Dobd el a jelszót, használd a kulcsot: SSH belépés jelszó nélkül, a biztonság jegyében

Képzelje el, hogy soha többé nem kell jelszót beírnia egyetlen távoli szerverre sem. Nincs többé küzdelem a komplex, nehezen megjegyezhető kombinációkkal, nincs aggodalom a brute-force támadások miatt, és nem kell félni a rosszindulatú szoftverek általi lehallgatástól. Lehet, hogy túlságosan idillinek hangzik, de ez a valóság az SSH kulcs alapú hitelesítés használatával. Ebben a cikkben részletesen bemutatjuk, hogyan szabadulhat meg végleg a jelszavaktól az SSH belépések során, miközben jelentősen növeli rendszerei biztonságát és saját kényelmét.

Mi is az az SSH, és miért olyan fontos?

Az SSH, azaz a Secure Shell, egy hálózati protokoll, amely biztonságos adatkommunikációt tesz lehetővé két számítógép között egy nem biztonságos hálózaton, például az interneten keresztül. Lehetővé teszi a távoli parancssori hozzáférést, a fájlok biztonságos másolását (SCP, SFTP), és alagutak létrehozását a titkosított adatforgalom számára. A rendszergazdák, fejlesztők és mindenki, aki távoli szerverekkel dolgozik, nap mint nap használja az SSH-t. Mivel az SSH-n keresztül küldött összes adat titkosított, alapvető fontosságú a szerverek távoli adminisztrációjához és az érzékeny adatok kezeléséhez.

A Jelszavak Átka: Miért kell elhagynunk őket?

Bár a jelszavak az online biztonság alapkövei voltak hosszú ideig, mára nyilvánvalóvá váltak a korlátaik és hiányosságaik, különösen az SSH belépések esetében:

• Brute-force támadások: Az automatizált támadók folyamatosan próbálnak bejutni szerverekre azáltal, hogy milliónyi jelszókombinációt tesztelnek. Egy gyenge jelszó (pl. „123456”, „password”) percek alatt feltörhető.
• Szótár alapú támadások: A támadók gyakran használnak előre összeállított szótárakat a gyakran használt szavak, nevek és kifejezések ellenőrzésére.
• Adathalászat és billentyűzetfigyelők: A jelszavakat könnyen ellophatják adathalász webhelyek vagy rosszindulatú programok a felhasználó gépén.
• Jelszó-újrafelhasználás: Sokan ugyanazt a jelszót használják több szolgáltatásnál. Ha az egyik helyen feltörik a jelszót, az összes többi fiók is veszélybe kerül.
• Memória terhelés: A komplex és egyedi jelszavak megjegyzése nehézkes, ami arra ösztönzi a felhasználókat, hogy gyengébb, könnyebben megjegyezhető jelszavakat használjanak, vagy leírják azokat.

Mindezek a tényezők a jelszavas hitelesítést egyértelműen gyengébbé és sebezhetőbbé teszik az SSH kulcs alapú hitelesítéshez képest.

A Megoldás: SSH Kulcspárok a Titkosítás Szárnyán

Az SSH kulcs alapú hitelesítés alapja a nyílt kulcsú kriptográfia, ami egy rendkívül biztonságos titkosítási módszer. Ennek lényege, hogy két kulcsot használunk: egy privát kulcsot és egy publikus kulcsot. Ezek a kulcsok matematikailag összefüggnek, de az egyikből nem lehet könnyedén levezetni a másikat.

• Privát kulcs (private key): Ez az Ön titkos kulcsa. Soha ne ossza meg senkivel, és tartsa biztonságban! Ez a kulcs a helyi gépén marad, titkosítva egy jelszókifejezéssel (passphrase) a nagyobb biztonság érdekében. Olyan, mint egy egyedi, csak Ön által birtokolt zárbetét.
• Publikus kulcs (public key): Ez a kulcs a távoli szerveren tárolódik, az Ön felhasználói fiókjához rendelve. Ezt a kulcsot nyugodtan megoszthatja, ebből nem származik biztonsági kockázat. Olyan, mint egy lakáskulcs másolata, amit a házmesternek ad, hogy bejusson, ha Ön ott van.

