Felejtsd el a jelszavakat: SSH hitelesítés beállítása kulcspárral a maximális biztonságért

Képzeljen el egy világot, ahol többé nem kell aggódnia a bonyolult, megjegyezhetetlen jelszavak miatt. Egy világot, ahol a szerverekhez való hozzáférés nem csupán biztonságosabb, de sokkal kényelmesebb is. Ez nem egy futurisztikus álom, hanem a valóság az SSH kulcspáros hitelesítés használatával. Ha még mindig jelszavakat használ távoli szervereihez való kapcsolódásra, akkor olvassa el ezt a cikket, és fedezze fel, hogyan teheti meg a lépést a jelszómentes, biztonságosabb jövő felé!

Bevezetés: A jelszavak alkonya és az SSH felemelkedése

A digitális világban a biztonság az egyik legfontosabb szempont. Nap mint nap hallunk adatszivárgásokról és feltörésekről, amelyek gyakran a gyenge, újrahasznált vagy kitalálható jelszavakra vezethetők vissza. Egy „erős” jelszó is csak addig véd, amíg valaki brutális erővel (brute-force attack) vagy szótártámadással meg nem fejti. A probléma még inkább égetővé válik, ha távoli szerverekhez, VPS-ekhez vagy felhőalapú rendszerekhez kapcsolódunk, ahol a jogosulatlan hozzáférés katasztrofális következményekkel járhat.

Itt jön a képbe az SSH (Secure Shell), amely már régóta a távoli, biztonságos kapcsolódás alapköve. Azonban az SSH protokoll nem csak jelszavas hitelesítést kínál. A valódi erőt és biztonságot az SSH kulcspáros hitelesítés nyújtja, amely egy fejlettebb, kriptográfiai elveken nyugvó módszer, ami gyakorlatilag lehetetlenné teszi a brute-force támadásokat, és drámaian növeli rendszereink védelmét. Ráadásul sokkal kényelmesebb is, mint a jelszavak állandó begépelése!

Mi az SSH és miért elengedhetetlen?

Az SSH egy hálózati protokoll, amely biztonságos adatkommunikációt tesz lehetővé két számítógép között egy nem biztonságos hálózaton, például az interneten keresztül. A leggyakrabban arra használjuk, hogy titkosított terminálkapcsolatot létesítsünk távoli szerverekkel, parancsokat futtassunk rajtuk, fájlokat másoljunk, vagy akár biztonságos alagutakat (tunneling) hozzunk létre az adatforgalom titkosítására.

Alapvetően három fő célt szolgál:

1. Titkosítás: Minden adatátvitel titkosítva történik, így illetéktelenek nem olvashatják el a kommunikációt.
2. Hitelesítés: Biztosítja, hogy csak a jogosult felhasználók férhessenek hozzá a szerverhez.
3. Integritás: Garantálja, hogy az átvitt adatok nem módosultak a továbbítás során.

Bár az SSH támogatja a jelszavas hitelesítést, a mai kiberfenyegetések mellett ez már korántsem elegendő. Lássuk, miért.

A kulcspáros hitelesítés mögött rejlő mágia: Aszimmetrikus kriptográfia

Az SSH kulcspáros hitelesítés az aszimmetrikus kriptográfia elvén működik, ami azt jelenti, hogy két különálló, de matematikailag összefüggő kulcsot használ: egy nyilvános kulcsot (public key) és egy privát kulcsot (private key). Ez a kulcspár Önnek, a felhasználónak van a birtokában.

• A privát kulcs az Ön titkos kulcsa. Szigorúan bizalmasan kell kezelni, soha senkinek nem szabad megmutatni, és ideális esetben egy jelszómondattal (passphrase) is védeni kell. Ezt a kulcsot a helyi gépén tárolja, ahonnan csatlakozni kíván.
• A nyilvános kulcs ezzel szemben biztonságosan megosztható. Ezt a kulcsot másolja fel arra a szerverre, amelyhez hozzáférni szeretne.

Amikor Ön megpróbál csatlakozni egy szerverhez kulcspárral, a következő történik:

1. A kliens (az Ön gépe) elküldi a szervernek, hogy melyik nyilvános kulccsal szeretne hitelesíteni.
2. A szerver megkeresi a megfelelő nyilvános kulcsot az Ön felhasználói fiókjának ~/.ssh/authorized_keys fájljában.
3. Ha megtalálja, küld egy „kihívást” (challenge) a kliensnek, amit csak a megfelelő privát kulccsal lehet dekódolni.
4. A kliens a privát kulcsával dekódolja a kihívást, majd elküldi a szervernek a titkosított válaszát.
5. A szerver a nyilvános kulcsával ellenőrzi a választ. Ha az egyezik, a hitelesítés sikeres, és a kapcsolat létrejön.

