Jak bezpiecznie dać komuś dostęp do SSH naszego serwera? Można podać login i hasło, ale można też wygenerować mu parę kluczy RSA, bo tak jest wg mnie lepiej i bezpieczniej. Niestety w tym przypadku ani wygenerowanie nowego klucza, ani przypisanie do grupy root nie pozwalało na zalogowanie się do maszyny.
Sprawa dotyczy jednego z serwerów VPS, na których mam kilka usług. Kolega zajmuje się tam stroną www i jak coś nie działa to musi pogrzebać w ustawieniach Apacha, PHP, czy innego ustrojstwa. Oczywiście najłatwiej to robi się przez SSH i dawniej miał login i hasło. Jednak w przypadku ich utraty lub wycieku, robi się duży problem z bezpieczeństwem. Ponieważ ja już jakiś czas temu przeszedłem na logowanie kluczem to chciałem jemu też dać taką możliwość.
Procedura jest prosta:
- W PuTTY Key Generatorze tworzymy parę kluczy;
- Zawartość klucza publicznego kopiujemy na serwer /home/nazwa_usera/.ssh/
- Klucz prywatny trafia do kolegi
- Od tego momentu powinien się móc logować z pominięciem hasła (brak hasła dla klucza)
Niestety, każda próba zalogowania się na serwer kończy się niepowodzeniem. Nowe klucze – nawet generowane z poziomu serwera – nie pomagają. Stare przysłowie mówi “miej logi i patrzaj w logi” no więc patrzę i co widzę? Logowanie zablokowane ze względu na upłynięcie czasu ważności konta. No tak. Stare przyzwyczajenie spowodowało, że kontu tymczasowemu nadałem ważność 30 dni, i nie zmieniłem tego, gdy kolega znowu musiał się zalogować. No niby prosta rzecz, a jednak skutecznie blokuje dostęp.