A hitelesítés során a szerver a publikus kulccsal ellenőrzi, hogy Ön valóban a privát kulcs tulajdonosa-e, anélkül, hogy valaha is látná vagy kérné a privát kulcsát.

Hogyan Működik az SSH Kulcs Alapú Hitelesítés?

Nézzük meg lépésről lépésre, hogyan zajlik egy SSH kulcs alapú belépés:

1. Kapcsolatfelvétel: Amikor Ön megpróbál csatlakozni egy távoli szerverhez SSH-n keresztül, a kliens elküldi a szervernek, hogy melyik kulcspárral szeretne hitelesülni.
2. Kihívás: A szerver megkeresi a kliens publikus kulcsát az ~/.ssh/authorized_keys fájlban. Ha megtalálja, generál egy véletlenszerű adatcsomagot, és ezt a publikus kulccsal titkosítja. Ezt a „kihívást” elküldi a kliensnek.
3. Válasz: A kliens a saját privát kulcsával feloldja a titkosított kihívást, majd a feloldott adatokból egy digitális aláírást hoz létre. Ezt az aláírást küldi vissza a szervernek.
4. Ellenőrzés: A szerver a nála lévő publikus kulcs segítségével ellenőrzi a kliens által küldött digitális aláírást. Ha az aláírás érvényes, és megegyezik az általa generált kihívással, akkor a szerver tudja, hogy a kliens birtokában van a privát kulcsnak.
5. Belépés: A hitelesítés sikeres, és Ön jelszó nélkül léphet be a szerverre.

Ez a folyamat rendkívül gyors és hatékony, miközben maximális biztonságot nyújt, mivel a privát kulcs soha nem hagyja el az Ön gépét, és soha nem kerül át a hálózaton.

SSH Kulcspár Létrehozása: Az Első Lépés

Az SSH kulcspár generálása egyszerű feladat a legtöbb Linux vagy macOS rendszeren, az ssh-keygen paranccsal.

ssh-keygen -t ed25519 -f ~/.ssh/id_ed25519_myserver -C "[email protected]"

Nézzük meg, mit jelentenek a kapcsolók:

• -t ed25519: Ez adja meg a kulcs típusát. Az ED25519 egy modern, erős és gyors kriptográfiai algoritmus, amely általában előnyben részesítendő az idősebb RSA-val szemben (bár az RSA is biztonságos, ha elegendően hosszú kulccsal generáljuk, pl. -b 4096).
• -f ~/.ssh/id_ed25519_myserver: Ez adja meg a generált kulcsfájlok nevét és helyét. Alapértelmezés szerint ~/.ssh/id_rsa vagy ~/.ssh/id_ed25519 néven jönnek létre. Érdemes lehet egyedi nevet adni a kulcsoknak, különösen, ha több szerverhez használ különböző kulcsokat.
• -C "[email protected]": Ez egy opcionális megjegyzés, ami a publikus kulcshoz kerül, segít azonosítani, hogy kihez vagy mihez tartozik a kulcs.

A parancs futtatása után a rendszer megkérdezi, hogy adjon-e meg egy jelszókifejezést (passphrase) a privát kulcshoz. Erősen ajánlott egy erős jelszókifejezés használata! Ez egy extra védelmi réteg, ami megakadályozza, hogy valaki, aki hozzáfér a privát kulcsfájljához, azt azonnal fel is használhassa. Ha beállít egy jelszókifejezést, minden egyes SSH belépéskor be kell írnia azt, hacsak nem használja az ssh-agent-et.

