Как узнать свой ssh key windows

In Windows 10, finding your SSH public key is a necessary skill, especially if you want to connect securely to remote servers or share your public key for access to certain services. To locate your SSH public key, you’ll need to navigate to where it’s stored on your computer. The process involves using Windows’ built-in terminal to search your system for the key file.

In this section, I’ll guide you through finding your SSH public key on a Windows 10 machine. By following these simple steps, you’ll be able to easily locate and view your key.

Step 1: Open Command Prompt or PowerShell

To get started, open the Command Prompt or PowerShell on your Windows 10 computer.

You can do this by typing “cmd” or “PowerShell” in the Start menu search bar and hitting Enter. Both Command Prompt and PowerShell will work for this task, but PowerShell tends to offer more features.

Step 2: Navigate to the .ssh Directory

Next, navigate to the .ssh directory by typing cd %userprofile%.ssh and pressing Enter.

This command jumps straight to the .ssh folder within your user profile, where your SSH keys are usually stored. If you receive an error, the .ssh directory might not exist yet, indicating you need to generate a key.

Step 3: List the Files

Once you’re in the .ssh directory, list all files by typing dir in Command Prompt or ls in PowerShell.

You should see a list of files, one of which will likely be named id_rsa.pub or id_ecdsa.pub. These are common names for SSH public key files. If no such file exists, you might need to generate a new SSH key pair.

Step 4: Display the Public Key

To view your public key, type type id_rsa.pub in Command Prompt or cat id_rsa.pub in PowerShell.

This command displays the contents of the id_rsa.pub file, which is your public key. The text that appears is what you would share with others to allow them to verify your identity securely.

Step 5: Copy the Key

Finally, copy the displayed key by selecting the text and using Ctrl + C.

Ensure you select the entire key, as partial keys won’t work. You can then paste it wherever you need, such as on a GitHub account or remote server configuration.

After you complete these steps, you should be able to access your SSH public key. This key can be shared safely with others or used to configure your access to servers and services. Remember, never share your private key, as doing so can compromise your security.

Tips for Finding Your SSH Public Key in Windows 10

• Ensure your SSH key exists by checking for id_rsa.pub or id_ecdsa.pub in the .ssh directory.
• If the key isn’t found, generate one using ssh-keygen in your terminal.
• Use PowerShell for more advanced features and better command support.
• Keep a backup of your SSH keys in a secure location for easy retrieval.
• Always be cautious and never share your private SSH key.

Frequently Asked Questions

What if I can’t find the .ssh folder?

If the .ssh folder doesn’t exist, you may need to generate a key pair. Use ssh-keygen in PowerShell to create it.

How do I generate a new SSH key?

Run ssh-keygen in PowerShell and follow the prompts to create a new key pair.

Can I have multiple SSH keys?

Yes, you can generate multiple keys for different purposes. Name them uniquely to keep track.

How do I secure my SSH keys?

Store them in a safe location and restrict file permissions. Never share your private key.

What is the difference between a private and public key?

The public key is shared to verify your identity, while the private key is kept secret to secure your access.

Summary

1. Open Command Prompt or PowerShell.
2. Navigate to the .ssh directory.
3. List the files.
4. Display the public key.
5. Copy the key.

Conclusion

Understanding how to find your SSH public key in Windows 10 is an essential skill for anyone dealing with secure server connections or software development. By mastering these steps, you ensure that you’re equipped to manage your secure connections efficiently. This knowledge not only enhances your technical abilities but also bolsters your confidence when interacting with digital security measures.

Once you’ve located your SSH public key, you’ll likely find yourself using it in various contexts, whether it’s accessing remote servers, collaborating on GitHub, or any other application that requires secure access. Remember always to keep your private key safeguarded to prevent unauthorized access. In today’s digital age, managing your SSH keys is akin to having the keys to your digital kingdom—treat them with care.

For those interested in learning more, further reading on SSH key management, security practices, and additional configuration options can be invaluable. Dive deeper into topics like key generation methods, advanced configuration, or integrating SSH keys with various platforms. The more you understand about these tools, the more control you’ll have over your digital security landscape.

In the realm of modern computing, Secure Shell (SSH) is a vital protocol used for securely accessing and managing remote machines. SSH utilizes cryptographic keys for authentication, enhancing security and streamlining the connection process. This article will provide a comprehensive guide on how to find your SSH public key on Windows 11. This guide will cater to users of all skill levels, from beginners to more experienced users, ensuring that everyone can securely connect to remote servers.

Understanding SSH Keys

Before diving into the steps to find your SSH public key, let’s briefly cover what SSH keys are and why they are essential.

What are SSH Keys?

SSH keys are a pair of cryptographic keys that provide a secure way to access servers. The pair consists of a private key and a public key. The private key is kept secret and is stored on your local machine, while the public key can be shared with anyone.

