SSH (Secure Shell) es un protocolo cifrado que permite que el sistema del cliente se comunique de forma segura con un servidor. Puede conectarse a su sistema de forma remota, realizar tareas administrativas y acceder a archivos. Comunicarse con el servidor usando claves SSH es una forma más segura y conveniente que la autenticación con contraseña.
Aquí en LinuxAPT, como parte de nuestros Servicios de Administración de Servidores, ayudamos regularmente a nuestros Clientes a realizar consultas SSH relacionadas.
En este contexto, veremos cómo crear claves SSH en el sistema Debian 9 y cómo copiarlas al servidor de diferentes maneras.
¿Cómo utilizar claves SSH en Debian?
Antes de realizar este procedimiento, asegúrese de que está utilizando un usuario con privilegios sudo.
i. Para comenzar, crearemos un par de claves en el sistema del cliente usando el siguiente comando:
$ ssh-keygen
ii. De forma predeterminada, ssh-keygen generará un par de claves RSA de 2048 bits. Si desea crear una clave más grande de 4096 bits, puede pasar -b 4096 en el indicador como se muestra a continuación:
$ ssh-keygen -t rsa -b 4096
Debería mostrar una salida como la siguiente:
Output
Generating public/private rsa key pair.
Enter file in which to save the key (/home/yourusername/.ssh/id_rsa):
iii. Presione la tecla Intro para guardar los pares de claves en el directorio ./ssh o puede especificar la ubicación según su elección.
Después de eso, se le pedirá que ingrese una frase de contraseña segura como se muestra a continuación. La frase de contraseña agregará una capa de seguridad adicional a sus claves. Es opcional, si no desea configurarlo, puede omitirlo simplemente presionando la tecla Intro.
Output
Enter passphrase (empty for no passphrase):
A continuación, verá el resultado de la siguiente manera:
Your identification has been saved in /home/yourusername/.ssh/id_rsa.
Your public key has been saved in /home/yourusername/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:+cxkUbcUyFc7jXMHnQNlm/2O8rj+yDyP5Rnt29ov8Bc [email protected]
The key's randomart image is:
+---[RSA 2048]----+
| ..oB*o|
| .ooo*B|
| . .+=*|
| . . o+|
| S o .|
| * . E |
| + .o+ +|
| o.Oo=o|
| .O=B=B|
+----[SHA256]-----+
Ahora tiene claves públicas y privadas que puede usar para autenticarse con su servidor Debian.
IV. También puede verificar si sus archivos se generan o no escribiendo:
ls ~/.ssh/id_*
Mostrará una salida como esta:
/home/yourusername/.ssh/id_rsa /home/yourusername/.ssh/id_rsa.pub
¿Cómo copiar la clave pública al servidor Debian?
Ahora, el siguiente paso es colocar la clave pública en su servidor Debian. Una forma simple y rápida de copiar public es usar la utilidad ssh-copy-id.
Ejecute el siguiente comando:
$ ssh-copy-id username@server_ip_address
Se le pedirá que ingrese la contraseña para su nombre de usuario:
Output
username@server_ip_address's password:
Una vez que el usuario se autentique con éxito, la clave pública se agregará al archivo ~/.ssh/authorized_keys en el usuario remoto y la conexión se desconectará.
Output
Number of key(s) added: 1
Ahora puede intentar iniciar sesión en su máquina con el comando ssh username@server_ip_address y verificar que solo se agregaron las claves que desea agregar.
Si su sistema local no tiene instalada la utilidad ssh-copy-id, puede usar el siguiente comando para copiar la clave pública:
cat ~/.ssh/id_rsa.pub | ssh remote_username@server_ip_address "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"
Asegúrese de tener acceso SSH basado en contraseña a su servidor, entonces solo usted puede usar el método anterior.
¿Cómo iniciar sesión en el servidor usando claves SSH?
Ahora, debería poder iniciar sesión en la máquina remota sin la contraseña del usuario remoto.
Puede intentar conectarse usando el comando SSH:
$ ssh username@server_ip_address
Si es la primera vez que inicia sesión, es posible que le solicite lo siguiente.
Escriba sí y presione la tecla Intro para continuar:
Output
The authenticity of host '192.168.27.18 (192.168.27.18)' can't be established.
ECDSA key fingerprint is ed:ed:f4:g9:66:ge:53:48:e1:55:00:fd:6d:d7:22:fe.
Are you sure you want to continue connecting (yes/no)? yes
Ahora, si no ha establecido una frase de contraseña para sus claves, iniciará sesión inmediatamente sin pedir una frase de contraseña. De lo contrario, se le pedirá que ingrese la frase de contraseña. Después de una autenticación exitosa, una nueva sesión de shell abrirá su cuenta de usuario en el servidor Debian.
¿Cómo deshabilitar la autenticación de contraseña SSH?
Puede agregar una capa de seguridad más al deshabilitar la autenticación de contraseña para SSH. Antes de iniciar el proceso, asegúrese de poder autenticarse en su servidor sin ingresar la contraseña y debe tener una cuenta de usuario habilitada para Sudo.
i. Ingresemos a su servidor usando ssh:
$ ssh username@server_ip_address
ii. Ahora edite el archivo de configuración de SSH ubicado en /etc/ssh/sshd_config:
$ sudo nano /etc/ssh/sshd_config
iii. Busque la directiva PasswordAuthentication y, si la línea está comentada, elimine el comentario de la línea y establezca el valor en "no" como se indica a continuación:
PasswordAuthentication no
IV. Guarde y cierre el archivo. Debe reiniciar el servicio SSH usando el siguiente comando:
$ sudo systemctl restart ssh
Ahora, la autenticación basada en contraseña está deshabilitada en su servidor Debian.