A lényeg az, hogy a privát kulcs sosem hagyja el az Ön gépét. A szerver sosem látja, és sosem kéri el a privát kulcsot, még a jelszómondatát sem. Ez az eljárás rendkívül biztonságossá teszi a rendszert, mivel nincs jelszó, amit egy támadó elcsíphetne vagy kitalálhatna.

SSH kulcspár generálása: Az első lépés a jelszómentes jövő felé

A kulcspár generálása egyszerű. Nyissa meg a terminált (Linuxon/macOS-en) vagy a Git Bash-t (Windowson, ha nincs WSL), és adja ki a következő parancsot:

ssh-keygen -t ed25519 -C "felhasznalonev@gepneve"

• -t ed25519: Ez határozza meg a kulcs típusát. Az Ed25519 egy modern, gyors és nagyon biztonságos algoritmus, amelyet ma már széles körben ajánlanak. Korábban az RSA (-t rsa -b 4096) volt elterjedt, ami szintén használható, de az Ed25519 előnyösebb.
• -C "felhasznalonev@gepneve": Ez egy komment, ami segíthet azonosítani a kulcsot. Érdemes megadni, főleg ha több kulcspárt is használ.

A parancs futtatásakor a rendszer feltesz néhány kérdést:

1. Enter file in which to save the key (~/.ssh/id_ed25519): Ide hagyhatja az alapértelmezett útvonalat, vagy megadhat egy másikat, ha például több kulcspárt szeretne használni. Nyomjon Entert az alapértelmezett elfogadásához.
2. Enter passphrase (empty for no passphrase): EZ rendkívül fontos! Mindig adjon meg egy erős jelszómondatot (passphrase). Ez egy extra védelmi réteg a privát kulcsa számára. Ha valaki mégis hozzáférne a gépéhez és ellopná a privát kulcsát, a jelszómondat nélkül nem tudná azt használni. Gondoljon rá úgy, mint egy jelszóra a jelszavaihoz, de sokkal hosszabb és összetettebb lehet.
3. Enter same passphrase again: Írja be újra a jelszómondatot a megerősítéshez.

Sikeres generálás esetén két fájl jön létre az Ön ~/.ssh/ könyvtárában (vagy az Ön által megadott helyen):

• id_ed25519 (vagy id_rsa): Ez az Ön privát kulcsa.
• id_ed25519.pub (vagy id_rsa.pub): Ez az Ön nyilvános kulcsa.

Ne feledje, a privát kulcsot szigorúan titokban kell tartani!

Nyilvános kulcs feltöltése a szerverre: Az összekapcsolás művészete

Miután generálta a kulcspárját, a nyilvános kulcsot fel kell tölteni arra a szerverre, amelyhez hozzáférni szeretne. A legegyszerűbb és legajánlottabb módszer az ssh-copy-id parancs használata.

1. Az ajánlott módszer: ssh-copy-id

Ez a parancs automatizálja a nyilvános kulcs másolását a szerverre, és gondoskodik a megfelelő jogosultságok beállításáról is. Első alkalommal még szüksége lesz a szerver jelszavára.

ssh-copy-id felhasznalonev@szerver_ip_cime

Például:

ssh-copy-id [email protected]

Ha nem az alapértelmezett kulcsfájlt használja (pl. mert több kulcspárja van), megadhatja a kulcs elérési útvonalát a -i kapcsolóval:

ssh-copy-id -i ~/.ssh/masik_kulcs.pub felhasznalonev@szerver_ip_cime

A parancs futtatásakor megkérdezi a jelszót a távoli szerver felhasználójához, majd feltölti a kulcsot, és beállítja a jogosultságokat. Ez a legbiztonságosabb és legkényelmesebb módja a kulcs feltöltésének.

2. Manuális feltöltés (ha az ssh-copy-id nem érhető el)

Ha valamiért nem tudja használni az ssh-copy-id parancsot, manuálisan is feltöltheti a nyilvános kulcsot:

1. Másolja át a nyilvános kulcsot a szerverre:

   scp ~/.ssh/id_ed25519.pub felhasznalonev@szerver_ip_cime:/tmp/id_ed25519.pub

   Itt is meg kell adnia a szerver jelszavát.