Why Use SSH Keys?

• Security: SSH keys are more secure than using passwords. The complexity of the keys makes it nearly impossible for attackers to compromise.
• Convenience: Once set up, SSH keys allow you to log in to remote servers without needing to enter a password each time.
• Automation: SSH keys facilitate the automation of scripts and commands that need to access remote servers securely.

Prerequisites

To find your SSH public key on Windows 11, you must have SSH installed. Thankfully, Windows 11 comes with OpenSSH client pre-installed. If you are unsure whether it’s installed or not, you can check by following these simple steps:

1. Open the Start Menu and type in «Settings.»
2. Go to Apps and then select Optional features.
3. Scroll down to see if «OpenSSH Client» is listed. If it’s not there, you may need to install it.

Finding Your SSH Public Key

Step 1: Open Windows Terminal or Command Prompt

To find your SSH keys, you’ll need to use the Windows Terminal or Command Prompt. Here’s how to proceed:

1. Click on the Start Menu.
2. Type “Windows Terminal” or “Command Prompt” in the search bar.
3. Right-click on the application and select Run as administrator. This ensures that you have all necessary permissions.

Step 2: Navigate to the .ssh Directory

SSH keys are typically stored in a hidden directory within your user profile called .ssh. To navigate to this directory, you need to use a command:

1. Type the following command and press Enter:

   cd ~/.ssh

This command changes the current directory to the .ssh folder under your user profile.

Step 3: Verify the Existence of SSH Keys

Inside the .ssh directory, you will likely find file names like id_rsa and id_rsa.pub. The first file (id_rsa) is your private key, and the second (id_rsa.pub) is your public key.

To list the contents of the .ssh directory, use the command:

dir

This command will display all files in the directory. Look for files that match the conventional naming scheme:

id_rsa
id_rsa.pub

Step 4: View Your Public Key

Once you confirm that the id_rsa.pub file exists, you can view its content, which is your public key. To do this, enter the following command:

type id_rsa.pub

The output will display your public key in a long string format. It will start with ssh-rsa followed by a series of characters and will typically end with your username and hostname.

If your public key file has a different name, replace id_rsa.pub with the appropriate filename.

Generating SSH Keys (If Not Found)

If you can’t find any SSH keys, you can create a new pair. Here’s how you can generate SSH keys in Windows 11:

Step 1: Generate the Key Pair

1. In the Windows Terminal or Command Prompt, type the following command:

   ssh-keygen -t rsa -b 4096 -C "[email protected]"

2. Press Enter to execute the command. You will be prompted to choose a location to save the private key. You can simply hit Enter to save it in the default location (C:UsersYourUserName.sshid_rsa).

3. If you want to set a passphrase for added security, you can do so; otherwise, just hit Enter again.

4. After this process completes, you will see confirmation that your keys have been generated.

Step 2: Locate Your Public Key

Now that you’ve generated your keys, you will again find your public key under the .ssh directory:

1. Navigate to the .ssh directory using the command:

   cd ~/.ssh

2. Use the command to display your public key:

   type id_rsa.pub

How to Use Your SSH Public Key

Now that you have your public key, you can use it to authenticate with various services, such as GitHub, GitLab, or remote servers via SSH.

Adding Your Public Key to GitHub

1. Copy your public key to the clipboard. You can do this by selecting the output from the type command, right-clicking on it, and choosing the copy option.
2. Log in to your GitHub account and navigate to Settings.
3. In the left sidebar, click on SSH and GPG keys.
4. Click on the New SSH key button.
5. In the «Title» field, provide a name for this key (e.g., «My Windows 11 SSH Key») and paste your public key into the «Key» field.
6. Press Add SSH Key to save.

Using Your SSH Public Key to Connect to Remote Servers

To use your public key to connect to a remote server, follow these steps:

1. Ensure your public key is added to the ~/.ssh/authorized_keys file on the remote server.

2. Use an SSH command to connect to the remote server:

   ssh username@remote_host

If the SSH keys are correctly set up, you should be logged in without being prompted for a password.

Common Issues and Troubleshooting

While working with SSH keys, you might encounter some common issues. Here are a few tips on how to troubleshoot them:

Issue 1: Permission Denied (Public Key)

This message indicates that the SSH server did not accept your public key. Ensure that:

• Your public key is added to the ~/.ssh/authorized_keys file on the remote server.
• The permissions of the .ssh directory and the authorized_keys file are correctly set (the directory should be 700 and the file 600).

