Tudástár

SSH kulcsok használata a biztonságosabb VPS hozzáférésért

iranyonline 0

A digitális világban a biztonság soha nem volt még ennyire kritikus, különösen, ha szerverekről van szó. Egy Virtuális Privát Szerver (VPS) üzemeltetése során az egyik legfontosabb feladat a hozzáférés védelme. Sokan még mindig a hagyományos jelszavas hitelesítésre támaszkodnak, ami azonban súlyos biztonsági kockázatokat rejt. Itt jön képbe az SSH kulcsok használata, amely egy sokkal robusztusabb és kényelmesebb módszert kínál a VPS eléréséhez.

Ebben az átfogó útmutatóban lépésről lépésre végigvezetjük Önt az SSH kulcsok világán: megismerkedünk működésükkel, megtanuljuk generálásukat, beállításukat, és rávilágítunk a legjobb gyakorlatokra, amelyekkel maximálisan kihasználhatja a bennük rejlő potenciált. Célunk, hogy a cikk elolvasása után magabiztosan tudja alkalmazni ezt a technológiát, ezzel jelentősen növelve szervereinek biztonságát és a munkafolyamatok hatékonyságát.

Miért elavult a jelszavas hitelesítés és miért jobb az SSH kulcs?

Képzelje el, hogy van egy digitális széféje (a VPS-e), és egyetlen kulcs (a jelszava) nyitja. Ha valaki megszerzi a kulcsot, bejut. A jelszavak, még ha erősek is, ki vannak téve a brute-force támadásoknak, a szótár-alapú támadásoknak és a phishing-nek. Ráadásul sokan hajlamosak gyenge, könnyen kitalálható jelszavakat használni, vagy ugyanazt a jelszót több helyen is. Ez rendkívül veszélyes, hiszen egyetlen kompromittált jelszó láncreakciót indíthat el.

Ezzel szemben az SSH kulcsok egy aszimmetrikus titkosítási rendszert használnak, ami lényegesen erősebb. Két részből állnak: egy privát kulcsból és egy nyilvános kulcsból. A privát kulcsot Ön tartja szigorúan titokban a saját gépén, soha nem hagyhatja el azt, és nem oszthatja meg senkivel. A nyilvános kulcsot ezzel szemben nyugodtan feltöltheti a VPS-ére, és akár több szerveren is használhatja. A hitelesítés során a szerver a nyilvános kulcsot használja egy üzenet titkosítására, amit csak az Ön privát kulcsa tud visszafejteni, ezzel bizonyítva, hogy Ön a jogosult felhasználó. Ez a módszer gyakorlatilag lehetetlenné teszi a brute-force támadásokat, és sokkal biztonságosabbá teszi a hozzáférést.

Mi az SSH kulcs és hogyan működik?

Az SSH (Secure Shell) kulcspár két hosszú, kriptográfiailag összefüggő karaktersorozatból áll: egy privát és egy nyilvános kulcsból. Ezeket digitális ujjlenyomatnak is tekinthetjük.

  • Privát kulcs (private key): Ez a titkos kulcs. Mint a neve is mutatja, szigorúan titokban kell tartania. Soha, semmilyen körülmények között ne ossza meg senkivel! Általában egy jelszókifejezéssel (passphrase) van védve, ami egy további biztonsági réteget ad hozzá. Ez a fájl általában id_rsa (vagy id_ed25519 stb.) néven található a ~/.ssh/ könyvtárban.
  • Nyilvános kulcs (public key): Ezt a kulcsot nyugodtan megoszthatja bárkivel vagy feltöltheti bármelyik szerverre, amelyhez hozzáférni szeretne. Ez a kulcs „zárolja” az Ön felé irányuló kommunikációt. A szerver ezt a kulcsot tárolja az Ön felhasználói fiókjának ~/.ssh/authorized_keys fájljában. Ez a fájl általában id_rsa.pub (vagy id_ed25519.pub stb.) néven található a ~/.ssh/ könyvtárban.

Amikor Ön SSH-val próbál csatlakozni a VPS-éhez, a szerver egy „kihívást” küld, amelyet a nyilvános kulcsával titkosított. A kliensgép (az Ön számítógépe) ezután a saját privát kulcsával feloldja ezt a kihívást. Ha a megfejtés sikeres, a szerver tudja, hogy Ön rendelkezik a megfelelő privát kulccsal, és engedélyezi a hozzáférést a jelszó megadása nélkül. Ez a folyamat automatikus és villámgyors, miközben rendkívül biztonságos.