2. Csatlakozzon a szerverhez jelszóval:

   ssh felhasznalonev@szerver_ip_cime

3. Hozza létre a .ssh könyvtárat, ha még nem létezik, és állítsa be a megfelelő jogosultságokat:

   mkdir -p ~/.ssh
   chmod 700 ~/.ssh

   A chmod 700 parancs biztosítja, hogy csak Ön férhessen hozzá ehhez a könyvtárhoz.

4. Adja hozzá a nyilvános kulcs tartalmát az authorized_keys fájlhoz:

   cat /tmp/id_ed25519.pub >> ~/.ssh/authorized_keys

5. Állítsa be az authorized_keys fájl jogosultságait:

   chmod 600 ~/.ssh/authorized_keys

   A chmod 600 parancs azt jelenti, hogy csak a tulajdonos olvashatja és írhatja a fájlt, senki más. Ez kulcsfontosságú a biztonság szempontjából!

6. Törölje a temporális kulcsfájlt:

   rm /tmp/id_ed25519.pub

Miután a nyilvános kulcs a helyén van, próbálja meg az SSH-t a kulcspárral. Ha minden rendben van, jelszó kérés nélkül (vagy csak a privát kulcsa jelszómondatát kérve) be kell, hogy jelentkezzen.

Szerveroldali konfiguráció: Maximális biztonság beállítása

Az igazi biztonsági előnyt akkor éri el, ha letiltja a jelszavas hitelesítést a szerveren. Ez megakadályozza a brute-force támadásokat, mivel a támadók nem tudnak jelszavakat kipróbálni.

Mielőtt bármit is módosítana, győződjön meg róla, hogy a kulcspáros bejelentkezés működik! Hagyjon nyitva egy SSH munkamenetet arra az esetre, ha elrontana valamit, és ki lenne zárva. Így az aktív munkamenetből vissza tudja állítani a konfigurációt.

1. Nyissa meg az SSH démon konfigurációs fájlját:

   sudo nano /etc/ssh/sshd_config

2. Keresse meg és módosítsa a következő sorokat (vagy adja hozzá, ha hiányzik):
   • PasswordAuthentication no: Ez a legfontosabb lépés. Ez tiltja le a jelszavas bejelentkezést. Győződjön meg róla, hogy nincs kommentelve (nincs # jel előtte).
   • PermitRootLogin no: Erősen ajánlott. A root felhasználóval való közvetlen bejelentkezést is tiltja. Helyette jelentkezzen be egy normál felhasználóval, majd használja a sudo parancsot root jogokhoz. Ha feltétlenül szüksége van a root bejelentkezésre kulccsal, állítsa prohibit-password értékre, de még ez sem ajánlott.
   • PubkeyAuthentication yes: Ez alapértelmezésben be van kapcsolva, de ellenőrizze, hogy nincs kikapcsolva.
   • ChallengeResponseAuthentication no: Ez is kikapcsolható, ha nem használ más típusú interaktív hitelesítést (pl. Google Authenticator).
   • UsePAM no: Hacsak nincs rá különleges oka, ezt is kikapcsolhatja. A PAM (Pluggable Authentication Modules) modulokat használja a hitelesítésre, amire nincs szükség kulcsos bejelentkezés esetén.
3. Mentse a fájlt (Ctrl+O, Enter, Ctrl+X a Nano-ban).
4. Indítsa újra az SSH szolgáltatást:

   sudo systemctl reload sshd

   A reload parancs általában elegendő, és nem szakítja meg az aktív SSH munkameneteket. Ha valamiért nem működik, használhatja a restart parancsot, de az lecsapja az aktív kapcsolatokat:

   sudo systemctl restart sshd

Miután újraindította a szolgáltatást, nyisson egy új terminálablakot, és próbáljon meg csatlakozni a szerverhez. Ha sikeresen belép, akkor a jelszavas hitelesítés le van tiltva, és a kulcspáros bejelentkezés működik. Ekkor bezárhatja az előző, nyitva hagyott terminálablakot.

Ha nem tud bejelentkezni az új terminálból, ne essen pánikba! A még nyitva lévő (régi) terminálablakon keresztül még mindig hozzáfér a szerverhez. Kijavíthatja a sshd_config fájlt, majd újraindíthatja az SSH szolgáltatást, és újra próbálkozhat.

Kapcsolódás kulcspárral: Egyszerűség és kényelem

Miután minden be van állítva, a kapcsolódás hihetetlenül egyszerű:

ssh felhasznalonev@szerver_ip_cime

Ha a privát kulcsát jelszómondattal védte, a rendszer minden csatlakozáskor kérni fogja azt. Ez elsőre kényelmetlennek tűnhet, de van erre megoldás: az SSH ügynök (ssh-agent).

