SSH, atau secure shell, adalah protokol terenkripsi yang digunakan untuk mengelola dan berkomunikasi dengan server. Saat bekerja dengan server Debian, kemungkinan Anda akan menghabiskan sebagian besar waktu Anda dalam sesi terminal yang terhubung ke server Anda melalui SSH.
Dalam panduan ini, kami akan fokus pada pengaturan SSH Key untuk instalasi Debian 9. SSH Key menyediakan cara masuk yang mudah dan aman ke server Anda dan direkomendasikan untuk semua pengguna.
Langkah 1 — Membuat RSA Key Pair
Langkah pertama adalah membuat pasangan kunci pada mesin klien (biasanya komputer Anda):
$ssh-keygen
Secara defaultssh-keygen akan membuat 2048-bit RSA key pair, yang cukup aman untuk sebagian besar kasus penggunaan (Anda dapat meneruskan flag -b 4096 untuk membuat kunci 4096-bit yang lebih besar).
Setelah memasukkan perintah, Anda akan melihat output berikut:
Output Generating public/private rsa key pair. Enter file in which to save the key (/your_home/.ssh/id_rsa):
Tekan enter untuk menyimpan pasangan kunci tersebut .ssh/ subdirektori di direktori home Anda, atau tentukan sendiri folder penyimpanan key pair.
Jika sebelumnya Anda membuat SSH key pair, Anda mungkin melihat prompt berikut:
Output
/home/your_home/.ssh/id_rsa already exists.
Overwrite (y/n)?
Jika Anda memilih untuk menimpa kunci pada disk, Anda tidak akan dapat mengautentikasi menggunakan kunci sebelumnya. Berhati-hatilah saat memilih, karena ini adalah proses destruktif yang tidak dapat dibatalkan.
Anda kemudian akan melihat prompt berikut:
Output Enter passphrase (empty for no passphrase):
Di sini Anda secara opsional dapat memasukkan kata sandi yang aman, yang sangat dianjurkan. Sebuah frasa sandi menambahkan keamanan tambahan untuk mencegah pengguna yang tidak sah masuk.
Output sebagai berikut:
Output Your identification has been saved in /home/.ssh/id_rsa. Your public key has been saved in /home/.ssh/id_rsa.pub. The key fingerprint is: a9:49:2e:2a:5e:33:3e:a9:de:4e:77:11:58:b6:90:26 username@domain The key's randomart image is: +--[ RSA 2048]----+ | ..o | | E o= . | | o. o | | .. | | ..S | | o o. | | =o.+. | |. =++.. | |o=++. | +-----------------+
Sekarang Anda memiliki kunci publik dan pribadi yang dapat Anda gunakan untuk mengautentikasi.
Langkah selanjutnya adalah menempatkan kunci publik di server Anda sehingga Anda dapat menggunakan otentikasi berbasis SSH Key untuk masuk.
Langkah 2 — Copy Public Key ke Debian Server Anda
Cara tercepat untuk menyalin kunci publik Anda ke host Debian adalah dengan menggunakan utilitas bernama ssh-copy-id. Karena kesederhanaannya, metode ini sangat dianjurkan jika tersedia. Apabila tidak ada ssh-copy-id tersedia untuk Anda di mesin klien Anda, Anda dapat menggunakan salah satu dari dua metode alternatif yang disediakan di bagian ini (menyalin melalui SSH berbasis kata sandi, atau menyalin kunci secara manual).
Copy Public Key kedalam ssh-copy-id
ssh-copy-id tools disertakan secara default di banyak sistem operasi, jadi mungkin sudah tersedia di sistem lokal Anda. Agar metode ini berfungsi, Anda harus sudah memiliki akses SSH berbasis kata sandi ke server Anda.
Untuk menggunakan utilitas ini, Anda hanya perlu menentukan remote host yang ingin Anda sambungkan dan akun pengguna yang memiliki akses SSH. Ini adalah akun yang akan disalin SSH key publik Anda.
Sintaksnya adalah:
$ssh-copy-id username@domain
Berupa pesan berikut:
Output The authenticity of host '202.0.115.5 (202.0.115.5)' can't be established. ECDSA key fingerprint is fd:fd:d4:f9:77:fe:73:84:e1:55:00:ad:d6:6d:22:fe. Are you sure you want to continue connecting (yes/no)? yes
Ini berarti bahwa komputer lokal Anda tidak mengenali remote host. Ini akan terjadi saat pertama kali Anda terhubung ke host baru. Ketik “yes” dan tekan ENTER untuk melanjutkan.