Az SSH kulcsok előnyei

Az SSH kulcsok számos előnnyel járnak a jelszavas hitelesítéssel szemben:

  1. Fokozott biztonság: Az SSH kulcspárok sokkal hosszabbak és komplexebbek, mint a legtöbb emberi jelszó. Brute-force támadással gyakorlatilag lehetetlen feltörni őket, és nem sebezhetők a szótár-alapú támadásokra.
  2. Kényelem: Miután beállította, többé nem kell jelszót megadnia minden egyes alkalommal, amikor csatlakozik a VPS-éhez. Ez felgyorsítja a munkafolyamatokat, különösen, ha gyakran kell csatlakoznia.
  3. Automatizálás: Az SSH kulcsok elengedhetetlenek az automatizált scriptekhez és a konfigurációkezelő rendszerekhez (pl. Ansible, Puppet), mivel lehetővé teszik a szerverek jelszó nélküli, biztonságos elérését.
  4. Rugalmasság: Egy privát kulccsal több szerverre is csatlakozhat, feltéve, hogy a nyilvános kulcsa fel van töltve azokra. Emellett több kulcspárt is használhat különböző célokra vagy szerverekhez.
  5. Könnyű visszavonás: Ha egy kulcs kompromittálódik (ami ritka, ha a privát kulcsot gondosan kezeli), egyszerűen eltávolíthatja a nyilvános kulcsot az authorized_keys fájlból a szerverről, azonnal visszavonva a hozzáférést.

SSH kulcsok generálása

Az SSH kulcsok generálása meglehetősen egyszerű folyamat, legyen szó Linuxról, macOS-ről vagy Windowsról.

Linuxon és macOS-en (Terminal)

Nyisson meg egy terminált, és használja az ssh-keygen parancsot:

ssh-keygen -t rsa -b 4096
  • -t rsa: Megadja a kulcs típusát (RSA). Az ED25519 is egy modern és biztonságos alternatíva (-t ed25519).
  • -b 4096: Megadja a kulcs hosszát bitekben. Az 4096 bit az RSA kulcsok esetében erős és ajánlott érték.

A parancs futtatása után a rendszer több kérdést is feltesz:

  1. Enter file in which to save the key (/home/youruser/.ssh/id_rsa):
    Nyomja meg az Entert az alapértelmezett hely (~/.ssh/id_rsa) használatához, vagy adjon meg egy másik fájlnevet, ha több kulcsot szeretne tárolni (pl. ~/.ssh/id_vps_example).
  2. Enter passphrase (empty for no passphrase):
    Erősen ajánlott egy jelszókifejezést megadni a privát kulcs védelmére. Ez egy extra biztonsági réteg, amely megakadályozza, hogy valaki, aki hozzáfér a privát kulcsfájljához, azonnal használhassa azt. Gondoljon rá úgy, mint egy jelszóra, ami a privát kulcsát védi.
  3. Enter same passphrase again:
    Ismételje meg a jelszókifejezést.

Ezután létrejön a kulcspár a ~/.ssh/ könyvtárban. Például, ha az alapértelmezett nevet használta:

  • id_rsa (a privát kulcs)
  • id_rsa.pub (a nyilvános kulcs)

Fontos, hogy a privát kulcs fájljának jogosultságai megfelelőek legyenek: csak Ön olvashatja. Az ssh-keygen automatikusan beállítja a chmod 600 jogosultságot.

Windowson (Git Bash, WSL vagy PuTTYgen)

  • Git Bash vagy WSL (Windows Subsystem for Linux): Ha telepítve van a Git Bash vagy a WSL, akkor ugyanazt az ssh-keygen parancsot használhatja, mint Linuxon. A kulcsok általában a C:UsersYourUser.ssh mappába kerülnek.
  • PuTTYgen (PuTTY Key Generator): Ha a PuTTY-t használja SSH kliensként, akkor a PuTTYgen programmal generálhat kulcsokat.
    1. Indítsa el a PuTTYgen-t.
    2. Válassza ki az RSA (vagy ED25519) kulcstípust, és állítsa a kulcs méretét 4096 bitre.
    3. Kattintson a „Generate” gombra, és mozgassa az egeret a jelzett területen a véletlenszerűség generálásához.
    4. Amikor elkészült, adjon meg egy erős jelszókifejezést (Key passphrase) és erősítse meg (Confirm passphrase).
    5. Mentse a privát kulcsot (Save private key) egy biztonságos helyre a számítógépén (pl. C:UsersYourUser.sshid_rsa.ppk). Soha ne ossza meg ezt a fájlt!
    6. Másolja ki a „Public key for pasting into OpenSSH authorized_keys file” felirat alatti szöveget. Ez a nyilvános kulcs, amelyet a VPS-ére kell feltölteni.