A generálás után két fájl jön létre a megadott könyvtárban (alapértelmezetten ~/.ssh/):

• id_ed25519_myserver (nincs kiterjesztés): Ez a privát kulcs. Tartsa szigorúan titokban és biztonságban!
• id_ed25519_myserver.pub: Ez a publikus kulcs. Ezt kell felmásolni a távoli szerverre.

A Publikus Kulcs Másolása a Kiszolgálóra

A generált publikus kulcsot fel kell másolni a távoli szerverre, ahová be szeretne lépni. Két fő módszer létezik erre:

1. Az ssh-copy-id parancs használata (ajánlott)

Ez a legegyszerűbb és legkevésbé hibalehetőséges módszer:

ssh-copy-id -i ~/.ssh/id_ed25519_myserver.pub user@server_ip_címe_vagy_domainje

• -i ~/.ssh/id_ed25519_myserver.pub: Ez adja meg a másolandó publikus kulcsfájl elérési útját. Ha nem adja meg, az ssh-copy-id alapértelmezés szerint az ~/.ssh/id_rsa.pub vagy ~/.ssh/id_ed25519.pub fájlt keresi.
• user@server_ip_címe_vagy_domainje: Ez a felhasználónév és a szerver címe, ahová a kulcsot másolni szeretné.

Az ssh-copy-id parancs a háttérben SSH-n keresztül bejelentkezik a szerverre (ehhez egyszeri jelszó szükséges), majd létrehozza a ~/.ssh könyvtárat, ha még nincs, beállítja a megfelelő jogosultságokat, és hozzáadja a publikus kulcsát az ~/.ssh/authorized_keys fájlhoz. Ha a fájl már létezik, egyszerűen hozzáfűzi a kulcsot.

2. Manuális másolás

Ha az ssh-copy-id valamilyen okból nem áll rendelkezésre, manuálisan is elvégezheti a másolást:

1. Keresse meg a publikus kulcs tartalmát:

   cat ~/.ssh/id_ed25519_myserver.pub

   Másolja ki a teljes kimenetet (a „ssh-ed25519 AAAA…” kezdetű részt a végén lévő megjegyzéssel együtt).

2. Jelentkezzen be a távoli szerverre jelszóval:

   ssh user@server_ip_címe_vagy_domainje

3. Hozza létre a .ssh könyvtárat és állítsa be a jogosultságokat:

   mkdir -p ~/.ssh
           chmod 700 ~/.ssh

   Ez utóbbi parancs rendkívül fontos, mivel az SSH szerver megköveteli, hogy a .ssh mappa csak a felhasználó számára legyen írható és olvasható (másnak semmilyen jogot nem adhat).

4. Adja hozzá a publikus kulcsot az authorized_keys fájlhoz:

   echo "AZ_ÖN_PUBLIKUS_KULCSA_ITT" >> ~/.ssh/authorized_keys

   Cserélje le az „AZ_ÖN_PUBLIKUS_KULCSA_ITT” részt a korábban kimásolt tartalommal. Ha már van kulcs az authorized_keys fájlban, a >> (hozzáfűzés) operátor biztosítja, hogy az új kulcs új sorba kerüljön, anélkül, hogy felülírná a meglévőket.

5. Állítsa be az authorized_keys fájl jogosultságait:

   chmod 600 ~/.ssh/authorized_keys

   Ez a parancs biztosítja, hogy az authorized_keys fájl csak a tulajdonosa számára legyen olvasható és írható. Ha a jogosultságok nem megfelelőek, az SSH szerver figyelmen kívül hagyja a fájlt.

Miután ezeket a lépéseket elvégezte, próbálja meg a jelszó nélküli belépést.

Jelszó Nélküli Belépés

Most már mindössze ennyi a teendője a belépéshez:

ssh user@server_ip_címe_vagy_domainje

Ha beállított jelszókifejezést a privát kulcsához, az SSH megkérdezi azt. Ha nem, vagy ha használja az ssh-agent-et (ami megjegyzi a jelszókifejezést a munkamenet idejére), azonnal be fog lépni a szerverre.

