باستخدام المفتاح العمومي التوثيق الآلي لنقل الملفات

المشكلة : مخطوطات الآلي ونقل الملفات لا يمكن فك شفره المحميه بكلمة سر المفاتيح العموميه.

ومن الممكن استخدام المفتاح العمومي التوثيق تلقائيا لنقل الملفات من اله واحد الى آخر. وفي حين ان هذا لا يعتبر عادة أوصى ، قد يكون من المستحسن دفعة للمخطوطات. ومع ذلك ، وهذا ينطوي على تحديد بياض passphrase الواضح الذي يؤدي الى بعض المخاطر. لذا ينبغي لهذه الاليه ان تستخدم الا في اتجاه واحد الصدد بين اثنين محددة ، غير مميزة هويات المستعملين على مضيفه مختلفة.

Step1 : الذين يقررون من تثق

وهي واثقه من أن يقرر النظام الذي وما هويات المستعملين ذاهبه الى ان تستخدم على كل. دنيا امتياز (غير الجذريه ، لا - أ - الحقيقي - الشخص (هويات المستعملين هي افضل للنظام الى نظام علاقات الثقة. وبصفة عامة ، اقل أمنا ، وأقل حيوية النظام ينبغي ان نثق اكثر امنا ، واكثر انتقادا النظام.

في المثال التالي ، سنقوم بانشاء sshuser على client.example.com لوصل الى ما server.example.com المستخدم sshuser2.

Step2 : توليد زوج مفاتيح

اولا ، زوج مفاتيح تحتاج الى ان تتولد لsshuser على server.example.com. توليد زوج مفاتيح هو مفصل في خطوة 4.3 من هذا الكتاب. ومع ذلك ، عندما زوج مفاتيح تتولد لنقل مءتمته ، وتجدر تهيئتها بحيث نشعر ابدا دفعت الى فك شفره المفتاح الخاص.

لإنجاز ذلك ، مع عدم الدخول في passphrase عندما دفعت به 19/4/2001 - keygen برنامج - بدلا من مجرد دخول الصحافة. وهذا ايضا يمكن ان يتحقق من خلال تزويد - أ ف الخيار مع لاغيه passphrase 19/4/2001 - keygen (سياسي - ف ""). عندما كنت لا أدخل passphrase ، 19/4/2001 - keygen نفهم هذا يدل على ان كنت لا تريد ان المفتاح الخاص المشفره :

[Sshuser@client.example.com] دولار 19/4/2001 - keygen - t وكالة الفضاء الروسيه
توليد بين القطاعين العام والخاص وكالة الفضاء الروسيه وزوج المفاتيح.
أدخل في الملف الذي لانقاذ مفتاح (/ الوطن / sshuser /.ssh / id_rsa) :
ادخل passphrase (فارغه للا passphrase) :
Passphrase ادخل نفسه مرة أخرى :
وقد تم تحديد الهوية الخاصة بك في انقذت / الوطن / sshuser /.ssh / id_rsa.
المفتاح العمومي الخاص بك تم حفظ فى / الوطن / sshuser /.ssh / id_rsa.pub.
المفتاح هو البصمه :
7 ه : أ ب : 80:12:06:0 f : b9 : 1f : f1 : 64 : b0 : 0a : 00:7 ج : 69 : B4 sshuser@client.example.com
[Sshuser@client.example.com] دولار

نضع في اعتبارنا ان المفتاح الخاص منذ الان المخزنه غير مشفر ، واذا كان احد استطاع الحصول على المفتاح الخاص الملف ، سيكون بامكانهم تسجيل الدخول على آلة الناءيه دون مصادقة التحدي. وهذا هو السبب في اننا استخدام مقيد حساب المستخدم على حد سواء آلات عندما خلق الازواج من المفاتيح مع اي passphrase.

الخطوة : نسخة المفتاح العمومي الى نظام الناءيه

زوج المفاتيح لsshuser ينبغي الان ان تنشأ وتخزن في sshuser ~ /.ssh دليل ، حيث ~ sshuser هو sshuser منزل دليل ، اما في id_dsa.pub او id_rsa.pub الملف ، اعتمادا على النوع الذى للزوج المفاتيح كنت قد صنعت :