Issue 2: SSH Agent Not Running

If you find that your SSH key is not automatically being used, ensure that the SSH agent is running:

1. Start the SSH agent in the background with the command:

   eval "$(ssh-agent -s)"

2. Add your SSH private key to the agent with the command:

   ssh-add ~/.ssh/id_rsa

Issue 3: Compatibility Issues with Other Applications

If you’re using applications like Git or other tools that utilize SSH, ensure that they are configured to use the system’s SSH client or, if necessary, specify the SSH executable path in the application’s settings.

Conclusion

Finding your SSH public key on Windows 11 is a straightforward process, but understanding how to efficiently manage SSH keys is crucial for secure remote access. With well-defined steps outlined in this article, both novices and adept users can locate their public keys and leverage them for enhanced security.

As you get accustomed to using SSH, ensure you maintain good practices around key management; consider generating a unique SSH key for different services or environments and regularly change your keys for improved security. With the growing reliance on remote connections, the importance of SSH in safeguarding your data and devices cannot be overstated. Happy connecting!

SSH-ключи для авторизации — это простой и надежный способ получения доступа к удаленному узлу. В статье мы рассмотрим процесс настройки SSH-авторизации по ключу, а также покажем способы устранения некоторых известных ошибок.

Что такое SSH-ключ

Подключение через SSH можно просто охарактеризовать как подключение к командной строке удаленного узла. То есть любые команды, которые будут вводиться в терминал на основной машине, будут работать так же, будто вы вводите их напрямую на удаленном узле, сидя с клавиатурой около него.

Так как SSH работает по системе «клиент-сервер», обязательное условие для работы этого протокола — наличие на удаленном узле демона SSH. Демон SSH — это ПО, которое прослушивает определенный сетевой порт и при прохождении аутентификации другим узлом создает необходимую среду для работы с ним.

В свою очередь на локальной машине должно быть установлено соответствующее ПО — SSH-клиент. Он взаимодействует с удаленным хостом и передает ему необходимые данные, которые нужны для прохождения аутентификации.

Пользователи Linux могут установить OpenSSH с помощью команды:

sudo apt-get install ssh

В некоторых ОС компоненты OpenSSH можно установить отдельно для клиента  openssh-client и отдельно для сервера openssh-server.

Структура ключа

Можно сказать, что определение «SSH-ключ» составное, так как на самом деле это два ключа — открытый и закрытый. На узле A создаются и хранятся оба ключа, а на узел B передается только копия публичного SSH-ключа, что позволяет подключаться к узлу B с узла A.

Ключи могут быть сгенерированы с помощью различных алгоритмов, которые поддерживает текущая версия протокола SSH. Например, если использован тип шифрования RSA, то файлы будут именоваться следующим образом:

• id_rsa — закрытый ключ,
• id_rsa.pub — публичный (открытый) ключ.

В чем же разница открытого и закрытого ключа?

Открытые и закрытые SSH-ключи

Открытый (он же публичный) ключ используется для шифрования данных при обращении к удаленному узлу. Проще говоря, это набор символов, при помощи которых мы шифруем информацию. Он доступен всем. Не стоит бояться того, что открытый ключ может попасть в чужие руки, так как наличие одного лишь публичного SSH-ключа не дает злоумышленнику никаких преимуществ. Открытый SSH-ключ хранится на удаленном узле.

Закрытый (приватный) SSH-ключ — это ключ к данным. Он расшифровывает сами сообщения. Хранится он на устройстве, которое будет подключаться к удаленному узлу (на котором находится открытый ключ). Приватный ключ ни в коем случае нельзя передавать в чужие руки, в том числе через мессенджеры или файлообменники, во избежание утечки информации и персональных данных. Также рекомендуем сразу установить пароль на закрытый ключ, чтобы обеспечить ему дополнительную защиту.

Как работает SSH-авторизация?

1. Вы должны изъявить свое желание подключиться к нам, то есть отправить запрос на подключение по TCP-порту.
2. В случае установки TCP-соединения мы обмениваемся информацией о версиях наших SSH-протоколов. С помощью этой информации можно понять, какую именно конфигурацию (версию протоколов и алгоритмы работы) использовать. Самостоятельно узнать версию OpenSSH можно с помощью команды ssh -V.
3. После согласования мы (сервер) направляем вам (клиенту) открытый ключ. Теперь уже вы решаете, доверять такому ключу или нет. В случае положительного ответа мы с вами генерируем сеансовый ключ, который будет использоваться для симметричного шифрования канала. Этот ключ существует, только пока существует канал (текущая сессия).
4. Теперь следует аутентифицировать вас. Для этого вы отсылаете нам свой открытый ключ. Мы, в свою очередь, сверяем его со своим списком открытых SSH-ключей. Если совпадение найдено, мы генерируем случайное число, шифруем его открытым ключом и отправляем обратно. Вы как клиент расшифровываете сообщение закрытым ключом и отправляете полученные данные нам. В случае совпадения присланного числа с первоначальным аутентификация признается успешной. 