Selanjutnya, utilitas akan memindai akun lokal untuk Anda id_rsa.pub kunci yang kami buat sebelumnya. Ketika menemukan key tsb, host akan meminta Anda untuk memasukkan kata sandi akun pengguna remote host:
Output
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
username@202.0.115.5' password:
Ketik password anda (pengetikan ulang password Anda tidak akan ditampilkan untuk tujuan keamanan) dan tekan ENTER. Utilitas akan terhubung ke akun pada remote host menggunakan kata sandi yang Anda berikan. Ini kemudian akan menyalin konten Anda ~/.ssh/id_rsa.pub key ke file diakun remote host ~/.ssh ke direktori bernama authorized_keys.
Anda akan melihat output berikut:
Output Number of key(s) added: 1 Now try logging into the machine, with: "ssh 'username@202.0.115.5'" and check to make sure that only the key(s) you wanted were added.
Pada titik ini, id_rsa.pub key Anda telah ditampilkan ke akun remote host server.
Copy Public KeyMenggunakan SSH
apabila Anda tidak mempunyai ssh-copy-id, tetapi Anda memiliki akses SSH berbasis kata sandi ke akun di server Anda, Anda dapat mengunggah kunci menggunakan metode SSH konvensional.
Kita bisa melakukan dengan menggunakan perintah cat untuk membaca konten SSH Key publik di komputer lokal kita dan mem-pipinya melalui koneksi SSH ke server jarak jauh.
Di sisi lain, kami dapat memastikan bahwa direktori ~ / .ssh ada dan memiliki izin yang benar di bawah akun yang di gunakan.
Kemudian dapat menampilkan konten yang tersambung ke file bernama authorized_keys dalam direktori tsb. Menggunakan simbol >> redirect untuk menambahkan konten alih-alih menimpanya. Ini akan memungkinkan kami menambahkan kunci tanpa merusak kunci yang ditambahkan sebelumnya.
Perintah lengkapnya terlihat seperti ini:
$cat ~/.ssh/id_rsa.pub | ssh username@remote_host "mkdir -p ~/.ssh && touch ~/.ssh/authorized_keys && chmod -R go= ~/.ssh && cat >> ~/.ssh/authorized_keys"
Pesan yang di tampilkan sebagai berikut:
Output The authenticity of host '202.0.115.5 (202.0.115.5)' can't be established. ECDSA key fingerprint is fd:fd:d4:f9:77:fe:73:84:e1:55:00:ad:d6:6d:22:fe. Are you sure you want to continue connecting (yes/no)? yes
Ini berarti bahwa komputer lokal Anda tidak mengenali host jarak jauh. Ini akan terjadi saat pertama kali Anda terhubung ke host baru. Ketik “yes” dan tekan ENTER untuk lanjut.
Setelah itu, Anda akan diminta memasukkan kata sandi akun pengguna jarak jauh:
Output username@202.0.115.5's password:
Setelah memasukkan kata sandi Anda, konten kunci id_rsa.pub Anda akan disalin ke akhir file authorized_keys dari akun pengguna jarak jauh. Lanjutkan ke Langkah 3 jika ini berhasil.
Copy Public Key Manual
Jika Anda tidak memiliki akses SSH berbasis kata sandi ke server Anda, Anda harus menyelesaikan proses di atas secara manual.
Secara manual menambahkan konten ke id_rsa.pub file kedalam ~/.ssh/authorized_keys file di remote mesin Anda.
Untuk menampilkan konten Anda id_rsa.pub key, ketik ini ke komputer lokal Anda:
$cat ~/.ssh/id_rsa.pub
Anda akan melihat Key konten, seperti ini:
Output ssh-rsa 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 username@domain
Akses remote host Anda sudah siap digunakan.
Setelah Anda memiliki akses ke akun Anda di server jarak jauh, Anda harus memastikan ~/.ssh berada directory. Perintah ini akan membuat direktori jika perlu, atau tidak melakukan apa pun jika sudah ada:
$mkdir -p ~/.ssh
Sekarang, Anda dapat membuat atau memodifikasi file official_keys dalam direktori ini. Anda dapat menambahkan konten file id_rsa.pub Anda di akhir file authorized_keys , membuatnya jika perlu, menggunakan perintah ini:
$echo public_key_string >> ~/.ssh/authorized_keys
Pada perintah di atas, gantikan public_key_string dengan output dari perintah cat ~/.ssh/id_rsa.pub yang Anda dieksekusi di sistem lokal Anda. Itu harus dimulai dengan ssh-rsa AAAA xxxx... .
Akhirnya, kami akan memastikan bahwa direktori ~/.ssh dan file authorized_keys memiliki set izin yang sesuai:
$chmod -R go= ~/.ssh
Ini secara rekursif menghapus semua izin “grup” dan “lainnya” untuk direktori ~/.ssh/ .
