Frequently Asked Question

A kulcsos hitelesítés alapja, hogy minden felhasználó generál magának egy privát, és ahhoz tartozó publikus kulcsot. A publikus kulcs egyértelműen azonosítja a privátot, de ismeretével nem duplikálható a privát, ezért az ssh-s bejelentkezésnek lehet elégséges feltétele.

A publikus kulcs úgy néz ki, hogy ssh-rsa vagy ssh-dsa az eleje, van egy jó hosszú hexadecimális karaktersorozat, majd a kommentár, hogy milyen gépről van, tehát kb:

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQ[…] matya@notebook

Windows rendszeren

A legelterjedtebb a PuTTY, ami mellé le lehet tölteni (ha nem az installert szedjük le, ami amúgy ajánlott) a PuTTYgen és Pageant nevű programot. Az elsővel generálhatjuk le a megfelelő kulcspárt, amíg a másik egy authentikációs agent, tehát elég betölteni bele a kulcsunkat, és a PuTTY képes az alapján hitelesíteni, bár ez a lépés nem szükséges, mégis hasznos.

A Generate gombra kattintva az egér fenti ablakban való véletlen szerű mozgatásával tudjuk a kulcspárunkat elkészíteni. Erre érdemes egy jelszót tenni, hiszen ha illetéktelen kezébe kerül, akkor nem tud (azonnal) visszaélni vele. Paranoiások megspékelhetik még egy fájlrendszer (NTFS) szintű titkosítással. A Pageant például ezért is jó, mert induláskor be lehet vele töltetni a kulcsunkat, akkor kéri a jelszót, és amíg be vagyunk jelentkezve, azt megjegyzi.

Linux rendszeren

A debian-csomagokat használó rendszereken az openssh-client nevű csomag tartalmazza az ssh-keygen nevű programot, amit futtatva legenerálja a rendszer a ~/.ssh mappába az id_rsa és id_rsa.pubfájlokat. Ezek közül a .pub végú a publikus kulcsunk, ezt lehet odaadni, illetve bemásolni a megfelelő helyre, a sima id_rsa pedig a privát, erre vigyázzunk, nagyon. Itt is megkérdez minket a rendszer, hogy akarunk-e rá jelszóvédelmet, itt is érdemes, bár nem szükséges, enterrel tovább lehet menni.

Jó-jó, de mit kezdjek a publikus kulcsommal?

A linux oldalon, a home mappánk .ssh almappájában létre kell hozni (ha még nem létezik) egy authorized_keys mappát, amibe bele kell másolni soronként a publikus kulcsainkat. Ha ez megvan, és a távoli szerveren engedélyezve van a kulcsos authentikáció (alapból engedélyezve szokott lenni), akkor a felhasználói név megadása után jelszó nélkül beenged a rendszer.