Поздравляем! Теперь вам открыт доступ на сервер.

Картинка с сайта: selectel.ru

Типы ключей SSH

Как вы уже знаете, существуют два основных типа ключей — открытый и закрытый. Но также ключи можно разделить по типу шифрования.

Если мы введем в терминал команду ssh-keygen ?, то увидим справку, где у параметра -t указаны алгоритмы, которые можно использовать в данной системе:

~# ssh-keygen ?
…
[-t dsa | ecdsa | ecdsa-sk | ed25519 | ed25519-sk | rsa]

RSA. По умолчанию ssh-keygen использует в качестве параметра -t именно RSA, так как этот алгоритм обеспечивает наилучшую совместимость из всех, но требует большего размера ключа для обеспечения достаточной безопасности. Длина ключа по умолчанию составляет 3072 бит, но вы можете самостоятельно задать его размер от 1024 до 16384 бит с помощью опции -b команды ssh-keygen. 

Имейте в виду, что, чем больше ключ, тем больше вычислительных мощностей и трафика будут задействовать устройства. Поэтому если вам нужна усиленная защита и для этого вы хотите увеличить длину ключа RSA, возможно, вам стоит рассмотреть алгоритмы на основе эллиптических кривых. При таких условиях они будут работать быстрее.

DSA. Это криптографический алгоритм с использованием открытого ключа для создания электронной подписи, но не для шифрования. Это значит, что только один узел сможет подписать сообщение, а другие смогут только проверить на корректность. Алгоритм основан на вычислительной сложности взятия логарифмов в конечных полях. Алгоритм DSA по сравнению с RSA показывает лучшие показатели при генерации подписи, но уступает по времени при ее проверке. Также отметим, что максимальная длина ключа данного типа — 1024 бит. Это не самый безопасный показатель для защиты от взлома.

ECDSA. Это реализация схемы цифровой подписи, основанная на использовании эллиптических кривых и модульной арифметики. Производительность данного алгоритма быстрее, чем у алгоритма RSA, так как для обеспечения шифрования требуются ключи гораздо меньшего размера. Однако у него есть минус: он более уязвим перед взломом с помощью квантовых вычислений, чем RSA.

ED25519. Это схема подписи на эллиптической кривой, которая обеспечивает лучшую безопасность, чем ECDSA и DSA, и хорошую производительность. Ее главное преимущество — это скорость. Однако данный алгоритм поддерживается только в версиях от OpenSSH 6.5.

ECDSA-SK и ED25519-SK — те же ECDSA и ED25519, но поддерживающие аппаратный аутентификатор. Данные алгоритмы появились не так давно в версии OpenSSH 8.2. Они позволяют реализовать двухфакторную аутентификацию с помощью устройств, которые поддерживают протокол FIDO/U2F. Существует множество разновидностей физической аутентификации, например USB-токен, или другие виды устройств, подключаемые к оборудованию с помощью Bluetooth или NFC.

Создание SSH-ключа

Параметры утилиты ssh-keygen

В Linux для создания SSH-ключей используется команда ssh-keygen. Далее приведены наиболее популярные параметры для этой команды и их описание.

-C comment

Создание нового комментария. Например, одной из самых известных команд является добавление комментария с информацией о том, кто, на какой машине и когда создал ключ:

ssh-keygen -C "$(whoami)@$(uname -n)-$(date -I)"

-p

Если указать данный параметр при вводе ssh-keygen, то вам будет предложено изменить старую секретную фразу на новую. Ввод команды будет выглядеть следующим образом:

ssh-keygen -p

Также вы можете задать все параметры для изменения секретной фразы сразу:

ssh-keygen -p [-P old_passphrase] [-N new_passphrase] [-f keyfile]

-t type

Задает тип создаваемого ключа. Чтобы узнать какие типы доступны для вашей версии, введите: 

ssh-keygen -t ?

-v

Подробный режим. ssh-keygen будет печатать отладочные сообщения о ходе выполнения. Несколько опций -v увеличивают степень подробности информации (максимум 3).

Генерация SSH-ключей в Linux

Процесс создания SSH-ключей на базе Linux очень прост. Вам необходимо лишь указать некоторые параметры, которые мы опишем далее.

Мы будем создавать ключ RSA. При вводе команды ssh-keygen опцию -t RSA можно не указывать явно, так как RSA является алгоритмом по умолчанию.

~# ssh-keygen
Generating public/private RSA key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):

В последней строке вам предлагается выбрать путь, куда будут сохранены ключи. Если оставить поле пустым, будут созданы файлы с именами id_rsa.pub и id_rsa.

Enter passphrase (empty for no passphrase):

В данной строке предлагается создать кодовую фразу. Если оставите строку пустой, дополнительной защиты не будет. 