A Biztonság Fokozása: Lépések a Jelszómentes Belépés Után

A kulcs alapú hitelesítés beállítása csak az első lépés a maximális szerver biztonság felé. Néhány további intézkedés jelentősen növelheti a védelem szintjét:

1. Jelszavas Hitelesítés Letiltása: Ez az egyik legfontosabb lépés. Miután meggyőződött róla, hogy a kulcs alapú belépés működik, tiltsa le a jelszavas belépést a szerveren. Ehhez szerkessze az SSH szerver konfigurációs fájlját, amely általában a /etc/ssh/sshd_config címen található:

   sudo nano /etc/ssh/sshd_config

   Keresse meg a következő sorokat (vagy adja hozzá, ha nincsenek):

   PasswordAuthentication no
           ChallengeResponseAuthentication no
           UsePAM no # Opcionális, de növeli a biztonságot
           

   Mentsd el a fájlt, majd indítsa újra az SSH szolgáltatást:

   sudo systemctl restart sshd

   Figyelem: Először győződjön meg róla, hogy kulccsal be tud lépni, mielőtt ezt a változtatást megteszi! Ha elrontja, kizárhatja magát a szerverről.

2. Gyökér (root) Belépés Tiltása SSH-n Keresztül: A root felhasználó egy elsődleges célpont a támadók számára. Sokkal biztonságosabb, ha normál felhasználóként lép be, majd sudo paranccsal szerez rendszergazdai jogokat. Az sshd_config fájlban állítsa be:

   PermitRootLogin no

   Majd indítsa újra az SSH szolgáltatást.

3. SSH Port Megváltoztatása: Az alapértelmezett SSH port a 22. Bár ez nem igazi biztonsági funkció (hiszen egy támadó port scanneléssel könnyen megtalálja az új portot), de jelentősen csökkenti az automatizált brute-force támadások számát, amelyek csak a 22-es portot szkennelik. Az sshd_config fájlban:

   Port 2222 # Válasszon egy nem használt portot 1024 és 65535 között

   Ne feledje frissíteni a tűzfal szabályait is, hogy engedélyezze az új porton a bejövő kapcsolatokat!

4. Tűzfal Szabályok: Engedélyezze csak a feltétlenül szükséges portokat a szerverén, és csak a szükséges IP-címekről. Ha tudja, hogy csak bizonyos IP-címekről fog csatlakozni, korlátozza az SSH hozzáférést ezekre az IP-címekre.
5. Erős Jelszókifejezés a Privát Kulcshoz: Ahogy már említettük, használjon erős jelszókifejezést a privát kulcshoz. Ez megvédi a kulcsot, ha valaki mégis hozzáférne a helyi gépéhez. Az ssh-agent használatával nem kell minden belépéskor beírni.
6. Kulcsok Rotációja: Időnként (pl. évente) generáljon új kulcspárokat, és cserélje le a régieket a szervereken. Ez egy jó biztonsági gyakorlat, amely minimalizálja a feltört kulcsok okozta károkat.
7. `authorized_keys` és `.ssh` mappa jogosultságai: Az SSH nagyon szigorúan ellenőrzi a kulcsfájlok és a .ssh mappa jogosultságait. Győződjön meg róla, hogy a következő jogosultságok vannak beállítva a szerveren:
   • ~/.ssh mappa: chmod 700 ~/.ssh (Csak a tulajdonos olvashatja, írhatja, futtathatja)
   • ~/.ssh/authorized_keys fájl: chmod 600 ~/.ssh/authorized_keys (Csak a tulajdonos olvashatja és írhatja)

   Ha a jogosultságok lazábbak, az SSH szerver biztonsági okokból figyelmen kívül hagyja a kulcsokat.