[Sshuser@client.example.com] دولار لمؤتمر نزع السلاح. 19/4/2001
[Sshuser@client.example.com] $ LS - ل
المجموع 7
- قراءة - ص -- R -- 1 sshuser sshuser يان 223 22 11:00 authorized_keys
1 - قراءة ----- sshuser sshuser 883 24 فبراير 12:29 id_rsa
- قراءة - ص -- R -- 1 sshuser sshuser 239 24 فبراير 12:29 id_rsa.pub
- قراءة - ص -- R -- 1 sshuser sshuser 21 فبراير 2880 08:50 known_hosts
[Sshuser@client.example.com] دولار القط id_rsa.pub
19/4/2001 - وكالة الفضاء الروسيه
+ + Aaaab3nzac1yc2eaaaabiwaaaieavxdput60scgsrcfcyffvmtrvk8 izoe1jkgdoiwcklzb1e1ggkgqphftvnan5oc hx6c1wg66tfl
M/38jtqhwmgplo00zbfzma9qre72t/g58vl57chzomfwmwzxxyuni8v7tht2pmxty5csjrqx4ppqum76lgk6qtpf5vyqh9m =
Sshuser@client.example.com
[Sshuser@client.example.com] دولار

المفتاح العمومي sshuser بات يحتاج الى اكثر من نسخها الى server.example.com لsshuser2 الى استخدام. ويمكن ان يتم ذلك بأي حال من الأحوال ان هي مريحه. وبما اننا نقل المفتاح العمومي ونحن الذين لا يهتمون ترى المفتاح العمومي ، وانها يمكن ان تنقل في أ - النص على نحو واضح ، مثل بروتوكول نقل الملفات أو عن طريق البريد الالكتروني :

[Sshuser@client.example.com] دولار الاستهلاك والانتاج المستدامين id_rsa.pub sshuser2@server.example.com : ~
Sshuser2@server.example.com 's كلمة السر : *
Id_rsa.pub 100 ٪ 239 |*****************************| 00:00

وبمجرد sshuser المفتاح العمومي هو نسخها الى server.example.com ، فتح الدورة 19/4/2001 الى server.example.com وسجل في النحو sshuser2. اذا كان لديك حساب sshuser2 تقتصر هذه بانها ليست قادرة على تسجيل الدخول ، وستضطر لتسجيل الدخول الى server.example.com كما الجذريه ، وعندئذ تصبح sshuser2 باستخدام سو القيادة :

[Sshuser@client.example.com] دولار 19/4/2001 sshuser2@server.example.com
Sshuser2@server.example.com 's كلمة السر : *
آخر تسجيل دخول : الاثنين 24 فبراير 2003 11:19:15 من client.example.com
[Sshuser2@server.example.com] دولار

عندما تقوم بتسجيل الدخول في ما sshuser2 ، الى التغيير. دليل sshuser2 19/4/2001 في منزل دليل. يجب ان تشاهد ملف اسمه authorized_keys.

[Sshuser2@server.example.com] دولار لمؤتمر نزع السلاح. 19/4/2001
[Sshuser2@server.example.com] $ LS - ل
المجموع 12
- قراءة - ص -- R -- 1 sshuser2 الموظفين 227 24 فبراير 12:21 authorized_keys
- قراءة - ص -- R -- 1 sshuser2 الموظفين 223 9 كانون الاول (ديسمبر) 25/14 known_hosts
[Sshuser2@server.example.com] دولار

اضف sshuser المفتاح العمومي ، وهي انك قد نسخت ، الى ملف authorized_keys. كن حذرا عند الاضافه الرئيسية لملف باعتباره مفتاح ينبغي ان يظل كما هو سطر واحد مستمر (اي النقل - اي عوائد او linefeeds).

[Sshuser2@server.example.com] $ LS ~ / id_rsa.pub
/ Home/sshuser2/id_rsa.pub
[Sshuser2@server.example.com] دولار القط ~ / id_rsa.pub>> authorized_keys
[Sshuser2@server.example.com] دولار القط authorized_keys 19/4/2001 - وكالة الفضاء الروسيه
Aaaab3nzac1yc2eaaaabjqaaaiea2rv612mkhaxokw2tva/6w34om2pzys9xqmy9pqg07qmqp0ubqaueqeuc7oga6wy9jbbqwmlx7b3c
Ruddoqnasuugqqypuivqqw4iaei24qmri6jtdcwewzq + ndodvxddqetvevjlxnvvbwsvcvi3tv +7 m26hoofyvogwb7njjqk =
Sshuser2@server.example.com
19/4/2001 - وكالة الفضاء الروسيه
+ + Aaaab3nzac1yc2eaaaabiwaaaieavxdput60scgsrcfcyffvmtrvk8 izoe1jkgdoiwcklzb1e1ggkgqphftvnan5oc hx6c1wg66tfl
M/38jtqhwmgplo00zbfzma9qre72t/g58vl57chzomfwmwzxxyuni8v7tht2pmxty5csjrqx4ppqum76lgk6qtpf5vyqh9m =
Sshuser@client.example.com

وبمجرد sshuser المفتاح العمومي وقد تم تذييل لauthorized_keys الملف بنجاح ، وأنك ينبغي أن تكون قادرة على تلقائيا في سجل ونقل الملفات من client.example.com سهل sshuser الى server.example.com كما sshuser2 دون ان تكون دفعت للتوثيق .