С одной стороны, не вводить кодовую фразу опасно. Если закрытый ключ попадет в руки злоумышленников, то у них может появиться доступ к серверу. В то же время, если вы введете кодовую фразу, в будущем это может доставить вам неудобства. Пароль придется вводить каждый раз при использовании SSH-подключения с этим ключом. Поэтому использование кодовой фразы остается на ваше усмотрение.

Как мы упоминали ранее, кодовую фразу можно будет установить (или заменить) самостоятельно, введя ssh-keygen -p, когда ключ уже будет создан. 

Your identification has been saved in /root/.ssh/id_rsa
Your public key has been saved in /root/.ssh/id_rsa.pub
The key fingerprint is:
SHA256:Uh6CVy4Voz0/70Am8j+hXOLBV21l4rMmiMLG5BTz3cE root@trexclient
The key's randomart image is:
+---[RSA 3072]----+
|    	=. . 	|
| 	.o* .  E . o|
|	. =+*. . + + |
| 	.o=.+. o =  |
| 	*o.S.=o . o |
|  	*+=+=o. o  |
| 	. +.*...o   |
|    	+..o 	|
|      	...	|
+----[SHA256]-----+

Созданные файлы хранятся в директории /home/*SystemName*/.ssh/.

Генерация SSH-ключей в Windows с помощью Putty

Если вы хотите создать SSH-ключи на базе ОС Windows, самым популярным решением для этого будет использование программного обеспечения Putty. Скачать его можно с официального сайта по ссылке (актуальная версия на момент написания статьи — Putty 0.78). После установки программы вам будет доступно несколько .exe файлов.

Для создания SSH-ключей откройте puttygen.exe, выберите необходимый тип ключа и задайте его размер. Мы будем использовать RSA с длиной 3072.

Картинка с сайта: selectel.ru

Далее нажмите Генерировать и водите мышкой по экрану в свободной зоне до тех пор, пока генерация SSH-ключей не будет завершена. Это необходимо делать для того, чтобы задать псевдослучайность при создании ключей.

После генерации ключа вы можете вписать комментарий и кодовую фразу.

Далее необходимо сохранить на диск открытый и закрытый SSH-ключи, для этого нажмите на соответствующие кнопки в окне программы. Вы можете самостоятельно выбрать путь, куда сохранять данные ключи.

Картинка с сайта: selectel.ru

Putty сохраняет закрытые ключи с разрешением .ppk. Это означает, что такой ключ можно будет использовать только с Putty. Чтобы сохранить секретный ключ в формате, пригодном для OpenSSH, нужно во вкладке Конвертация выбрать пункт «Экспортировать ключ в формате OpenSSH (новый формат)» и указать расположение нового файла (старый формат при конвертации из .pkk в OpenSSH не сохраняет некоторые поля — например, комментарий).

Генерация SSH-ключей в Windows с помощью OpenSSH

Не так давно в ОС Windows добавили возможность использования инструментов OpenSSH. Пакет добавлен в ОС, начиная с Windows 10 и Windows Server 2019.

Установить клиент OpenSSH можно с помощью следующей команды в PowerShell:

Add-WindowsCapability -Online -Name OpenSSH.Client

Или же с помощью графического интерфейса: Параметры → Приложения → Дополнительные возможности → Добавить компонент. В списке предложенных компонентов необходимо найти Клиент OpenSSH и нажать кнопку Установить.

Проверить статус компонента можно командой:

Get-WindowsCapability -Online | ? Name -like 'OpenSSH.Client*'

Если в ответе команды статус Installed, то загрузка выполнена успешно.

Генерация SSH-ключей происходит таким же образом, как и в ОС Linux, с помощью ssh-keygen:

PS C:\Users\Administrator> ssh-keygen -t ed25519
Generating public/private ed25519 key pair.
Enter file in which to save the key (C:\Users\Administrator/.ssh/id_ed25519):
Created directory 'C:\Users\Administrator/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in C:\Users\Administrator/.ssh/id_ed25519.
Your public key has been saved in C:\Users\Administrator/.ssh/id_ed25519.pub.
The key fingerprint is:
SHA256:1qBO0MIgYM+A80G1zZgUzW4QCYHKNuLgwaIR77sY2/U administrator@winselectel
The key's randomart image is:
+--[ED25519 256]--+
|===+=*       	|
|*.=+oBo      	|
|+= +Bo+ .    	|
|**o  oo. o   	|
|Ooo  .o S .  	|
|.o.  o .     	|
|.  .. .      	|
| =.. .       	|
|o o.  E      	|
+----[SHA256]-----+

Созданные ключи можно найти в папке C:\Users\Administrator\.ssh, если она не была изменена при генерации.

