Cuando se accede a un servidor se puede hacer por SSH, y por defecto con un usuario y contraseña. Pero si has de dar acceso a otras personas, lo mejor es darles acceso mediante una clave SSH generada para cada usuario.
Estas claves están formadas por dos ficheros, uno de ellos incluye la llamada «clave pública» y la otra la «clave privada». La privada es tuya y nunca has de dársela a nadie, y la pública es la que puedes usar en los servidores.
Generando las claves
Linux / Mac
Si estás en un servidor Linux o Mac, puedes usar la herramienta ssh-keygen. Esta herramienta te pedirá dónde quieres guardar los ficheros y una vez acabes tendrás los dos allí disponibles.
Al final acabará devolviendo algo similar a:
Your identification has been saved in /your_home/.ssh/id_rsa
Your public key has been saved in /your_home/.ssh/id_rsa.pub
The key fingerprint is:
SHA256:/hk7MJ5n5a5fsaTVUZr+2Qt+qCiS7BIm5Iv0dxrc3ks user@host
The key's randomart image is:
+---[RSA 3072]----+
| .|
| + |
| + |
| . o . |
|o S . o |
| + o. .oo. .. .o|
|o = oooooEo+ ...o|
|.. o *o+=.*+o....|
| =+=ooB=o.... |
+----[SHA256]-----+Windows
Para generar una clave en Windows lo mejor es usar el programa Puttygen.
Pulsaremos en Generate, moveremos el ratón por la pantalla, y al acabar generará una serie de códigos. Pondremos una contraseña segura, por favor, y guardaremos tanto la «public key» como la «private key». Estos dos ficheros los mantendremos a resguardo.
Publicando las claves
Lo primero de todo es, si estás entrando como root, crear un usuario con los permisos para gestionar todo, a la antigua usanza. Por ejemplo, vamos a crear el usuario wpsysadmin.
adduser wpsysadminNos pedirá una contraseña y se la pondremos, además de algunos otros datos.
Ahora le daremos permisos de «sudo» para poder acceder a todo el sistema.
usermod -aG sudo wpsysadminAhora le asignaremos una clave SSH, ya que tenemos la clave pública disponible. La abriremos con un editor de texto o la mostraremos por pantalla. El contenido será similar a este:
ssh-rsa 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 demo@testEntraremos en el servidor donde queremos instalar la clave y crearemos, si no existe, la carpeta correspondiente.
mkdir -p ~/.sshY lanzaremos un comando tal que así (acortado para hacerlo legible):
echo 'ssh-rsa AAAAB3NzaC1yc2EAAA...Q== demo@test' >> ~/.ssh/authorized_keysY daremos los permisos correspondientes.
chmod -R go= ~/.sshDesactivando las contraseñas
Un último paso posible es el de desactivar las contraseñas tradicionales y sólo acceder con claves SSH. Para ello deberíamos hacer lo siguiente.
vim /etc/ssh/sshd_configAllí deberemos modificar el parámetro PasswordAuthentication de «yes» a «no».
PasswordAuthentication noUna vez lo hagamos, reiniciaremos el servicio SSH.
systemctl restart sshAccediendo con clave SSH
En la mayoría de programas de acceso por SSH tendrás la posibilidad de incluir un usuario y contraseña, o un usuario y Clave SSH, que es lo que configuraremos.
Y, a partir de este momento, cuando accedas al servidor, lo deberás acceder con tu clave privada y la contraseña que configuraste al generarla.
Sobre este documento
Este documento está regulado por la licencia EUPL v1.2, publicado en WP SysAdmin y creado por Javier Casares. Por favor, si utilizas este contenido en tu sitio web, tu presentación o cualquier material que distribuyas, recuerda hacer una mención a este sitio o a su autor, y teniendo que poner el material que crees bajo licencia EUPL.