Az ssh-agent egy háttérben futó program, amely tárolja a privát kulcsának jelszómondatát a munkamenet idejére. Így csak egyszer kell begépelnie a jelszómondatot (a munkamenet elején), és onnantól kezdve minden SSH kapcsolódásnál automatikusan hitelesít. Indítsa el az ügynököt, majd adja hozzá a kulcsát:

eval "$(ssh-agent -s)"
ssh-add ~/.ssh/id_ed25519

Ekkor kéri a jelszómondatát, majd sikeres hozzáadás után nem fogja többé kérni az aktuális munkamenetben.

Haladó tippek és biztonsági legjobb gyakorlatok

• Jelszómondat használata: Soha ne hagyja a privát kulcsát jelszómondat nélkül! Ez az első védelmi vonal.
• SSH ügynök (ssh-agent): Használja az ssh-agent-et a kényelem és a biztonság érdekében.
• Kulcsjogosultságok: Ellenőrizze rendszeresen, hogy a ~/.ssh könyvtár jogosultságai 700, az authorized_keys fájlé pedig 600.
• Kulcsok rotációja: Érdemes időről időre új kulcspárt generálni és lecserélni a meglévőket (például évente).
• Fail2Ban: Telepítsen és konfiguráljon Fail2Ban-t a szerverére. Ez automatikusan blokkolja azokat az IP-címeket, amelyek túl sok sikertelen bejelentkezési kísérletet hajtottak végre (még ha le is tiltotta a jelszavas hitelesítést, akkor is hasznos lehet más szolgáltatások védelmére, és látja, ha valaki megpróbálkozik).
• Kétlépcsős hitelesítés (MFA): Ha még magasabb biztonságra vágyik, kombinálhatja az SSH kulcspáros hitelesítést egy hardveres kétlépcsős hitelesítési eszközzel, például YubiKey-jel.
• ~/.ssh/config fájl: Hozzon létre egy config fájlt a ~/.ssh/ könyvtárban. Ezzel rövid aliasokat (álnév) hozhat létre a szervereihez, vagy speciális beállításokat adhat meg (pl. Port, IdentityFile, User, stb.), így még kényelmesebbé teheti a kapcsolódást.

  Host my_server
    HostName 192.168.1.100
    User janos
    Port 2222
    IdentityFile ~/.ssh/id_ed25519

  Majd csak ennyit kell beírnia: ssh my_server

Gyakori problémák és hibaelhárítás

Ha a bejelentkezés nem sikerül, a leggyakoribb hibaüzenet a Permission denied (publickey). Ez általában a következőkre vezethető vissza:

• Helytelen fájl- vagy könyvtárjogosultságok: Ellenőrizze a ~/.ssh (700) és ~/.ssh/authorized_keys (600) fájlok jogosultságait a szerveren.
• Helytelen kulcs: Lehet, hogy nem a megfelelő nyilvános kulcsot adta hozzá az authorized_keys fájlhoz. Ellenőrizze a kulcs tartalmát.
• Hibás sshd_config: Valamit rosszul állított be a szerveren. Ellenőrizze a /var/log/auth.log (Linux) vagy /var/log/secure (Red Hat alapú rendszerek) log fájlt a szerveren, ahol részletesebb hibaüzeneteket talál.
• Tűzfal: Győződjön meg róla, hogy a szerver tűzfala (pl. ufw, firewalld) engedélyezi az SSH (alapértelmezett 22-es) portot.
• Helyi kulcs hiánya vagy rossz helye: Győződjön meg róla, hogy a privát kulcs fájl a megfelelő helyen van a helyi gépén.

Az ssh -v felhasznalonev@szerver_ip_cime parancs részletesebb hibakeresési információkat jelenít meg, ami sokat segíthet a probléma azonosításában.

Konklúzió: Lépj be a jelszómentes jövőbe!

Az SSH kulcspáros hitelesítés egy alapvető, de rendkívül hatékony lépés a digitális biztonság javítása felé. Nem csak a szerverei védelmét erősíti meg drámaian a brute-force támadások ellen, de a mindennapi munkát is sokkal kényelmesebbé teszi, mivel többé nem kell jelszavakat gépelnie. Felejtse el a jelszavakhoz kapcsolódó fejfájást és kockázatokat. Kezdje el ma használni az SSH kulcspáros hitelesítést, és tapasztalja meg a biztonságos és kényelmes távoli hozzáférés előnyeit. A jövő már itt van!