bild av tangentbord och kaffekopp

Inloggning med ssh-nyckel

På vissa av våra datorer måste man använda ssh-nyckel för att kunna logga in. Detta för att öka säkerheten. Vi kommer successivt att skärpa detta så att vi i framtiden kommer att kräva ssh-nyckel på alla våra maskiner.

Hur man genererar och använder ssh-nycklar i unix

Uppdaterad 2024-11-12

Följande beskriver hur man gör för att logga in från unix till ABC-klubben med ssh-nyckel. Förfarandet är exakt detsamma för alla typer av unix-system: linux alla distributioner, OpenBSD, FreeBSD m.m. Macintoch är också ett unixsystem, fungerar på samma sätt. Det fungerar också likadant om du använder WSL under windows, eller cygwin under windows. För att använda putty se separat beskrivning nedan.

För filöverföring till och från ABC-klubben används sftp, eller scp, som använder samma ssh-nyckelpar som ssh-inloggning.

Att logga in med ssh-nyckel istället för med password är säkrare. Vi vill öka säkerheten på våra system, framför allt för att minska risken att våra medlemskonton blir hackade och föremål för t.ex. utskick av spam eller annat otyg. Sådant säker klubbens anseende i internetvärlden.

För att logga in med ssh-nyckel måste du först skaffa ett nyckelpar, dvs. en privat nyckel och en tillhörande publik nyckel. Detta görs i unix med verktyget ssh-keygen.

ssh-keygen’s mansida är väldigt omfattande, men den enklaste användningen är såhär:

ssh-keygen -t ed25519

eller

ssh-keygen -t rsa -b 4096

Med option -t anger man typen av nyckelpar. Vi rekommenderar i första hand ed25518, men även rsa med minst 4096 bitar eller ecdsa med 521 bitar är acceptabelt. Typ dsa är inte rekommendabelt, det är en gammal typ som numera lätt kan knäckas. Se även: dessa rekommendationer.

Du blir tillfrågad om att ange ett lösenord. Det är möjligt att generera nycklar utan lösenord, men vi rekommenderar att använda ett lösenord. Samma regler som alltid för lösenord: använd olika lösenord för olika saker, om det är svårt att hålla reda på använd lösenordshanterare osv. Använd minst 14 tecken om om lösenordet är maskingenerat, minst 25 om du har komponerat det själv.

Nyckelparet genereras i directory .ssh i din hemmakatalog. Den publika nyckeln har ändelsen .pub Sista fältet i den publika nyckeln är ett kommentarsfält. Här kan man t.ex. skriva in var nyckeln är genrerad och när.

Den publika nyckeln lägger du in sist i filen .ssh/authorized_keys på ditt konto på ABC-klubben. Om du inte kommer åt det p.g.a. att det krävs ssh-nyckel för att logga in, så skicka det till sysop@abc.se så ordnar vi det.

Du logga in till ditt konto på ABC-klubben med ssh som vanligt, men istället för att ange kontots lösenord så blir du tillfrågad om att ange lösenordet för ssh-nyckeln.

Att logga in på ABC-klubben från windows

Om du använder windows och vill logga in på ABC-klubben (eller något annat unix-system) finns det några alternativ. Det vanligaste, eller i varje fall det äldsta är att använda putty, och för att kopiera filer, använd WinSCP.

Om man är lite van vid unix kan man med fördel använda sig av WSL. WSL betyder Windows Subsystem för Linux. Med WSL får man en komplett unix-miljö med shell i ett kommandofönster. Man får inget grafiskt gränssnitt, gnome eller X-windows. Man kan välja mellan ubuntu, fedora och några andra (även Alpine, som kör busybox). Man får sitt windows-filträd monterat under /mnt i unix. En fördel med WSL är att man får tillgång till mosh, som kan vara bra om man har dålig förbindelse eller kör över mobilnät. mosh använder samma nyckelpar som ssh.

En enkel handledning för WSL finns här.

Ett annat äldre system är cygwin. cygwin är inte en komplett linuxdistribution, som WSL, men det är unix-liknande och windowsfilerna finns monterade. Även här finns vanlig ssh, och rsync t.ex.