Kapsin logo

Kapsi Internet-käyttäjät ry

SSH-avaimen käyttö kirjautumiseen

SSH-avaimen avulla ssh-yhteyttä voi käyttää ilman, että salasanaa täytyy syöttää erikseen joka kerta, mikä on hyödyllistä erityisesti skripteissä. Lisäksi tunnuksen salasana voi tällöin olla hieman pidempi, kun sitä ei tarvitse muistaa. Myös avaimen voi suojata erillisellä salasanalla.

SSH-avain koostuu omalle koneelle tallennetusta yksityisestä puoliskosta, ja ssh-palvelimella olevasta julkisesta avaimesta. Kirjauduttaessa ssh-ohjelma salaa yksityisellä avaimella viestin, ja palvelin tarkistaa, että viestin salaus täsmää tallennettuun julkiseen avaimeen.

Avaimen luominen omalle koneelle

RSA-avain luodaan omalle koneelle (tai siihen järjestelmään, josta yhteyttä otetaan) komennolla:

ssh-keygen -t rsa

Windowsissa avaimen voi luoda myös PuTTY:n lisäohjelman avulla: puttygen.exe

Seuraavaksi ssh-keygen kysyy tiedostojen tallennuspaikan:

Enter file in which to save the key (/home/user/.ssh/id_rsa): 

Oletuspaikka on hyvä, ssh hakee avainta sieltä automaattisesti.

Avaimelle on suositeltavaa määritellä erillinen salasana, jota ilman sitä ei voi käyttää. Salasanattoman avaimen voi kuitenkin luoda painamalla enteriä salasanaa kysyttäessä. Salasanattoman avaimen käytössä on oltava erityisen huolellinen, sillä jos salainen avaintiedosto joutuu vääriin käsiin, joku muu pystyy käyttämään luvatta tunnuksiasi.

Enter passphrase (empty for no passphrase):
Enter same passphrase again:

Julkisen osan kopioiminen palvelimelle

Helpoiten julkisen osan saa kopioitua ssh-copy-id -komennolla:

ssh-copy-id käyttäjä@kapsi.fi

Ellei koneellasi ole ssh-copy-id -ohjelmaa, voit kopioida avaimen itse. Tätä varten tarvitsemme ssh-keygenin tulosteesta julkisen avaimen id_rsa.pub sijainnin:

Your identification has been saved in /home/user/.ssh/id_rsa.
Your public key has been saved in /home/user/.ssh/id_rsa.pub.
The key fingerprint is:
bf:47:6a:73:dc:7e:20:ad:69:06:4e:0b:a5:92:82:df user@localhost

Tiedostossa on yksi pitkä rivi, joka kopioidaan palvelimelle tiedostoon ~/.ssh/authorized_keys . Tekstin on tultava yhdelle riville, ja sen jälkeen on oltava rivinvaihto.

Jos päätteessäsi ei ole kopiointitoimintoa, tai haluat varmistaa että homma menee varmasti oikein, komenna:

cat ~/.ssh/id_rsa.pub | ssh user@kapsi.fi "mkdir ~/.ssh ; cat >> ~/.ssh/authorized_keys"

Komento kysyy salasanan ssh-kirjautumista varten, ja lisää avaimen authorized_keys -tiedoston loppuun. Tämän jälkeen ssh:n pitäisi päästää sisään ilman salasanaa tai avaimen salasanan kanssa.

Avaimen käyttöön PuTTY:n kanssa löytyy ohje PuTTY:n manuaalista