Создание и настройка входа через ssh 

Рассматривается вопрос создания ключа пользователя и настройки для авторизации на сервере в ssh через ключ.
Предполагается что ssh-сервер запущен и имеет настройки, принятые по умолчанию в ALTLinux.

Создание

Для создания ключа на компьютере пользователя нужно выполнить
$ ssh-keygen -b 2048 -t dsa

На вопрос о файле для сохранения ключа нажать Enter (по умолчанию). Далее будет задан вопрос о пароле к ключу. Пароль нужно указать.

В каталоге ~/.ssh
появляются файлы

• id_dsa – секретный ключ
• id_dsa.pub – публичный ключ

Внимание! Никогда никому не пересылайте секретный ключ.

Настройка входа (на сервере)

Для того, чтобы пользователь мог авторизоваться в системе через ssh-ключ, нужно в файл ~/.ssh/authorized_keys2 добавить содержимое файла id_dsa.pub. Если пользователь будет один входить под этой учётной записью, файл id_dsa.pub можно просто скопировать, назвав authorized_keys2.
Данные изменения проводятся в каталоге пользователя на сервере.
Обратите внимание на права к файлам:
-rw------- authorized_keys2 -rw-r--r-- config
и на каталог
drwx------ .ssh
принадлежать файлы должны пользователю и его группе

Использование

$ ssh user@server.fullname.ru

Конфигурационный файл (у пользователя)

Для удобства в файле ~/.ssh/config можно указать сокращение
Host myserv HostName server.fullname.ru User user Protocol 2 ForwardX11 yes ForwardAgent yes Compression yes

и вызывать просто как
$ ssh myserv

Чтобы не указывать пароль каждый раз при обращении к серверу, можно запустить
$ ssh-add
будет спрошен пароль и расшифрованный ключ запомнится на время вашего сеанса.

Настройка сервера

SSHD

Инструкция по установке и настройке сервера ssh для администратора.
Нужно установить пакет openssh-server, включить автоматический запуск при загрузке системы:
# chkconfig sshd on
В файле /etc/openssh/sshd_config укажите строку Allow Users? с перечислением пользователей, имеющих право подключаться к системе.
Например
AllowUsers guest test best
А также рекомендуется выключить аутентификацию по паролю (исправить строчку Password Authentication? на):
PasswordAuthentication no

Для вступления настроек в силу:
# service sshd reload

LDAP

Чтобы sshd мог пускать пользователей, живущих в LDAP, нужно немного подправить /etc/pam.d/sshd
auth required pam_userpass.so auth sufficient pam_ldap.so use_first_pass auth required pam_tcb.so shadow fork prefix=$2a$ count=8 nullok nodelay blank_nolog use_first_pass auth required pam_nologin.so account include system-auth password include system-auth session include system-auth

Думаю, не будет лишним указать содержимое /etc/pam.d/system-auth и system-auth-use_first_pass

Предупреждение: с openssh-server версии openssh-3.6.1p2-alt6 из ALTLinux Master 2.4 pam_mkhomedir НЕ РАБОТАЕТ, это решенный баг. См. тж. ниже.

system-auth
#%PAM-1.0 auth sufficient pam_ldap.so auth required pam_tcb.so shadow fork prefix=$2a$ count=8 nullok use_first_pass account sufficient pam_ldap.so account required pam_tcb.so shadow fork password sufficient pam_ldap.so password required pam_passwdqc.so min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny random=42 enforce=users retry=3 password required pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8 write_to=tcb session required pam_mkhomedir.so skel=/etc/skel/ umask=0026 session sufficient pam_ldap.so #session required pam_mkhomedir.so skel=/etc/skel/ umask=0026 session required pam_tcb.so session required pam_limits.so

system-auth-use_first_pass
#%PAM-1.0 #auth required pam_tcb.so shadow fork prefix=$2a$ count=8 nullok use_first_pass #password required pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8 write_to=tcb auth sufficient /lib/security/pam_tcb.so shadow fork prefix=$2a$ count=8 nullok use_first_pass auth required /lib/security/pam_ldap.so use_first_pass password sufficient /lib/security/pam_ldap.so use_authok password required /lib/security/pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8 write_to=tcb

Управление сессиями

Date: Fri, 27 May 2005 13:24:49 +0400 From: "Dmitry V. Levin" <ldv@> To: <sisyphus@> Subject: Re: [sisyphus] openssh update PAM session management в openssh той версии, которая находится в Сизифе/дистрибутивах и использует privilege separation, исполняется с правами пользователя, а не root'а. Как следствие, - pam_mktemp не сможет создать подкаталог в /tmp/.private/ с нужными правами, если его там нет; - pam_mkhomedir не сможет создать подкаталог с нужными правами, если его там нет; - pam_limits не сможет увеличить лимиты сверх тех, что есть у процесса openssh. В качестве workaround'а можно помещать это модули в PAM account management.

Ссылки

• кратко в документации по ALT Мастер24
• Настройка сервера SSH (теория и практика)
• Настройка SSH в cygwin