PKA står for Public Key Authentication og bruges som en ekstra sikkerhed for at forhindre brute-force angreb på en server.
Idéen er, at man opretter et keypair, altså et sæt af nøgler: En offentlig der kan sendes uden kryptering uden nogen form for fare og en privat der beskyttes med passphrase og gemmes på din egen computer. Teknikken benyttes også i forbindelse med kryptering af e-mails ved hjælp af en GPG (GNU Privacy Guard) key hvor den offentlige bruges til at kryptere indholdet hvorefter den private er den eneste der kan dekryptere det igen. Jeg kan i øvrigt stærkt anbefale alle der går ind for privatlivets fred at lære hvordan man bruger dem.

Nuvel, i denne tutorial skal du bruge et keypair til at beskytte din SSH service.
Først genererer du et hold nøgler. Det sikreste er at gøre det på din egen computer og derefter uploade den offentlige (Kontra downloade den private).



Åben en terminal eller SSH session på din server som den bruger du har uploadet nøglen til. Nu skal den flyttes på plads så systemet kan finde den når du prøver at forbinde næste gang.
Public keys skal ligge i filen ~/.ssh/authorized_keys. Dette er en fil der indeholder en liste (en key per linje) med nøgler der kan bruges til at logge ind på den pågældende bruger. På den måde kan man for eksempel give flere personer adgang til at logge ind som root med hver deres password (Altså som passphrase til deres egen private key) og deres adgang kan kontrolleres ved at fjerne nøglen igen. Seperate brugere er dog stadig at foretrække.

Først skal du sikre dig at mappen eksisterer:

For at kopiere din public key (id_rsa.pub) over kan du bruge kommandoen cat:
Det eneste cat gør er at læse indholdet af en fil og sende det til din terminal session. De to pile (>>) får bash til at sende resultatet af kommandoen ind i den sidstnævnte fil, authorized_keys.
Man kan godt nøjes med at flytte filen, men på denne måde sikrer du dig at du ikke overskriver eventuelle andre keys I modsætning til en enkelt pil (>) eller mv (Move) kommandoen.

Vi kan ikke have at andre brugere roder med dine auth oplysninger, så husk at sætte det korrekte chmod. .ssh skal have 700 (u+rwx og go-rwx) authorized_keys skal have 600 (u=rw og go-rwx).

Nu mangler du bare at konfigurere din server til at tillade PKA som godkendelsesmetode.
Log ind som superuser (sudo eller root) og åben din sshd konfiguration med dit tekstredigeringsprogram (vi, vim, nano, emacs, whatever).

Hvis du ikke selv har pillet ved filen vil alle disse indstillinger sandsynligvis være der i forvejen. Du skal sikre dig at der står følgende:
Du kan godt vente med at deaktivere password auth indtil du har sikret dig at det fungerer som det skal, men du kan også bare lade din root session stå åben mens du tester.

Genstart din SSH daemon

Nu kan du forbinde til din server ved hjælp af din private key.


Hvis serveren spørger om password har du ikke konfigureret den korrekt.
Korrekt:


Forkert:


Jeg håber i nød min vejledning, der kommer nok snart en om GPG (Som jeg jo selv anbefaler at i lærer at bruge) og en håndfuld andre om server hardening (port knocking, opsætning af firewall mm.)

Skide god guide. Pretty good stuff, meeen jeg kommer nok ikke til at bruge det, da jeg ikke helt bruger det med servere så meget.
Ellers godt skrevet, og godt med billeder! (Y) <-- damn

(10-07-2013, 22:18)Ash Skrev: da jeg ikke helt bruger det med servere så meget.

Nej for det ordner jeg for dig, it is my job :P
Thanx!

(10-07-2013, 22:20)Doctor Blue Skrev: Nej for det ordner jeg for dig, it is my job :P
Thanx!

Lige præcejslig! Det' bår dejli'!

Nice. Godt med lidt config stuff. :) Lige noget for mig. ;)
Jeg kan for publikum tilføje at de to >> tilføjer til filen hvor > overskriver.

(10-07-2013, 22:29)iTick Skrev: Nice. Godt med lidt config stuff. :) Lige noget for mig. ;)

Det er også den slags jeg bare elsker at læse :)

(10-07-2013, 22:29)iTick Skrev: Jeg kan for publikum tilføje at de to >> tilføjer til filen hvor > overskriver.

Jeg har altid undret mig over forskellen men kunne ikke finde det nogen steder, tusind tak! Jeg tilføjer det også lige til guiden :)

Rigtig god vejledning til det praktiske. Bruger det sådan set hver dag, men det er oprettet en gang i Putty og så køre det bare, så det er jo ikke noget man lige tænker over i hverdagen.

Du kunne dog godt havde lidt mere general info om symmetrisk og asymmetrisk kryptering med. :)