
The sample below presents ssh-copy-id command line syntax:
The options have the following meaning:
-f Don’t check if the key is already configured as an authorized key on the server. Just add it. This can result in multiple copies of the key in authorized_keys files.
-i Specifies the identity file that is to be copied (default is
/.ssh/id_rsa ). If this option is not provided, this adds all keys listed by ssh-add -L . Note: it can be multiple keys and adding extra authorized keys can easily happen accidentally! If ssh-add -L returns no keys, then the most recently modified key matching
/.ssh/id*.pub , excluding those matching
/.ssh/*-cert.pub , will be used.
-n Just print the key(s) that would be installed, without actually installing them.
-o ssh_option Pass -o ssh_option to the SSH client when making the connection. This can be used for overriding configuration settings for the client. See ssh command line options and the possible configuration options in ssh_config .
-p port Connect to the specifed SSH port on the server, instead of the default port 22.
-h or -? Print usage summary.
Ssh-copy-id on Mac
While MacOS includes SSH, it does not include ssh-copy-id out of the port. However, according to some sources MacOS 10.12.4 includes it, and presumably newever versions include it as well.
You can test whether your Mac has it by opening a terminal window (Finder / Go / Utilities / Terminal) and typing ssh-copy-id .
If your system does not have it, there are many ways to install ssh-copy-id Mac version.
Installation using Homebrew
To install it using Homebrew, use the following command. You need to have the brew command installed.
Installation from MacPorts
The following command will install it using MacPorts. You need to have the port command installed.
Installation using Curl
The following command can be used to install a Mac version directly. Note that as a general rule we do not recommend piping any commands from the network to the shell, like this does. Only use this method if you fully trust the source. The advantage of this method is that it does not need any special software — curl comes preinstalled.