Картинка с сайта: selectel.ru

Копирование открытого ключа на сервер

Ниже мы рассмотрим общий вариант копирования открытого SSH-ключа на сервер.

Копирование при помощи SSH-Copy-ID

Этот метод подойдет тем, чья ОС поддерживает команду SSH-Copy-ID, и удаленный сервер имеет доступ по SSH без ключа. Если это не так, попробуйте использовать второй или третий способ.

Синтаксис команды выглядит следующим образом:

-# ssh-copy-id username@remote_host

Обратите внимание на последние строки вывода:

-# ssh-copy-id root@5.159.102.80
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
The authenticity of host '5.159.102.80 (5.159.102.80)' can't be established.
ED25519 key fingerprint is SHA256:KSvVyjbijk+LQ7n3cEQd94qcyIcTDfaED+jRFzBBPGM.
This key is not known by any other names
Are you sure you want to continue connecting (yes/no/[fingerprint])?

Наш клиент запрашивает разрешение на продолжение подключения к удаленному узлу, так как встречает его впервые. Необходимо ввести yes. После успешного подключения ключи будут добавлены и мы увидим соответствующий вывод:

/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@5.159.102.80's password:

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'root@5.159.102.80'"
and check to make sure that only the key(s) you wanted were added.

Чтобы проверить, действительно ли скопировался открытый ключ, найдем искомый файл authorized_keys на удаленном узле и посмотрим его содержимое, так как именно в него добавляются открытые SSH-ключи.

~# cat /root/.ssh/authorized_keys
ssh-rsa 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 root@trexclient

Как мы видим, публичный SSH-ключ клиента был успешно добавлен на сервер.

Примечание. Если на удаленном узле вы используете не стандартный порт в качестве порта для подключения по SSH, а любой другой, то необходимо при вводе команды ssh-copy-id указать дополнительные параметры:

ssh-copy-id ‘-p *port* username@remote_host’

После внесенных изменений необходимо перезапустить службы SSH. 

sudo service ssh restart (для Ubuntu / Debian / Mint Linux)
sudo service sshd restart (для CentOS / RHEL / Fedora Linux)

Копирование ключа при помощи SSH

Этот метод подойдет тем, чья клиентская машина не поддерживает команду SSH-Copy-ID, но сервер имеет доступ по SSH.

В таком случае вы можете воспользоваться командой:

cat ~/.ssh/id_rsa.pub | ssh username@remote_host "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"

Она включает следующие переменные:

• cat ~/.ssh/id_rsa.pub — вывод содержимого файла id_rsa.pub,
• ssh username@remote_host — подключение к удаленному серверу,
• «mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys» — проверка наличия директории /.ssh и перенаправление вывода первой команды в файл authorized_keys.

Чтобы проверить, действительно ли скопировался открытый ключ, нужно вновь отыскать файл authorized_keys на удаленном узле и посмотреть его содержимое.

~# cat /root/.ssh/authorized_keys

После внесенных изменений необходимо перезапустить службы SSH. 

sudo service ssh restart (для Ubuntu / Debian / Mint Linux)
sudo service sshd restart (для CentOS / RHEL / Fedora Linux)

Копирование пользователем вручную

Данный метод следует использовать тем, у кого нет SSH-доступа на удаленный сервер. В этом случае необходимо найти файл id_rsa.pub (при использовании Linux) или public (при использовании Windows) на клиентской машине, открыть его и скопировать все содержимое. Через консоль Linux это можно сделать, используя команду cat:

cat ~/.ssh/id_rsa.pub

Картинка с сайта: selectel.ru

Найдя все тот же файл authorized_keys, необходимо просто вставить в него то, что мы скопировали из файла id_rsa.pub на клиентской машине ранее. В случае, если вы генерировали SSH-ключи в ОС Windows с помощью Putty, необходимо так же скопировать публичный ключ в файл authorized_keys. Либо вы можете открыть консоль и использовать команду для загрузки ключа:

echo *Text* >> ~/.ssh/authorized_keys

Где *Text*  — это скопированные вами данные из id_rsa.pub.

После внесенных изменений необходимо перезапустить службы SSH. 

sudo service ssh restart (для Ubuntu / Debian / Mint Linux)
sudo service sshd restart (для CentOS / RHEL / Fedora Linux)

Использование SSH-ключей

Настройка аутентификации на сервере с помощью SSH-ключей из ОС Linux

Чтобы воспользоваться подключением по SSH с помощью ключей, необходимо из-под клиентской машины, на которой мы создавали ключи, ввести команду:

~# ssh username@remote_host

root@trexclient:~# ssh root@5.159.102.80
Welcome to Ubuntu 22.04.2 LTS (GNU/Linux 5.15.0-60-generic x86_64)

 * Documentation:  https://help.ubuntu.com
 * Management: 	https://landscape.canonical.com
 * Support:    	https://ubuntu.com/advantage

 * Introducing Expanded Security Maintenance for Applications.
   Receive updates to over 25,000 software packages with your
   Ubuntu Pro subscription. Free for personal use.

 	https://ubuntu.com/pro

Expanded Security Maintenance for Applications is not enabled.

