justify">/etc/ssh/ssh_known_hosts і $ HOME/.ssh/known_hosts - дані файли містять список адрес і відповідних їм публічних ключів. При запиті клієнта сервер генерує випадкову рядок і шифрує її публічним ключем віддаленого хоста. Клієнт, отримавши цю рядок, розшифровує її своїм секретним ключем (який є тільки у нього) і зашифровує отриманий рядок ключем сервера. Сервер отримує зашифроване повідомлення, розшифровує своїм секретним ключем і порівнює з вихідною. Якщо рядки збіглися, то клієнт має пройшов стандартизацію секретний ключ, що дає йому право заходу на даний сервер. Але для початку клієнт повинен мати правильну адресу, якому відповідає публічний ключ на сервері у файлі ssh_known_hosts. Файл складається з 3-х полів: адреса (або адреси, розділені комою), публічний ключ для нього одним рядком і додаткове поле коментарів (необов'язково). Приклад файлу known_hosts:. Test.ru {SOME_VERY_LONG_PUBLIC_KEY}
Адреса клієнта повинен бути в повному форматі (name.domain), інакше можуть бути проблеми. Крім цього, в адресі можна використовувати шаблони * і?. Публічні ключі вставляються в даний файл самим адміністратором з генерованих клієнтом ssh (identity.pub) публічних ключів. Взагалі створення ssh_known_hosts - це прерогатива адміністратора (root). p align="justify"> І ще додам: при аутентифікації по хосту краще використовувати ssh_known_hosts, тому що цей метод достатньо безпечний, якщо публічні ключі клієнтів були отримані з довіреного джерела. Інші методи аутентифікації не виключають підміну адреси, і тому вважаються небезпечними. br/>
1.2 Аутентифікація користувача по його публічному ключу
Аутентифікація віддаленого користувача по ключу ідентична перевірці ключа хоста (з посилкою випадкової рядки) за тим винятком, що перевіряється не адресу клієнтської машини, а ключ клієнта та ім'я користувача. Даному користувачеві на сервері може відповідати його публічний ключ, тоді клієнт, маючи секретний ключ зможе заходити на сервер без пароля. Механізм роботи я щойно описав, тому відразу ж розповім, яким чином аутентифікувати користувачів по ключу (передбачається, що використовується клієнт і сервер openssh). p align="justify"> Для генерації пари ключів використовуйте програму ssh-keygen. Для вказівки типу ключа необхідно вказати ssh-keygen-t {RSA DSA}, наприклад ssh-keygen-t rsa створить пару ключів RSA завдовжки 1024 біта. Для вказівки файлу, в якому слід зберегти ключі, можна використовувати опцію-f (традиційно використовуються файли $ HOME/.ssh/id_rsa і $ HOME/.ssh/id_dsa для ключів rsa і dsa відповідно), для вказівки довжини ключа в бітах використовуйте опцію -b:
ssh-keygen-t rsa-b 2048-f $ HOME/.ssh/id_rsa
В результаті роботи програма запросить введення пароля для шифрування секретного ключа, щоб виключити використання його при попаданні до стороннім особам, які не знають пароля (пароль бажано вибира...