A nyilvános kulcs feltöltése a VPS-re

Miután generálta a kulcspárját, a következő lépés a nyilvános kulcs feltöltése a VPS-ére. Ezt többféleképpen is megteheti:

1. ssh-copy-id használata (ajánlott)

Ez a legegyszerűbb és leggyorsabb módszer Linuxon és macOS-en (és Git Bash/WSL-en Windowson). Győződjön meg róla, hogy még tud jelszóval csatlakozni a VPS-hez.

ssh-copy-id -i ~/.ssh/id_rsa.pub user@your_vps_ip_or_hostname
  • -i ~/.ssh/id_rsa.pub: Megadja a nyilvános kulcs elérési útját.
  • user: A felhasználónév, amivel bejelentkezik a VPS-re (pl. root vagy egy másik sudo felhasználó).
  • your_vps_ip_or_hostname: A VPS IP címe vagy domain neve.

Ez a parancs bejelentkezik a VPS-re (jelszóval), majd hozzáfűzi a nyilvános kulcsát a felhasználó ~/.ssh/authorized_keys fájljához, és beállítja a megfelelő jogosultságokat.

2. Manuális másolás

Ha az ssh-copy-id nem áll rendelkezésre, vagy PuTTYgen-t használt, manuálisan is feltöltheti a nyilvános kulcsot:

  1. Másolja ki a nyilvános kulcs tartalmát:
    • Linux/macOS: cat ~/.ssh/id_rsa.pub paranccsal, majd másolja a kimenetet.
    • PuTTYgen: Másolja ki a „Public key for pasting into OpenSSH authorized_keys file” alatti szövegdoboz tartalmát.
  2. Jelentkezzen be a VPS-re jelszóval: 
    ssh user@your_vps_ip_or_hostname
  3. Hozza létre a .ssh könyvtárat, ha még nem létezik: 
    mkdir -p ~/.ssh

    Fontos, hogy a könyvtár jogosultságai 700 legyenek (csak a tulajdonos olvashatja/írhatja/hajthatja végre):

    chmod 700 ~/.ssh
  4. Hozza létre (vagy szerkessze) az authorized_keys fájlt: 
    nano ~/.ssh/authorized_keys
  5. Illessze be a nyilvános kulcsát:
    Illessze be a kimásolt nyilvános kulcs szövegét az authorized_keys fájlba. Ha már vannak benne kulcsok, egyszerűen adjon hozzá egy új sort. Minden nyilvános kulcs egy külön sorban legyen!
  6. Mentse és zárja be a fájlt.
  7. Állítsa be az authorized_keys fájl jogosultságait: 
    chmod 600 ~/.ssh/authorized_keys

    Ez biztosítja, hogy csak a tulajdonos olvashassa és írhassa a fájlt.

Most próbáljon meg csatlakozni a VPS-hez az SSH kulcsával. Ha mindent jól csinált, nem fog kérni jelszót (csak a privát kulcs jelszókifejezését, ha beállított ilyet).

Az SSH daemon konfigurálása a VPS-en (biztonsági fokozat)

Miután meggyőződött róla, hogy az SSH kulcsokkal sikeresen tud csatlakozni, javasolt letiltani a jelszavas hitelesítést és más biztonsági beállításokat elvégezni a VPS-en az sshd_config fájlban. Ez kritikus lépés a biztonság fokozásához.

  1. Jelentkezzen be a VPS-re SSH kulccsal.
  2. Nyissa meg az SSH daemon konfigurációs fájlját szerkesztésre: 
    sudo nano /etc/ssh/sshd_config
  3. Keresse meg és módosítsa a következő sorokat (vagy adja hozzá, ha hiányoznak):
    • PasswordAuthentication no: Ez letiltja a jelszavas bejelentkezést. Ez a legfontosabb lépés!
    • PermitRootLogin no: (Opcionális, de erősen ajánlott) Ezzel letilthatja a közvetlen root bejelentkezést. Helyette egy normál felhasználóval jelentkezzen be, majd használja a sudo -i vagy sudo su parancsot root jogok szerzéséhez.
    • Port 2222: (Opcionális) Módosítsa az alapértelmezett 22-es SSH portot egy másikra (pl. 2222, vagy egy véletlenszerű, magas portszámra). Ez nem növeli a kriptográfiai biztonságot, de csökkenti az automatizált botok támadásait, mivel azok az alapértelmezett portot szkennelik. Ha ezt megváltoztatja, ne felejtse el később megadni a portszámot a csatlakozáskor!
    • UseDNS no: (Opcionális) Megakadályozza a DNS fordított keresést a bejelentkezéskor, ami felgyorsíthatja a csatlakozást és elkerülheti a DNS alapú támadásokat.
  4. Mentse el a fájlt és zárja be a szerkesztőt.
  5. Indítsa újra az SSH szolgáltatást, hogy a változtatások életbe lépjenek:
    • Debian/Ubuntu: sudo systemctl restart ssh
    • CentOS/RHEL: sudo systemctl restart sshd