Step4 : التحقق من ان بامكانك تسجيل الدخول دون مصادقة سريعه

من اجل التحقق من ان المفتاح العمومي التوثيق ليس من اجل دفع passphrase ، في محاولة قطع الاشجار من server.example.com كما sshuser الى server.example.com كما sshuser2. اذا كل ما هو صحيح ، وانتم لا ينبغي دفع لpassphrase وينبغي تسجيل الدخول تلقائيا.

[Sshuser@client.example.com] دولار 19/4/2001 sshuser2@server.example.com
آخر تسجيل دخول : الاثنين 24 فبراير 2003 12:25:16 من client.example.com
[Sshuser2@server.example.com] دولار

Step5 : التحقق من ان برنامج المدن المستدامة نقل الاشغال.

اذا كنت قادرا على تسجيل الدخول الى النظام عن بعد باستخدام openssh دون ان تكون دفعت لpassphrase ، عليك ان تكون قادرة على استخدام برنامج المدن المستدامة لنسخ الملف الى server.example.com كما sshuser2 من client.example.com كما sshuser ، ايضا مع لا passphrase :

[Sshuser@client.example.com] دولار الاستهلاك والانتاج المستدامين test.pl sshuser2@server.example.com : ~
Test.pl 100 ٪ 151 |*****************************| 00:00
[Sshuser@client.example.com] دولار

Step6 : تأمين الصدد

وعند هذه النقطه لديك القدرة على خلق لحساب المستخدم على احد الزبائن لتسجيل الدخول الى الخادم باستخدام المفتاح العمومي التوثيق دون دفع لpassphrase. وفي حين ان هذا يجعل باستخدام المفتاح العمومي التوثيق أكثر سهولة ، كما انه يفتح المجال لبعض المخاطر الامنية. وهي المفتاح الخصوصي الذي استخدم لتسجيل الدخول الى خادم الناءيه هو الآن يجلس غير مشفر. اذا كانت كيديه المهاجم تتمكن من الحصول على المفتاح الخاص غير مشفر ، وقال انه سيكون قادرا على تسجيل الدخول كما الناءيه المستخدم. ولذلك ، وكذلك بعض القيود ينبغي وضعه في مكان لغلق استخدام من غير مشفر المفتاح الخاص.

Openssh يوفر عددا من الخيارات التي يمكن استخدامها لتقييد الرئيسية المستخدمة لتوثيق. هذه الخيارات هي دخلت في authorized_keys الملف على الخادم الناءيه ، التي سبقت مباشرة مرتبطة الدخول الرئيسية. خيارات متعددة يمكن استخدامها لمزيد من القيود على استخدام المفتاح. الخيارات المتاحة مبينة ادناه.

= من "مضيفة" - من الخيار يحدد عناوين بروتوكول انترنت للحل او hostnames التي يسمح لها باستخدام مفتاح للتوثيق. شاملة القيمه "*" و "؟" وانكار "!" ويمكن ان تستخدم ايضا لبيان الذي يستضيف يسمح للربط. تستضيف متعددة يمكن المحدد في فاصله - قائمة محدد. مثال رئيسي من استخدام الخيار هو مبين ادناه :

= من "192.168.1.10 ، *. example.com ،! Client.example.com "19/4/2001 - وكالة الفضاء الروسيه aaaab3nzac1yc2eaaaa253gaaieaug8ugce5 + /
+ + Cno2fccyrajn2lk5gsl ujv8ad8s1lobhldona20x6i9enln8 lp76k2jmulftwemc8mwmvrnil2zh2soc90qpb3kwbus6suvwt
X5akkxpb5uekmwqjjhoefoqx7kpzmkav83n73nae8u/oyagsiglvxcivehk9xx8 = sshuser@example.com

ملاحظه اذا openssh الشيطان هو الذي حددته لتعود الى توثيق كلمة السر عند المفتاح العمومي التوثيق ليست ناجحه ، كيديه المستخدم ربما لا يزال قادرا على تسجيل الدخول الى النظام اذا كانوا يعرفون كلمة السر لحساب! وذلك لأن هذه الخيارات سوى تقييد استخدام المفتاح ، وليس استخدام الحساب.

قيادة = "القيادة" - القيادة الخيار تحدد القيادة التي تدير مباشرة بعد والسبيل الى ذلك هو استخدام للتوثيق. بعد قيادة ينفذ ، 19/4/2001 الدورة سيتم انهائها على الفور. هذا الخيار مفيد للغاية عندما تريد تقييد استخدام مفتاح واحد الاوامر ، مثل ملف او نسخ احتياطية.

