使用SSH公钥身份验证
您可以使用InsightVM对使用SSH公钥认证用户的资产执行凭据扫描。这种方法,也称为非对称密钥加密,涉及创建两个相关密钥,或大的随机数:
- 任何实体都可以用来加密身份验证信息的公钥
- 只有受信任实体才能使用的私钥来解密由其配对公钥加密的信息
在生成密钥对时,请记住以下指导原则:
- 该应用程序支持SSH协议版本2 RSA,DSA和ECDSA密钥。
- RSA键可以在768和16384位之间。
- DSA键必须是1024位。
- ECDSA键必须是256,384或521位。
- 钥匙必须在
OpenSSH-Key-V1格式或者以PEM格式。
本文提供了配置资产以接受公钥身份验证的一般步骤。有关具体步骤,请参阅您正在使用的特定系统的文档。
的ssh - keygen进程将提供输入传递短语的选项。建议您使用Pass短语如果您计划在其他地方使用钥匙,请保护键。
生成密钥对
- 跑过
ssh - keygen命令要创建密钥对,指定用于存储新文件的安全目录。
此示例涉及2048位RSA键并包含该键/ tmp.目录,但您应该使用您信任的任何目录来保护文件:
1
SSH-KEYGEN -T RSA -B 2048 -F / TMP / ID_RSA
下一个示例以PEM格式生成键:
1
SSH-KEYGEN -T RSA -B 2048-MPEM -F / TMP / ID_RSA
此命令生成私钥文件,id_rsa.,以及公钥文件,id_rsa.pub..
- 使公钥可用于目标资产的申请。
- 确保与您生成密钥的计算机有一个
.ssh.目录。如果没有,请运行mkdir命令创建它:
1
mkdir / home/[username]/.ssh.
- 复制通过运行步骤1中的命令创建的公钥的内容。文件在
/ tmp / id_rsa . pub文件。
根访问注意
有些检查需要root访问权限。
追加目标资产的内容/ tmp / id_rsa . pub文件到. ssh / authorized_keys具有完全扫描覆盖所需的适当访问级别权限的用户主目录中的文件。
1
cat / [directory ]/id_rsa.pub >> /home/[username]/.ssh/authorized_keys
- 提供私钥。
在提供私钥之后,必须为应用程序提供SSH公钥身份验证。
提供SSH公钥身份验证
如果要在配置新站点时添加SSH凭据,请单击“创建网站按钮首页页。
或者
点击创建页面顶部的选项卡然后选择地点从下拉列表。
如果要为现有站点添加SSH凭据,请单击该网站编辑的“站点”表中的图标首页页。
- 点击验证标签在站点配置中。
- 点击添加凭证.
- 在Add Credentials表单中,如果需要,输入一组新凭证的名称和描述。
- 点击帐户在添加凭据下。
- 选择SSH公钥作为从服务下拉列表。
默认的文件信息
ssh /授权_keys.是大多数openSSH和基于下拉列表的SSH守护程序的默认文件。请参阅Linux发行版的文档以验证相应的文件。
意识到这一点SSH公钥身份验证方法与下拉菜单中列出的方法不同安全壳(SSH).后一方法包含密码而不是键。
- 输入相应的用户名。
- (可选)输入生成键时使用的私钥密码。
- 确认私钥密码。
- 将该文件的内容复制到PEM-format私钥文本框中。您创建的私钥为
/ tmp / id_rsa目标资产上的文件。 - (可选)提升权限为苏达或者苏.您可以提升两者的权限安全壳(SSH)和SSH公钥服务。
- (可选)输入相应的用户名。权限提升用户需要设置为
根.为此,需要将用户的权限高程类型设置为苏达并且需要将许可高程用户设置为根. - 用户名可以为空
苏达证书。如果您正在使用苏没有用户名的凭证,凭证默认为根作为用户名。
如果提供的SSH证书是根凭据,用户ID = 0,即使是凭证,也会被忽略权限高程凭据根帐户已重命名。该应用程序将忽略权限提升凭证,当任何帐户,根或以其他方式命名,并指定用户ID 0。
- 完成配置凭据时,单击创建如果它是一个新的集合,要么节省如果是先前创建的集合。
这个页面对你有帮助吗?