FONTOS: Mielőtt kilépne a szerverről, nyisson meg egy új terminál ablakot, és próbáljon meg csatlakozni az SSH kulcsával. Ha sikeresen csatlakozik, akkor biztonságban van, és bezárhatja az előző munkamenetet. Ha valamilyen hiba történt, és nem tud csatlakozni, akkor még mindig van egy nyitott munkamenete, amin keresztül visszaállíthatja a sshd_config fájlt, vagy kijavíthatja a hibát. Soha ne zárja be az eredeti munkamenetet, amíg nem győződött meg arról, hogy az új beállítások működnek!

Csatlakozás a VPS-hez SSH kulcsokkal

Miután mindent beállított, a csatlakozás rendkívül egyszerű:

Linuxon és macOS-en (és Git Bash/WSL-en Windowson)

ssh user@your_vps_ip_or_hostname

Ha jelszókifejezést használt, a rendszer kérni fogja azt. Ha megváltoztatta az alapértelmezett SSH portot, akkor meg kell adnia a -p kapcsolóval:

ssh -p 2222 user@your_vps_ip_or_hostname

Ha több SSH kulcsa van, és nem az alapértelmezett id_rsa-t használja, megadhatja a kulcs fájlját a -i kapcsolóval:

ssh -i ~/.ssh/id_vps_example user@your_vps_ip_or_hostname

PuTTY-val Windowson

  1. Indítsa el a PuTTY-t.
  2. A „Session” kategóriában adja meg a VPS IP címét vagy domain nevét a „Host Name (or IP address)” mezőbe.
  3. Ha megváltoztatta az SSH portot, adja meg a „Port” mezőben (alapértelmezett 22).
  4. A bal oldali menüben navigáljon a „Connection” -> „SSH” -> „Auth” pontra.
  5. Kattintson a „Browse…” gombra, és válassza ki a korábban mentett privát kulcs fájlját (pl. id_rsa.ppk).
  6. Vissza a „Session” kategóriához, adjon egy nevet a „Saved Sessions” mezőbe (pl. „VPS_Example”), és kattintson a „Save” gombra.
  7. Most már csak ki kell választania a mentett munkamenetet, és kattintania a „Open” gombra a csatlakozáshoz. Ha beállított jelszókifejezést, a PuTTY kérni fogja azt.

SSH kulcsok kezelése és legjobb gyakorlatok

Az SSH kulcsok használata egyszerű, de néhány fontos gyakorlatot érdemes szem előtt tartani a maximális biztonság és kényelem érdekében.

Jelszókifejezés (Passphrase)

Ahogy már említettük, mindig használjon erős jelszókifejezést a privát kulcsához! Ez a legfontosabb extra biztonsági réteg. Ha a privát kulcsfájlja valamilyen módon illetéktelen kezekbe kerül, a jelszókifejezés nélkül nem tudják azt felhasználni. Gondoljon rá úgy, mint egy jelszóra a jelszókulcsához. Legyen hosszú, bonyolult, és ne ismételje meg máshol használt jelszavait.

SSH agent használata

A jelszókifejezés megadása minden csatlakozáskor kényelmetlen lehet. Az ssh-agent egy háttérben futó program, amely tárolja a privát kulcsait a memóriaában, miután egyszer beírta a jelszókifejezést. Ezután az agent automatikusan hitelesít minden további SSH kapcsolatot anélkül, hogy újra kérné a jelszókifejezést.

  • Indítás: eval "$(ssh-agent -s)"
  • Kulcs hozzáadása: ssh-add ~/.ssh/id_rsa (ekkor fogja kérni a jelszókifejezést)

Az ssh-agent automatikus indítását és a kulcsok hozzáadását gyakran beállítják a shell profil fájljában (.bashrc, .zshrc).

