Можно ли зайти на Linux сервер имея только SSH Private Key?

Question

[awox]

Ниже приведены некие тестовые задачи в связи с которыми и возник вопрос.

Задача 1
Зайдите на удалённый сервер, используя ssh. Вам необходимо зайти на хост <IP> по порту <SSH>. Пользователь (логин) — user и пароль — password. На хосте в домашней директории найдите и прочитайте файл ssh-key, сохраните его содержимое, оно понадобится для второго задания.

Задача 2
Зайдите на удалённый сервер <IP>, используя SSH, пользователя admin и ssh-ключ, полученный в первом задании из файла ssh-key.

Содержимое файла ssh-key:

-----BEGIN OPENSSH PRIVATE KEY-----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-----END OPENSSH PRIVATE KEY-----

Достаточно ли этого SSH Private Key для входа на сервер без какой-либо предварительной настройки?

Comments

[Lynn «Кофеман»]

Публично выложить приватный ключ это так себе идея.
Выкиньте его и больше нигде и никогда не пользуйтесь.

[awox]

Lynn «Кофеман», Спасибо кэп. Но это тестовое задание...

[AlexVWill]

Достаточно ли этого SSH Private Key для входа на сервер без какой-либо предварительной настройки?

Для того, чтобы использовать авторизацию по ключу, помимо того, чтобы использовать сам файл закрытого ключа у пользователя, надо чтобы на сервере была вторая часть - открытый ключ, обычно он находится в /home/user/.ssh/autorized_keys.
Мне только непонятен этот шаг:

На хосте в домашней директории найдите и прочитайте файл ssh-key, сохраните его содержимое, оно понадобится для второго задания.

Так никто не делает, это не по христиански, по уму надо ключи для SSH у себя локально создавать и передать на сервер командой ssh-copy-id username@remote_host ну или руками, а не скачивать на хосте.

[awox]

AlexVWill, На локальной машине (Windows) должны быть (в C:\Users\user\.ssh) оба ключа и открытый и приватный, а на сервер мне надо загрузить только публичный правильно я понимаю? Я начинаю догадываться, по видимому предоставленный приватный ключ должен быть установлен на клиенте, и тогда я смогу зайти на сервер быз пароля (а на сервере уже все ключи в наличии).

[AlexVWill]

правильно я понимаю?

Правильно понимаешь, хотя публичный ключ на локальной машине не нужен, достаточно приватного. Только логика в задаче неверная, писал явно не специалист ИБ. Ибо приватный ключ на то он и приватный, что он НИКОГДА не передается и не копируется, а где создан, там и лежит, а публичный ключ на то и публичный, что служит для передачи другой стороне и не работает без приватного ключа. В общем то ключи могут быть и на сервере созданы, но это менее безопасный путь.
Для большей безопасности (чтобы никто не мог зайти на сервер по краденым паролям и насоздать ключей), неполохо бы еще и отключить доступ по логину-паролю вообще. В файле /etc/ssh/ssh_config на сервере поставить опцию PasswordAuthentication no

[awox]

А вот если у меня несколько пар ключей для доступа на различные сервера то как они хранятся на windows и на linux соответственно? Как будут файлы ключей разных серверов называться?

[heavyman]

awox, в случае Windows как SSH-клиент обычно использую putty, вот у него в комплекте есть pageant - менеджер ключей как раз для pubkey auth, ЕМНИП клиент отправляет серверу список дайджестов публичных ключей, к которым у него (клиента) есть приватные ключи.

[awox]

Не зная public key я не смогу воспользоваться private key верно?
На сервере папка /home/admin/.ssh - Permission denied, и я не могу там ничего посмотреть.

[awox]

Вот данные сервера: IP 51.250.4.124, SSH port: 31797. Мне интересно сможете линуксовые гуру зайти под юзером admin?
Т.е. есть юзер: user, и его пароль: password. И есть юзер admin без пароля, зато с вышеуказанным PRIVATE KEY.

[awox]

Имеет ли значение тип SSH ключа?

[awox]

Наконец мне удалось зайти под пользователем admin.
Использовал putty. Сгенерировал его генератором публичный ключ на основании имеющегося приватного и добавил его в агент. После чего удалось зайти.

[Игорь Петров]

Добрый день! Подскажите, пожалуйста, как с nginx разобрались?
Спасибо

[awox]

Игорь Петров, nginx вроде не фигурировал в вопросе.

Answer 1

[Виктор Таран]

Публичный можно создать
https://linux-notes.org/sgenerirovat-public-ssh-kl...

Comments

[awox]

В заданиях фигурируют два пользователя: user и admin.
Как я понимаю у каждого должен быть свой набор ключей, не так ли?
Или если я настрою вход для user (ведь в его папке создаются ключи) и admin сможет входить без пароля?

[Виктор Таран]

awox, нет, можно один ключь заливать на любое количество серверов и ползователей.
Ты просто должен в папке этого юзера добавить этот ключ, так же не забывай что у юзера может быть ограничение на ввод пароля, тогда тебе все-равно нужно будет ввести еще и пароль.
Только не перепутай
публичный можеш заливать куда угодно и в любом количестве
приватный только у тебя.

[awox]

Виктор Таран, т.е. я могу просто скопировать содержимое папки ~/user/.shh в ~/admin/.shh? Прокатит такое?

[Виктор Таран]

awox, нет ведь там могут быть другие ключи
Правильнее будет ваш публичный ключ разместить в двух конфигах, а не копировать сами конфиги

Answer 2

[ivaci89]

Можно ли зайти на Linux сервер имея только SSH Private Key?
Ключа Private Key + login достаточно для входа. Но нужно выполнить действия ниже, чтобы избежать ошибку связанную с несовместимостью форматов ключа:
Unable to use key file (OpenSSH SSH-2 private key (old PEM format)): Unable to use key file

Как избежать ошибку?
Сохранить Private Key у себя - открыть PuTTYgen - нажать кнопку "Conversions" - далее "Import key" - выбираем сохраненный Private Key. Далее нажимаем на кнопку "Save private key" (для конвертации ключа после импорта) - сохраняем в формате .ppk - всё Private Key можно использовать.

Answer 3

[res2001]

На стороне клиента используется его приватный ключ. Публичный ключ лежит на сервере.
Имея приватный ключ можно подключиться по ssh, если на сервере лежит парный ему публичный ключ.
В вашем случае, видимо публичный ключ лежит на сервере в ~/.ssh/authorized_key

Answer 4

[amigostarist]

я тоже решал эту задачку и ответ оказался довольно интереным
во- первый я сохранил ключ в файле
второе sudo chmod 0400 ~/ssh-key
и третье, для входа использовал ssh -i ~/ssh-key -l admin XXX.XXX.XXX.XXX -p XXXXX
вопрос заключался в правах на файл с ключом