8. `MaxAuthTries` korlátozása: Az sshd_config fájlban beállíthatja, hányszor próbálkozhat valaki sikertelenül a bejelentkezéssel, mielőtt a kapcsolatot megszakítaná. Ez segít a brute-force támadások elleni védekezésben.
9. `AllowUsers`, `AllowGroups`: Ha csak bizonyos felhasználóknak vagy csoportoknak szeretné engedélyezni az SSH hozzáférést, használhatja az AllowUsers és AllowGroups direktívákat az sshd_config fájlban.

Az SSH Kulcsok Előnyei Összefoglalva

A jelszavas hitelesítésről a kulcs alapú hitelesítésre való áttérés számos jelentős előnnyel jár:

• Páratlan Biztonság: A kriptográfia ereje a támadók számára rendkívül megnehezíti a belépést. Sokkal ellenállóbb a brute-force, szótár és adathalász támadásokkal szemben.
• Fokozott Kényelem: Nincs többé szükség komplex jelszavak megjegyzésére és beírására. Az egyszeri jelszókifejezés bevitelével (az ssh-agent segítségével) a belépés rendkívül gyors és zökkenőmentes lesz.
• Egyszerű Automatizálás: A jelszó nélküli belépés elengedhetetlen az automatizált scriptek, CI/CD pipeline-ok és egyéb automatizálási feladatok futtatásához, ahol emberi beavatkozás nélkül kell távoli szerverekhez csatlakozni.
• Jobb Felhasználói Élmény: Kevesebb frusztráció a jelszavakkal, gyorsabb munkafolyamatok.

Lehetséges Hibák és Hibaelhárítás

Néhány gyakori probléma, amibe belefuthat, és hogyan orvosolhatja őket:

• Permissions too open hiba: Ez a leggyakoribb probléma. Az SSH szerver nem engedi a belépést, ha a .ssh mappa vagy az authorized_keys fájl jogosultságai túl engedékenyek. Ellenőrizze és javítsa a jogosultságokat: chmod 700 ~/.ssh és chmod 600 ~/.ssh/authorized_keys (a szerveren).
• Rossz kulcs másolása: Győződjön meg róla, hogy a publikus kulcsot másolta fel, és nem a privátat. Ellenőrizze az authorized_keys fájl tartalmát a szerveren.
• Nincs hozzáadva a kulcs az agenthez: Ha jelszókifejezést használ, de az SSH mégis kéri a kulcsot, ellenőrizze, hogy hozzáadta-e az ssh-agent-hez (ssh-add ~/.ssh/your_private_key).
• Rossz felhasználónév vagy IP-cím: Ellenőrizze, hogy a megfelelő felhasználónévvel és szerver IP-címmel/domainnel próbál-e belépni.
• SSH szerver probléma: Ellenőrizze, hogy az sshd szolgáltatás fut-e a szerveren (sudo systemctl status sshd) és hogy a tűzfal nem blokkolja-e a kapcsolatot.
• Részletesebb hibakeresés: Használja az ssh -v user@server parancsot a verbose (részletes) kimenetért, ami gyakran segít azonosítani a probléma gyökerét.

Konklúzió

Az SSH kulcs alapú hitelesítés bevezetése nem csupán egy technikai frissítés, hanem egy alapvető paradigmaváltás a távoli szerverekhez való biztonságos hozzáférésben. Elhagyva a jelszavak korlátait, egy sokkal erősebb, kényelmesebb és automatizálhatóbb megoldást kapunk, amely létfontosságú a modern IT infrastruktúrákban. A kezdeti beállítás némi odafigyelést igényelhet, de a befektetett idő és energia messze megtérül a megnövelt biztonság, a jobb hatékonyság és a nyugodtabb éjszakák formájában. Ne habozzon, tegye meg az első lépést a jelszómentes jövő felé, és élvezze az SSH kulcsok nyújtotta szabadságot és biztonságot!