Jika Anda menggunakan akun root untuk mengatur kunci untuk akun pengguna, penting juga bahwa direktori ~ /.ssh milik pengguna dan bukan ke root :
$chown -R saksenengku:saksenengku ~/.ssh
Dalam tutorial ini, kita berinama saksenengku tetapi Anda harus mengganti nama pengguna yang sesuai dengan perintah di atas.
Sekarang dapat mencoba otentikasi tanpa kata sandi dengan server Debian anda.
Langkah 3 — Authenticate ke Debian Server Menggunakan SSH Keys
Jika Anda telah berhasil menyelesaikan salah satu prosedur di atas, Anda harus dapat masuk ke host jarak jauh tanpa kata sandi akun jarak jauh.
Untuk proses dasarnya Sama:
$ssh username@domain
Jika ini adalah pertama kalinya Anda terhubung ke host ini (jika Anda menggunakan metode terakhir di atas), Anda mungkin melihat sesuatu seperti ini:
Output
The authenticity of host '202.0.115.5 (202.0.115.5)' can't be established.
ECDSA key fingerprint is fd:fd:d4:f9:77:fe:73:84:e1:55:00:ad:d6:6d:22:fe.
Are you sure you want to continue connecting (yes/no)? yes
Ini berarti bahwa komputer lokal Anda tidak mengenali host jarak jauh. Ketik “yes” dan kemudian tekan ENTER untuk melanjutkan.
Jika Anda tidak memberikan frasa sandi untuk kunci pribadi Anda, Anda akan segera masuk. Jika Anda memberikan frasa sandi untuk kunci pribadi saat Anda membuat kunci, Anda akan diminta untuk memasukkannya sekarang (perhatikan bahwa penekanan tombol Anda tidak akan ditampilkan di sesi terminal untuk keamanan). Setelah diautentikasi, sesi shell baru akan terbuka untuk Anda dengan akun yang dikonfigurasi di server Debian.
Jika otentikasi berbasis kunci berhasil, lanjutkan untuk mempelajari cara mengamankan sistem Anda lebih jauh dengan menonaktifkan otentikasi kata sandi.
Langkah 4 — Nonaktifkan Otentikasi Kata Sandi pada Server Anda
Jika Anda dapat masuk ke akun menggunakan SSH tanpa kata sandi, Anda telah berhasil mengonfigurasi otentikasi berbasis kunci SSH ke akun Anda. Namun, mekanisme otentikasi berbasis kata sandi Anda masih aktif, artinya server Anda masih terkena serangan brute-force.
Sebelum menyelesaikan langkah-langkah di bagian ini, pastikan Anda memiliki otentikasi berbasis kunci SSH yang dikonfigurasi untuk akun root di server ini, atau lebih baik, bahwa Anda memiliki otentikasi berbasis kunci SSH yang dikonfigurasi untuk akun non-root pada akun ini. server dengan hak akses sudo . Langkah ini akan mengunci login berbasis kata sandi, sehingga memastikan bahwa Anda masih bisa mendapatkan akses administratif sangat penting.
Setelah Anda mengonfirmasi bahwa akun jarak jauh Anda memiliki hak administratif, masuk ke server jarak jauh Anda dengan kunci SSH, baik sebagai root atau dengan akun dengan hak akses sudo . Kemudian, buka file konfigurasi daemon SSH:
$sudo nano /etc/ssh/sshd_config
Di dalam file, cari direktif yang disebut PasswordAuthentication . Batalkan komentar pada garis dan atur nilainya menjadi “No”. Ini akan menonaktifkan kemampuan Anda untuk masuk melalui SSH menggunakan kata sandi akun:
$/etc/ssh/sshd_config ... PasswordAuthentication no ...
Simpan dan tutup file ketika Anda selesai dengan menekan CTRL + X , lalu Y untuk mengonfirmasi menyimpan file, dan akhirnya ENTER untuk keluar dari nano. Untuk benar-benar menerapkan perubahan ini, kita perlu memulai kembali menggunakan sshd :
$sudo systemctl restart ssh
Sebagai tindakan pencegahan, buka jendela terminal baru dan uji apakah layanan SSH berfungsi dengan benar sebelum menutup sesi ini:
$ssh username@domain
Setelah memverifikasi layanan SSH, Anda dapat menutup semua sesi server dengan aman.
Daemon SSH di server Debian Anda sekarang hanya merespons SSH Key. Otentikasi berbasis kata sandi telah berhasil dinonaktifkan.
Selamat Mencoba……
