Inicio de sesión con clave SSH Pub sin contraseña

tag-icon tag-icon ubuntu ssh
Inicio de sesión con clave SSH Pub sin contraseña

Estoy configurando un servidor SSH en Ubuntu 14.04.1 Server Edition. El objetivo es utilizar únicamente la autenticación de clave pública y permitir únicamente ciertos nombres de usuario.

Se crean mis claves pública y privada y se establece una contraseña en la clave privada. Copié la clave pública en el servidor (el proceso exacto se describe a continuación) y pude ingresar SSH al servidor por primera vez usando este comando.

ssh -i /path/to/id_rsa -p 50000 [email protected]

Se me solicitó la contraseña de la clave privada y se me permitió iniciar sesión. Genial.

Sin embargo, cada vez que vuelvo a ingresar mediante SSH al servidor, ya no se me solicita la contraseña de mi clave privada. Incluso puedo iniciar sesión sin especificar la ruta a mi clave privada, así:

ssh -p 50000 [email protected]

Incluso puedo eliminar ~/.ssh/known_hosts en el cliente (Mac OS X 10.8) y SSH exitosamente en el servidor a través de

ssh -p 50000 [email protected]

Entonces, mis preguntas son:

  1. ¿Qué utiliza el servidor para autenticarme si no utiliza mi clave privada, la contraseña de la clave ni el contenido del ~/.ssh/known_hosts del cliente?
  2. ¿Mi servidor SSH es inseguro? Copia de sshd_config incluida a continuación.

Gracias por tu ayuda.

Proceso de creación de claves

- at your computer (not the server) do
    - generate the keys: ssh-keygen -t rsa -b 4096
        - public key is saved at ~/.ssh/id_rsa.pub
        - private key is saved at ~/.ssh/id_rsa
- copy id_rsa.pub to server and append to ~/.ssh/authorized_keys
    - ssh-copy-id username@remotehost
    - a more secure method is to copy via usb drive
        - make a backup: cp authorized_keys authorized_keys.original
        - add public key to file: cat id_rsa.pub >> authorized_keys
    - if your home directory is encrypted (mine is)
        - in sshd_config: AuthorizedKeysFile /etc/ssh/%u/authorized_keys
        - move the authorized_keys file to /etc/ssh/me/authorized_keys
            - mkdir /etc/ssh/me
                - chmod u=rwx,go= /etc/ssh/me
                - chown me /etc/ssh/me
            - mv ~/.ssh/authorized_keys /etc/ssh/me/authorized_keys
                - chmod u=rw,go= /etc/ssh/me/authorized_keys
                - chown me /etc/ssh/me/authorized_keys

sshd_config

# User modified sshd_config.
# See the sshd_config(5) manpage for details.


#### Networking options ####

# Listen on a non-standard port > 1024. Default is 22.
Port 50000

# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0

# Only use protocol version 2.
Protocol 2

X11Forwarding no
X11DisplayOffset 10

# Helps the server recognize problems and the connection will be killed.
TCPKeepAlive yes

#### Networking options ####


#### Key Configuration ####

# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key

# Privilege Separation is turned on for security.
UsePrivilegeSeparation yes

# Use public key authentication
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys
AuthorizedKeysFile /etc/ssh/%u/authorized_keys

#### Key Configuration ####


### Authentication ###

# 30 seconds to enter your key passphrase.
LoginGraceTime 30

# No root login.
PermitRootLogin no

# Force permissions checks on keyfiles and directories.
StrictModes yes

HostbasedAuthentication no

# Don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication.
IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED).
PermitEmptyPasswords no

# Disable challenge and response auth. Unnecessary when using keys.
ChallengeResponseAuthentication no

# Disable the use of passwords completly, only use public/private keys.
PasswordAuthentication no

# Using keys, no need for PAM (Pluggable Authentication Modules).
# Also allows SSHD to be run as a non-root user.
UsePAM no

# Don't use login(1)
UseLogin no

AllowUsers me

### Authentication ###


### Misc ###

# Logging
SyslogFacility AUTH
LogLevel VERBOSE

# Print the last time the user logged in.
PrintLastLog yes

# Maximum number of concurrent unauthenticated connections to the SSH daemon (the number of users still logging in).
MaxStartups 10:30:60

# Display login banner.
Banner /etc/issue.net

# Allow client to pass locale environment variables.
# Accept language variables to help the shell session display properly for the client.
AcceptEnv LANG LC_*

# External file transfer daemon to use for sftp requests.
Subsystem sftp /usr/lib/openssh/sftp-server

# Should the SSH daemon itself read and display the message of the day file.
PrintMotd no

### Misc ###

Configuración del cortafuegos

- allow incoming connections to port 50000
    - sudo ufw allow in 50000
- Rate-limit the connections
    For example, deny connections if an IP address has attempted to initiate
    6 or more connections in the last 30 seconds.
    - sudo ufw limit ssh

Respuesta1

  1. Es probable que su computadora cliente haya almacenado en caché las credenciales, por lo que probablemente todavía esté usando su clave privada. Si reinicia su computadora, deberá ingresar la frase de contraseña nuevamente. (Además, si sus claves están en ~/.ssh/, entonces esa es la ubicación predeterminada sshpara buscarlas)

  2. Su configuración de SSH se ve bien, al igual que la configuración de su firewall (suponiendo que esté configurada de manera predeterminada para denegar). No puedo comentar sobre la seguridad de su sistema en su conjunto.

Avíseme si esto omite algo.

información relacionada