Как не вводить пароль через ssh в Debian?

Question

[Простой Человек]

Сделал всё, как нужно, чтобы подключаться без пароля (то бишь создал пару ключей, добавил паблик на удалёнку и т.д.), но в итоге всё равно нужно вводить пароль один раз на сессию или пока ssh-agent случайно не закроется.

ПС. Как сделать так, чтобы это было безопасно и чтобы не нужно было вообще его вводить?

Comments

[Lynn «Кофеман»]

Разлочивать ключ для ssh-agent автоматически при логине

Answer 1

[AVKor]

При создании ключа использовать пустой пароль.

Comments

[Простой Человек]

Ну так я понимаю менее безопасно?
По-другому никак?

[AVKor]

БлагоЯр Тишина, Можно настроить время в агенте (-t опция), чтобы подольше сохранялся пароль.

Лично я использую пустой пароль. Если хочется дополнительно чем-то защититься, то можно ещё настроить port knocking.

[Простой Человек]

AVKor, что-то перечитал "пол-интернета" и не понял. Что значит последовательность портов? Как происходит подключение клиента после запуска? То бишь это только для статических IP или как? Если у меня поменяется IP, то я не смогу зайти?

ПС. Есть какая-то инструкция понятная?

[AVKor]

БлагоЯр Тишина, https://help.ubuntu.com/community/PortKnocking , https://www.howtogeek.com/442733/how-to-use-port-k....
Последовательность портов - это, грубо говоря, условный стук для хозяина дома, что пришёл свой, если воспользоваться аналогией. После условного стука дверь открывается, пришедший заходит, дверь снова закрывают на засов.

[AVKor]

БлагоЯр Тишина, Тут ещё есть пример, как использовать с ufw.

[Простой Человек]

AVKor, если я правильно понял, то я сам задаю любую (не конфликтующую) последовательность в позволенном диапазоне. Верно?
А что при таком варианте требуется от клиента?
Нужна какая-то программа, по типу WinKnock (или можно как-то через cmd просто), я стучусь, мне разрешают и теперь я уже запускаю какой-то SSH клиент не закрывая WinKnock, делаю что нужно, закрываю SSH клиент, закрываю WinKnock. Верно?

Ещё вопрос - на одном из серверов проверил сетевые интерфейсы, их два (enp2s0 и enp2s0:0) и оба показывают Link detected: yes
Как понять, на какой настраивать knock? Или просто оба указать? Если да, то как это делается - через запятую в interface в файле настройки?

[AVKor]

БлагоЯр Тишина, Порты можно выбирать по желанию из доступных свободных.

Про клиент ничего не подскажу, я не пользуюсь Windows, у меня везде Linux установлен.

Интерфейс тот, через который идёт соединение по SSH.

[Простой Человек]

AVKor, а как узнать на какой интерфейс идёт соединение?
ну по клиенту я так, для примера. Как например в линуксе клиент стучится? Для этого спецсредства нужны или достаточно терминала?

[AVKor]

от рута
ifconfig
показывает интерфейсы и IP (и ещё информацию).
knockd имеет клиент knock, работающий из командной строки.

[Простой Человек]

AVKor, ну в общем чтобы не рисковать поставил сервер на виртуалку VMWare, установил ssh, настроил, поменял порт, отключил авторизацию по паролю, с другого локального ПК по ключу соединяюсь, всё из гуд.
Установил knock, добавил в автозагрузку в его же конфиге, настроил, запустил, пытаюсь зайти без стука - захожу.
Как понять, что он работает?
Пример моего конфига

[options]
	logfile=/var/log/knockd.log
	interface=ens33

[openSSH]
	sequence    = 9999,8888,6666
	seq_timeout = 15
	command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 1980 -j ACCEPT
	tcpflags    = syn

[closeSSH]
	sequence    = 6666,8888,9999
	seq_timeout = 5
	command     = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 1980 -j ACCEPT
	tcpflags    = syn

[Простой Человек]

показывает интерфейсы и IP (и ещё информацию).

но не показывает на каком интерфейсе SSH порт работает

[AVKor]

БлагоЯр Тишина, Вы просто переписали из статьи, надо же применительно к своему серверу, вот статья, как использовать. Или тут. Посмотрите, как это настраивается.

Вообще проще разобраться с использованием ufw, я ссылку давал выше, там более простой пользовательский интерфейс. Настройка: 1, 2, 3.

[AVKor]

БлагоЯр Тишина, Вы же знаете, какой IP используете при соединении.