0 updates can be applied immediately.

Enable ESM Apps to receive additional future security updates.
See https://ubuntu.com/esm or run: sudo pro status


Last login: Sun Mar  5 12:31:34 2023 from 152.89.133.14
root@selectelserv:~#

Если имя пользователя на локальной машине и удаленном узле совпадают, можно сократить вводимую команду до:

~# ssh remote_host

Настройка аутентификации на сервере с помощью SSH-ключей из ОС Windows

Ранее мы уже скопировали на удаленный узел открытый SSH-ключ, сгенерированный с помощью Putty. Теперь необходимо произвести подключение.

Для этого откройте putty.exe и введите IP-адрес удаленного узла и порт для подключения, а также проверьте, что в качестве типа подключения выбран SSH.

Картинка с сайта: selectel.ru

Далее пройдите по пути, указанному на скриншоте (Connection → SSH → Auth → Credentials):

Картинка с сайта: selectel.ru

В поле Private key file for authentication вставьте ссылку на приватный ключ, который необходимо использовать в данном подключении, и нажмите Open.

Перед вами откроется окно, в котором нужно ввести логин пользователя удаленного узла. В нашем случае — учетная запись root.

Картинка с сайта: selectel.ru

Подключение из ОС Windows с помощью OpenSSH аналогично подключению по SSH на сервере Linux: 

C:\Users\Administrator> ssh hostname@remote_host  

Если при генерации SSH-ключей была создана секретная фраза, то удаленный хост запросит ее подтверждение:

Enter passphrase for key 'C:\Users\Administrator/.ssh/id_ed25519':

Выполнение одной команды на удаленном узле

Если вам необходимо ввести лишь одну команду, можно не создавать целый сеанс, а ввести нужную команду после ssh hostname@remote_host.

ssh hostname@remote_host command

Технически сессия все-таки создается, и происходит аутентификация на основе введенных данных. Затем передается нужная команда command, и сеанс сразу же закрывается. Поэтому визуально кажется, что мы просто передали команду на удаленный узел. 

Отпечаток SSH-ключа

Каждая пара SSH-ключей использует один криптографический отпечаток. Его можно использовать для идентификации ключей.

~# ssh-keygen -l
Enter file in which the key is (/root/.ssh/id_rsa):

Здесь вы можете оставить поле пустым, если автоматически выбран нужный вам ключ. Если это не так, введите местоположение интересующего вас файла. После этого на экран будет выведена подобная запись (длина ключа, отпечаток ключа, пользователь и хост, для которого был создан ключ, используемый алгоритм шифрования):

3072 SHA256:UxyIzKj93YXoldmfyP5K4/uKkHTu9UoG0nK9e93q57g root@trexclient (RSA)

Смена порта SSH

Дополнительной защитой доступа к вашему серверу может быть смена стандартного порта, на котором работает SSH. Перед сменой порта подключения необходимо открыть этот порт в файрволе с помощью команды:

sudo ufw allow *port*

Теперь приступим к изменению порта. В первую очередь, находясь на удаленном узле, необходимо открыть файл sshd_config:

sudo nano /etc/ssh/sshd_config

Внутри этого файла найдите строку Port и укажите там свое значение, например, 4312.

Port 4312

После этого необходимо перезагрузить демон SSH:

sudo service ssh restart (для Ubuntu / Debian / Mint Linux)
sudo service sshd restart (для CentOS / RHEL / Fedora Linux)

Теперь при подключении к этому удаленному узлу необходимо указывать новый порт для подключения по SSH с помощью ключа -p:

ssh -p 4312 hostname@remote_host

Если вы хотите, чтобы -p 4312 не нужно было вводить каждый раз, можно изменить файл конфигурации SSH на локальной машине следующим образом:

nano ~/.ssh/config
Host *alias_name*
HostName *remote_host*
Port *port*
User *username*

Теперь при подключении к удаленному узлу с помощью команды ssh *AliasName* порт будет выбран автоматически согласно соответствующей записи в /config.

Проброс авторизации

Проброс авторизации — это аутентификация на другом сервере через сервер, к которому вы подключены, используя ключ на вашем локальном компьютере. Иными словами, мы с узла A подключаемся к узлу B, а узел B, используя данные узла A, присоединяется с их помощью к узлу C.

