Für den passwortlosen Server-Zugriff via SSH werden entsprechende Schlüsselpaare benötigt. Mit Hilfe dieser Key’s kann ohne Passwort auf den Server zugegriffen und die Passwort Authentication entsprechend disabled werden. Somit sind brute-force Attacken gegen den Server zwecklos, d.h. das System wird sicherer.
Zur Erzeugung des Schlüsselpaares steht unter Linux (als auch unter Windows 10) das Tool ssh-keygen zur Verfügung und wird z.B. wie folgt aufgerufen:
ssh-keygen -b 4096
Das Tool fragt nach Namen und Speicherort zur Ablage des Key. Als default wird hier bereits dei Datei id_rsa im Verzeichnis .ssh des Home-Verzeichnis des angeleldeten Users vorgeschlagen. Es kann entsprechend bestätigt werden. Als nächtes wird nach einer passhrase gefragt. Dies ist ein Passwort, um die generierte Key-Datei vor unerlaubten Zugriff zu schützen. Da der Zugriff auf den Server ohne Passwort erfolgen soll, wird keine passphrase vergeben. Es sollte daher sichergestellt werden, das niemand an diesen Key gelangen kann.
Im Anschluß generiert das Tool die beiden Files id_rsa (private Key) und id_rsa.pub (public Key)
Der Inhalt der Datei id_rsa_pub ist nun auf dem Zielserver in die Datei ~/.ssh/authorized_keys (in einer Zeile!) einzufügen:
mkdir ~/.ssh
chmod 700 ~/.ssh
vi ~/.ssh/authorized_keys
ssh-rsa AAC1wdAW2...Lgfwewefwefwf6ds=name@example.com
Damit der Key funktioniert, darf diese Datei nur vom jeweiligen Benutzer beschreibbar/lesbar sein:
chmod 600 ~/.ssh/authorized_keys
Das Login über Username/Password kann jetzt wie folgt disabled werden:
vi /etc/ssh/sshd_config
PasswordAuthentication no
Nach einem Neustart des ssh Service (service ssh stop; service ssh start) ist jetzt nur noch ein login über den Key möglich.
Passwortloser Zugriff via „Putty“
Die folgenden Schritte ermöglichen auch ein passwortlosen Zugriff via „Putty“.
Mit dem Tool PuttY Key Generator kann der zuvor erzeugte private Key (id_rsa) in das Putty Format konvertiert werden:
Der importierte Key wird anschließend mit „Save private key“ in einer Datei mit der Endung ppk gesichert und in der entsprechenden Putty Configuration angegeben:
Bei der Putty Konfiguration ist noch wichtig, unter Connection / Data den entsprechenden Username einzutragen:
Anschließend funktioniert auch der passwortlose Zugriff via „Putty“.