|
Задача - cоздать возможность безопасного входа с системы Windows XP/w2k (используя комплект утилит сетевого администрирования putty) на удалённую *nix систему (например FreeBSD), где запущен sshd, с использованием двухфакторной аутентификации (т. е. посредством private\open ключей и парольной фразы). Сервер - хост FreeBSD, клиент – w2XP. Далее расписан процесс по шагам.
[На клиенте (Windows XP)]
1. Создаём закрытый (private) ключ, используя утилиту puttygen.exe с параметрами SSH2 RSA, bits key 1024:
2. При создании ключа по возможности вводим длиную и плохопредсказуемую парольную фразу. Записываем её на бумажке, чтобы не забыть (почти шутка =).
3. Сохраняем private key в формате putty *.ppk (по умолчанию). Этот ключ впоследствии будет использоваться ssh-клиентом putty.exe при подключении к серверу. Файл private-ключа должен лежать на файловой системе клиента в надежном месте, желательно в папке NTFS, куда заданы права доступа только для человека, непосредственно использующего ключ.
4. В окне программы puttygen.exe будет в текстовом виде отображен public rsa ключ, который будет перенесён на сервер. Перенос можно сделать по несекретному каналу (copy/paste в telnet, по email, в виде файла на флешке).
[На сервере (FreeBSD)]
5. Создаем пользователя в системе командой adduser (для примера – user2). Проверяем вход пользователя в систему локально (например, войдя в другую консоль). Пароль пользователя может быть любым, он никак не связан с секретной фразой, введенной на шаге 2.
6. Интегрируем public rsa key в профиль пользователя. Для начала проверяем наличие в "домашней директории" каталога .ssh, и если его нет, то создаём командой mkdir /home/user2/.ssh.
7. В папке .ssh создаем файл authorized_keys с содержимым открытого ключа, текст которого мы получили на шаге 4. Создать файл можно командой touch, либо просто переименовать тот файл, который мы пенесли с клиента на флешке (для примера). Весь текст ключа, вместе с заголовком протокола (в данном примере ssh-rsa), должен быть на одной текстовой строке (строка завершается символом конца строки, шестнадцатеричное значение 0x0A). В общем случае файл authorized_keys может содержать несколько публичных ключей, по одному на одной строке.
8. Активируем на сервере демон sshd. Для этого редактируем в файле /etc/rc.conf добавляем строку sshd_enable="YES".
9. Далее правим файл /etc/ssh/sshd_config. Настраиваем sshd на двухфакторную аутентификацию при входе. Добавляем следующие опции (строки):
#разрешить заходить по ssh только пользователю user2
AllowUsers user2
#аутентификация по "public key"
PubkeyAuthentication yes
#указываем местонахождение файла открытого ключа
AuthorizedKeysFile .ssh/authorized_keys
#отключение парольной аутентифакации при входе ssh,
# то есть включение только двухфакторной аутентификации
UsePAM no
10. Для надежности перезагружаем сервер. Настройка закончена.
В заключение привожу настройку клиента putty.exe на использование приватного ключа, полученного на шаге 3.
При коннекте сервер запросит секретную фразу, которую мы вводили на шаге 2:
[Ссылки]
1. Применение putty для Windows.
2. OpenSSH для Windows.
3. FreeBSD: настройка sshd.
4. pscp: как передавать файлы по протоколу ssh. |