На первом узле мы ввели команду подключения с ключом -A, тем самым подключились к узлу host_B.

ssh -A root@*host_B*

На узле host_B мы ввели следующую команду и присоединились к узлу host_C под учетными данными первого узла.

root@host_B:~# ssh root@*host_C*

Таким образом, вы можете подключаться по SSH через промежуточное устройство к любому другому устройству, к которому разрешен доступ с помощью вашего SSH-ключа.

Увеличение времени простоя

Время ожидания подключения может истечь — придется подключаться к системе заново. Чтобы этого избежать, настройте конфигурацию так, чтобы удаленный узел проверял активное SSH-соединение, отправляя клиенту echo-запросы каждые ServerAliveInterval секунд. Если клиент не ответит на запрос ServerAliveCountMax раз, то соединение будет разорвано.

Данные изменения нужно внести в конфигурацию файла /etc/ssh/sshd_config на сервере.

ServerAliveInterval *count*
ServerAliveCountMax *count*

Отключение проверки пароля

Ранее мы с вами настроили доступ по SSH с использованием SSH-ключей, но альтернативный вход по паролю по-прежнему включен. Чтобы обезопасить себя от возможного брутфорса (взлома пароля простым перебором), необходимо отключить возможность такого входа. Для этого на сервере нам необходимо открыть на редактирование файл конфигурации SSH под названием sshd_config:

sudo nano /etc/ssh/sshd_config

В нем найдем строку PasswordAuthentication, изменим ее значение с yes на no и сохраним изменения.

PasswordAuthentication no

Для того, чтобы изменения вступили в силу, следует перезагрузить службу SSH:

sudo service ssh restart (для Ubuntu / Debian / Mint Linux)
sudo service sshd restart (для CentOS / RHEL / Fedora Linux)

Теперь ваш сервер не будет рассматривать в качестве возможного варианта подключения по SSH использование пароля.

Устранение неполадок

Ключ игнорируется сервером

В редких случаях бывает, что вы настроили все корректно, но не можете подключиться к серверу с использованием SSH-ключей. По следующему выводу можно подумать, что сервер не видит ключ:

Permission denied (publickey).

Вероятнее всего, сервер SSH считает, что установлены неподходящие разрешения к некоторым каталогам. Для решения этой проблемы следует изменить права доступа. 

Настройка удаленного узла

Полный доступ к папке .ssh только владельцу, остальным — полный запрет:

chmod rwx------ ~/.ssh

Права на запись и чтение для файла authorized_keys только владельцу, остальным — полный запрет: 

chmod rw------- ~/.ssh/authorized_keys

Отмена записи группой и остальными пользователями:

chmod go-w ~/

Настройка локальной машины

Полный доступ к папке .ssh только владельцу, остальным — полный запрет:

chmod rwx------ ~/.ssh

Права на запись и чтение для файла ключа только владельцу, остальным — полный запрет:

chmod rw------- ~/.ssh/*key*

После применения этих политик ошибка должна исчезнуть. 

Зашифрованный домашний каталог

Если у вас есть зашифрованный домашний каталог, то SSH не сможет получить доступ к файлу authorized_keys, пока вы не пройдете аутентификацию. Поэтому SSH по умолчанию будет использовать вход по паролю. Чтобы решить эту проблему, создайте папку вне домашнего каталога с именем /etc/ssh/*username*. Этот каталог должен иметь права доступа rwxr-xr-x и принадлежать пользователю. Переместите в него файл authorized_keys (authorized_keys должен иметь права доступа rw-r—r— и принадлежать пользователю).

Затем отредактируйте файл /etc/ssh/sshd_config и добавьте в него запись:

AuthorizedKeysFile /etc/ssh/%u/authorized_keys

Перезагрузите службу SSH.

sudo service ssh restart (для Ubuntu / Debian / Mint Linux)
sudo service sshd restart (для CentOS / RHEL / Fedora Linux)

При следующем подключении по SSH вам не нужно будет вводить пароль.

Анализ логов подключения

При возникновении ошибок во время подключения вы можете проанализировать файл  /var/log/auth.log, в котором будут указаны все попытки подключения к системе, а также механизмы, использованные для аутентификации.

Также детальную информацию о подключении можно получить с помощью опций -v, -vv или -vvv. Чем больше ключей -v (но не более 3), тем подробнее будет лог.

ssh -vvv hostname@remote_host

Вызов справки

Подробное описание команды (ее параметров, значений и так далее) вы можете найти в документации, которая вызывается командой man. Например:

man ssh
man sshd

Заключение

В тексте мы рассмотрели создание и авторизацию с помощью SSH-ключей на базе ОС Linux и Windows, а также разобрали некоторые ошибки, которые могут возникать при использовании такого способа авторизации. Использование SSH-ключей не только упрощает способ авторизации, но и увеличивает степень защиты вашего сервера.