A privát kulcs fájljának jogosultságai

A privát kulcs fájljának jogosultságai kritikusak a biztonság szempontjából. Csak a felhasználó olvashassa és írhassa azt (chmod 600 ~/.ssh/id_rsa). Az ssh-keygen általában ezt automatikusan beállítja, de érdemes ellenőrizni. Ha a jogosultságok túl lazák, az SSH kliens nem fogja használni a kulcsot.

Több SSH kulcs

Érdemes lehet különböző kulcspárokat használni különböző célokra (pl. egyet a személyes VPS-eihez, egyet a munkahelyi szerverekhez, egyet Git repository-khoz). Ez növeli a biztonságot, mivel egy kulcs kompromittálódása nem érinti az összes hozzáférését.

Kulcsok rotációja

Nincs „lejárati dátum” az SSH kulcsokon, de jó gyakorlat évente vagy kétévente rotálni őket, hasonlóan a jelszóváltoztatásokhoz. Generáljon új kulcspárt, töltse fel a nyilvános kulcsot a szerverre, és távolítsa el a régit.

Privát kulcs biztonsági mentése

Bár a privát kulcsnak elvileg soha nem szabadna elhagynia a gépét, érdemes titkosított formában biztonsági mentést készíteni róla (pl. egy jelszókifejezéssel védett titkosított USB meghajtón vagy titkosított felhőtárhelyen). Ha elveszíti a privát kulcsát, elveszítheti a hozzáférést a szervereihez.

Az ~/.ssh/config fájl használata

A ~/.ssh/config fájl lehetővé teszi, hogy egyszerűbb aliasokat hozzon létre a szervereihez, és automatikusan beállítson paramétereket, mint például a felhasználónév, a port, vagy a privát kulcs elérési útja.

Host myvps
    HostName your_vps_ip_or_hostname
    User your_username
    Port 2222
    IdentityFile ~/.ssh/id_myvps_key
    IdentitiesOnly yes
    ForwardAgent yes

Ezután egyszerűen csak ssh myvps paranccsal csatlakozhat.

Hibaelhárítás

Néhány gyakori probléma és azok megoldása:

  • „Permission denied (publickey).” hiba: Ez a leggyakoribb hiba. Ellenőrizze a következőket:
    • A privát kulcs fájljának jogosultságai a helyi gépen 600 (~/.ssh/id_rsa).
    • A ~/.ssh/ könyvtár jogosultságai a VPS-en 700.
    • Az ~/.ssh/authorized_keys fájl jogosultságai a VPS-en 600.
    • A nyilvános kulcs pontosan egy sorban van az authorized_keys fájlban, és nincsenek benne felesleges szóközök vagy sortörések.
    • Az SSH daemon konfigurációjában (sshd_config) a PubkeyAuthentication yes be van állítva (ez az alapértelmezett).
    • Próbálja meg futtatni az ssh -v user@your_vps_ip parancsot a részletesebb hibakereséshez.
  • „Could not open a connection to your authentication agent.” vagy hasonló hiba az ssh-add használatakor: Ez azt jelenti, hogy az ssh-agent nem fut. Indítsa el az eval "$(ssh-agent -s)" paranccsal.
  • A privát kulcs jelszókifejezését kéri, de nem emlékszik rá: Ha nem emlékszik a jelszókifejezésre, a kulcs használhatatlan. Generálnia kell egy új kulcspárt és újra beállítani. Ezért fontos, hogy a jelszókifejezés könnyen megjegyezhető legyen az Ön számára, de nehezen kitalálható mások számára.
  • Nem tudok jelszóval bejelentkezni a jelszavas hitelesítés letiltása után: Ez nem hiba, hanem a kívánt viselkedés. Ezért volt kritikus az, hogy győződjön meg az SSH kulcsos bejelentkezés működőképességéről, mielőtt letiltja a jelszavas hitelesítést.

Összefoglalás

Az SSH kulcsok használata alapvető lépés mindenki számára, aki komolyan veszi a VPS biztonságát. Nemcsak jelentősen növeli a szerverek védelmét a rosszindulatú támadások ellen, hanem kényelmesebbé és hatékonyabbá is teszi a rendszergazdai feladatokat. A jelszavas hitelesítés elavult és kockázatos, az SSH kulcsok pedig a modern és biztonságos választást jelentik.

Reméljük, hogy ez a részletes útmutató segített Önnek megérteni az SSH kulcsok működését, és magabiztosságot adott ahhoz, hogy bevezesse őket a saját munkafolyamataiba. Ne halogassa tovább a váltást! Lépjen át Ön is a biztonságosabb jövőbe, és védje meg digitális eszközeit az SSH kulcsok erejével.

Kapcsolódó

Leave a Reply

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük