Как происходит авторизация по ssh

Авторизация в SSH

Авторизация в SSH — это процесс проверки прав пользователя на доступ к удаленной системе. Она происходит после успешного установления шифрованного транспортного канала. SSH поддерживает несколько механизмов авторизации, каждый из которых имеет свои особенности и область применения.

Основные методы авторизации

• Авторизация по паролю (Password Authentication):

    *   Самый простой метод. Клиент отправляет пароль пользователя через защищенный канал.
    *   Сервер сравнивает его с хранимой версией (обычно в `/etc/shadow`).
    *   **Недостатки:** Уязвим к brute-force атакам, зависит от надежности пароля.
    *   Конфигурация в `sshd_config`: `PasswordAuthentication yes`.

• Авторизация по публичному ключу (Public Key Authentication):

    *   Наиболее распространенный и рекомендуемый метод в профессиональных средах.
    *   Клиент обладает **приватным ключом**, серверу известен соответствующий **публичный ключ**.
    *   Процесс включает **"Challenge-Response"** механизм: сервер шифрует случайное сообщение (`challenge`) публичным ключом клиента и отправляет его. Клиент должен расшифровать его своим приватным ключом и вернуть серверу. Успешная операция подтверждает владение ключом.
    *   Публичные ключи пользователей хранятся на сервере в `~/.ssh/authorized_keys`.
    *   Конфигурация: `PubkeyAuthentication yes`.

# Пример добавления публичного ключа на сервер
ssh-copy-id -i ~/.ssh/id_rsa.pub user@remote_host

• Авторизация по Kerberos:

    *   Использует центральную систему управления учетными данными (KDC).
    *   Позволяет использовать единый логин для множества сервисов.
    *   Конфигурация: `KerberosAuthentication yes`.

• Авторизация через хостовые ключи (Hostbased Authentication):

    *   Редко используется. Авторизация основана на доверии между машинами. Клиент подтверждает свою идентичность ключом хоста, а сервер проверяет соответствие имени клиента и ключа в своем файле `shosts.equiv`.
    *   Конфигурация: `HostbasedAuthentication yes`.

Процесс авторизации по публичному ключу (детально)

1. Подготовка: Клиент генерирует пару ключей (например, с помощью ssh-keygen). Публичный ключ помещается в authorized_keys на сервере.
2. Запрос: После установки транспортного канала клиент сообщает серверу, какой метод авторизации он хочет использовать (публичный ключ) и отправляет идентификатор своего ключа.
3. Проверка: Сервер проверяет наличие этого публичного ключа в authorized_keys целевого пользователя. Если ключ найден и не заблокирован (например, по времени или from), процесс продолжается.
4. Challenge: Сервер генерирует случайное число, шифрует его публичным ключом клиента и отправляет.
5. Response: Клиент расшифровывает challenge своим приватным ключом, вычисляет для него цифровую подпись (или использует сам расшифрованный текст в некоторых реализациях) и отправляет ответ серверу.
6. Верификация: Сервер проверяет ответ. Если он верный, авторизация успешна.

# Пример содержимого файла authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC... comment@client_host
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIK... user@workstation
from="192.168.1.*" ssh-rsa AAAAB3NzaC1yc2EAAA... restricted_key

Конфигурация и безопасность

Методы авторизации управляются в файле /etc/ssh/sshd_config на сервере. Для обеспечения безопасности рекомендуется:

• Отключать авторизацию по паролю (PasswordAuthentication no) после настройки ключевой авторизации.
• Использовать ключи типа ed25519 или RSA с длиной >= 2048 бит.
• Защищать приватные ключи (~/.ssh/id_*) правами 600.
• Использовать опции в authorized_keys для ограничения использования ключей (from, command, no-port-forwarding).
• Рассмотреть использование SSH Certificate Authority для масштабных инфраструктур, что упрощает управление ключами.

Таким образом, авторизация в SSH — это многоуровневый процесс, где публичный ключ является стандартом де-факто для безопасного и автоматизированного доступа, а правильная его конфигурация критически важна для безопасности инфраструктуры.