使用SSH公钥身份验证
您可以使用InsightVM对使用SSH公钥认证用户的资产执行凭据扫描。这种方法,也称为非对称密钥加密,涉及创建两个相关密钥,或大的随机数:
- 任何实体都可以用来加密身份验证信息的公钥
- 只有受信任实体才能使用的私钥来解密由其配对公钥加密的信息
在生成密钥对时,请记住以下指导原则:
- 该应用程序支持SSH协议版本2 RSA,DSA和ECDSA密钥。
- RSA键可以在768和16384位之间。
- DSA键必须是1024位。
- ECDSA键必须是256,384或521位。
- 钥匙必须在
OpenSSH-Key-V1
格式或者以PEM格式。
本文提供了配置资产以接受公钥身份验证的一般步骤。有关具体步骤,请参阅您正在使用的特定系统的文档。
的ssh - keygen
进程将提供输入传递短语的选项。建议您使用Pass短语如果您计划在其他地方使用钥匙,请保护键。
生成密钥对
- 跑过
ssh - keygen
命令要创建密钥对,指定用于存储新文件的安全目录。
此示例涉及2048位RSA键并包含该键/ tmp.
目录,但您应该使用您信任的任何目录来保护文件:
1SSH-KEYGEN -T RSA -B 2048 -F / TMP / ID_RSA
下一个示例以PEM格式生成键:
1SSH-KEYGEN -T RSA -B 2048-MPEM -F / TMP / ID_RSA
此命令生成私钥文件,id_rsa.
,以及公钥文件,id_rsa.pub.
.
- 使公钥可用于目标资产的申请。
- 确保与您生成密钥的计算机有一个
.ssh.
目录。如果没有,请运行mkdir
命令创建它:
1mkdir / home/[username]/.ssh.
- 复制通过运行步骤1中的命令创建的公钥的内容。文件在
/ tmp / id_rsa . pub
文件。
根访问注意
有些检查需要root访问权限。
追加目标资产的内容/ tmp / id_rsa . pub
文件到. ssh / authorized_keys
具有完全扫描覆盖所需的适当访问级别权限的用户主目录中的文件。
1cat / [directory ]/id_rsa.pub >> /home/[username]/.ssh/authorized_keys
- 提供私钥。
在提供私钥之后,必须为应用程序提供SSH公钥身份验证。
提供SSH公钥身份验证
如果要在配置新站点时添加SSH凭据,请单击“创建网站按钮首页页。
或者
点击创建页面顶部的选项卡然后选择地点从下拉列表。
如果要为现有站点添加SSH凭据,请单击该网站编辑的“站点”表中的图标首页页。
- 点击验证标签在站点配置中。
- 点击添加凭证.
- 在Add Credentials表单中,如果需要,输入一组新凭证的名称和描述。
- 点击帐户在添加凭据下。
- 选择SSH公钥作为从服务下拉列表。
默认的文件信息
ssh /授权_keys.
是大多数openSSH和基于下拉列表的SSH守护程序的默认文件。请参阅Linux发行版的文档以验证相应的文件。
意识到这一点SSH公钥身份验证方法与下拉菜单中列出的方法不同安全壳(SSH).后一方法包含密码而不是键。
- 输入相应的用户名。
- (可选)输入生成键时使用的私钥密码。
- 确认私钥密码。
- 将该文件的内容复制到PEM-format私钥文本框中。您创建的私钥为
/ tmp / id_rsa
目标资产上的文件。 - (可选)提升权限为苏达或者苏.您可以提升两者的权限安全壳(SSH)和SSH公钥服务。
- (可选)输入相应的用户名。权限提升用户需要设置为
根
.为此,需要将用户的权限高程类型设置为苏达
并且需要将许可高程用户设置为根
. - 用户名可以为空
苏达
证书。如果您正在使用苏
没有用户名的凭证,凭证默认为根
作为用户名。
如果提供的SSH证书是根
凭据,用户ID = 0,即使是凭证,也会被忽略权限高程凭据根
帐户已重命名。该应用程序将忽略权限提升凭证,当任何帐户,根
或以其他方式命名,并指定用户ID 0。
- 完成配置凭据时,单击创建如果它是一个新的集合,要么节省如果是先前创建的集合。
这个页面对你有帮助吗?