Autenticándonos a servidores ssh con clave privada

¿Tienes la llave? Puedes entrar.

Hola.

Por motivos profesionales, estoy experimentando con las posibilidades que ofrece ssh como servicio de acceso remoto a servidores. La idea es que me voy a tener que conectar a múltiples servidores vía ssh (en realidad espero que no, porque si me conecto es que algo que he hecho yo va mal...) y andar recordando usuarios y contraseñas puede ser un maldito peñazo, a poco que quieras tener una contraseña mínimamente decente.

Así que mirándome el man de ssh y un par de documentos por intenné, he visto cómo me lo puedo montar para tener una "llave única" para todos los servidores que deba administrar, cosa que redunda en la seguridad global de todo el montaje, porque con esa clave también puedes desactivar PasswordAuthentication en /etc/ssh/sshd_config, y te libras de un montón de problemas.

Luego, es cuestión de configurar cada servidor ssh que dejemos en marcha para que acepte logueos identificados con esa clave única previamente generada y ¡Listos! Ya puedes ir por ahí con tu pincho memoruno USB con tu clave privada almacenada, y conectarte a tus servidores vía ssh o putty, o lo que quieras.

Vamos allá.

Lo primero que debemos hacer es generar nuestras claves para podernos identificar con ellas. Para ello usaremos como root el siguiente comando:

[root@bestiaparda~]# ssh-keygen -b 1024 -t dsa -N contraseña -f ficherodeclave

Y generaremos un par de ficheros: ficherodeclave y ficherodeclave.pub.

Las opciones son las siguientes:

• -b 1024: Nivel de cifrado, lo fijamoa a 1024 bits.
• -t dsa: Tipo de clave, en este caso DSA.
• -N contraseña: Pues eso, nos pide una contraseña para autorizar el uso de la clave. Si no añadimos el parámetro -N, el sistema nos la pedirá en el momento de generar los ficheros de claves. Si pulsamos enter, ni siquiera pedirá contraseña para usar la clave privada. Úsese con moderación esta posibilidad.
• -f ficherodeclave: indicamos al sistema cómo queremos llamar a los ficheros de clave.

El archivo ficherodeclave.pub es el que contiene la clave pública que vamos a usar. Ésta clave pública debe añadirse al fichero authorized keys del directorio /home/.ssh que pertenece al usuario con el cual vamos a loguarnos vía ssh:

[root@bestiaparda~]# cat ficherodeclave.pub >> /home/flynn/.ssh/authorized_keys

Cuidadito, que si usamos un ">" en lugar de dos, borraremos el fichero authorized_keys actual y nos quedaremos sólo con la clave que hemos generado.

Bueno. Ahora a ver cómo usamos nuestra powerkey (tm) para loguearnos en el servidor al que hemos añadido la clave pública.

Lo primero, debemos tener la clave privada en el ordenador con el que vamos a conectar. Podemos incorporarla como /home/usuario/.ssh/id_dsa, o pasarla como parámetro con el modificador -i, así:

[flynn@tatil~]$ ssh usuarioremoto@bestiaparda.themainman.net -i /media/usb1/ficherodeclave

Si hemos protegido con contraseña la clave privada, nos la pedirá y después quedaremos logueados en el sistema remoto. Si no, ni eso. Directamente p'adentro. Mola, ¿que no?

Una vez comprobamos que podemos loguearnos vía ssh mediante éste método, y en el caso de que seamos los únicos administradores de ése servidor, podemos desactivar los logueos mediante usuario/contraseña modificando /etc/ssh/sshd_config con el parámetro:

PasswordAuthentication no

Si usamos programillas windoseros tipo putty o winscp, tendremos que convertir nuestra clave privada a un formato que estos programas reconozcan. Para ello, usaremos el programa puttygen, que podemos encontrar en la página de putty. Recordad después poner el nombre de usuario remoto en los parámetros de conexión.

En fin, creo que esoestó-esoestó-esoestodo hamijos