قيادة = "/ الوطن / الاحتياطيه / backup.sh" 19/4/2001 - وكالة الفضاء الروسيه aaaab3nzac1yc2eaaaa253gaaieaug8ugce5 + /
+ + Cno2fccyrajn2lk5gsl ujv8ad8s1lobhldona20x6i9enln8 lp76k2jmulftwemc8mwmvrnil2zh2soc90qpb3kwbus6suvwt
X5akkxpb5uekmwqjjhoefoqx7kpzmkav83n73nae8u/oyagsiglvxcivehk9xx8 = sshuser@example.com

البيئة = "متغير = قيمة" - البيئة الخيار يحدد متغير هو ان تضاف الى البيئة كلما كان السبيل الى ذلك هو استخدام. واذا كان هذا متغير البيئة هو بالفعل مجموعة ، وقراراته السابقة القيمه سيتم الكتابة فوقه. هذا الخيار يمكن ان يكون مفيدا لتحديد مسار متغير البيئة المسانده في بعض الكتابات الى منع الهجمات. هذا الخيار يمكن ان يكون المحدد عدة مرات.

البيئة = "الطريق = / بن ل: / البيرة / بن" ، البيئة = "مصطلح = vt100" 19/4/2001 - وكالة الفضاء الروسيه aaaab3nzac1yc2eaaaa253gaaieaug8ugce5 + /
+ + Cno2fccyrajn2lk5gsl ujv8ad8s1lobhldona20x6i9enln8 lp76k2jmulftwemc8mwmvrnil2zh2soc90qpb3kwbus6suvwt
X5akkxpb5uekmwqjjhoefoqx7kpzmkav83n73nae8u/oyagsiglvxcivehk9xx8 = sshuser@example.com

Permitopen = "المضيفه : ميناء" - permitopen الخيار يقيد المحلية الى ميناء الشحن وحدها تستضيف والموانئ المحددة. وخلافا للمن الخيار ، وانكار شاملة القيمه لا يمكن استخدامها. Permitopen خيارات متعددة يمكن المحدد. انظر الخطوة 6.1 لمزيد من المعلومات عن ميناء الشحن.

Permitopen = "mail.example.com : 25" ، permitopen = "mail.example.com : 143" 19/4/2001 - وكالة الفضاء الروسيه aaaab3nzac1yc2eaaaa253gaaie
Aug8ugce5 + / cno2fccyrajn2lk5gsl + + ujv8ad8s1lobhldona20x6i9enln8 lp76k2jmulftwemc8mwmvrnil2zh2soc90
Qpb3kwbus6suvwtx5akkxpb5uekmwqjjhoefoqx7kpzmkav83n73nae8u/oyagsiglvxcivehk9xx8 = sshuser@example.com

اي - بور - شحن - هذا الخيار لن أرفض أي ميناء الشحن عندما يستخدم المفتاح. انظر الخطوة 6.1 لمزيد من المعلومات عن ميناء الشحن.

اي - x11 - شحن - هذا الخيار سوف ارفض x11 الشحن عندما يستخدم المفتاح. انظر الخطوة 6.3 لمزيد من المعلومات حول x11 الشحن.

اي - وكيل الشحن - - هذا الخيار سوف ارفض وكيل شحن عندما يستخدم المفتاح. وكيل شحن تستخدم في openssh السماح المحلي الخاص بك openssh شيطان الاتصال بأحد التوثيق الوكيل (19/4/2001 - وكيله او الموكب الفخم) على الآلة الناءيه. التوثيق وكلاء تناقش بمزيد من التفصيل في خطوة 4.5.

اي - pty - هذه القيادة يمنع الكتابة البعيدة تخصيص تحدث عندما يستخدم المفتاح. وهذا امر مفيد عندما تريد ان رئيسي لا يستخدم إلا لاوامر غير التفاعلية ، مثل المساعدون.

Pty - لا ، لا - الوكيل - الشحن ، أي - x11 - الشحن ، أي ميناء الشحن - 19/4/2001 - وكالة الفضاء الروسيه aaaab3nzac1yc2eaaaa253gaaie
Aug8ugce5 + / cno2fccyrajn2lk5gsl + + ujv8ad8s1lobhldona20x6i9enln8 lp76k2jmulftwemc8mwmvrnil2zh2soc90
Qpb3kwbus6suvwtx5akkxpb5uekmwqjjhoefoqx7kpzmkav83n73nae8u/oyagsiglvxcivehk9xx8 = sshuser@example.com

هذا هو مقال اضافها نيل حذر

تنصل : موقعنا ليست مسؤولة عن المعلومات الواردة في هذه المادة. هذه المادة ولا يعبر باي حال عن آراء ، آراء ، والافكار او المعتقدات من المواد دليل الموظفين.

ترجمة أشعار : المادة "باستخدام المفتاح العمومي التوثيق الآلي لنقل الملفات" وقد ترجم تستخدم مشغل داءره الترجمة. ونحن نعتذر عن اي باخلاص اخطاء الترجمة التي وقعت. شكرا للتفاهم.