使用SSH公钥身份验证

您可以使用InsightVM对使用SSH公钥认证用户的资产执行凭据扫描。这种方法,也称为非对称密钥加密,涉及创建两个相关密钥,或大的随机数:

  • 任何实体都可以用来加密身份验证信息的公钥
  • 只有受信任实体才能使用的私钥来解密由其配对公钥加密的信息

在生成密钥对时,请记住以下指导原则:

  • 该应用程序支持SSH协议版本2 RSA,DSA和ECDSA密钥。
    • RSA键可以在768和16384位之间。
    • DSA键必须是1024位。
    • ECDSA键必须是256,384或521位。
  • 钥匙必须在OpenSSH-Key-V1格式或者以PEM格式。

本文提供了配置资产以接受公钥身份验证的一般步骤。有关具体步骤,请参阅您正在使用的特定系统的文档。

ssh - keygen进程将提供输入传递短语的选项。建议您使用Pass短语如果您计划在其他地方使用钥匙,请保护键。

生成密钥对

  1. 跑过ssh - keygen命令要创建密钥对,指定用于存储新文件的安全目录。

此示例涉及2048位RSA键并包含该键/ tmp.目录,但您应该使用您信任的任何目录来保护文件:

         
1
SSH-KEYGEN -T RSA -B 2048 -F / TMP / ID_RSA

下一个示例以PEM格式生成键:

         
1
SSH-KEYGEN -T RSA -B 2048-MPEM -F / TMP / ID_RSA

此命令生成私钥文件,id_rsa.,以及公钥文件,id_rsa.pub.

  1. 使公钥可用于目标资产的申请。
  2. 确保与您生成密钥的计算机有一个.ssh.目录。如果没有,请运行mkdir命令创建它:
         
1
mkdir / home/[username]/.ssh.
  1. 复制通过运行步骤1中的命令创建的公钥的内容。文件在/ tmp / id_rsa . pub文件。

根访问注意

有些检查需要root访问权限。

追加目标资产的内容/ tmp / id_rsa . pub文件到. ssh / authorized_keys具有完全扫描覆盖所需的适当访问级别权限的用户主目录中的文件。

         
1
cat / [directory ]/id_rsa.pub >> /home/[username]/.ssh/authorized_keys
  1. 提供私钥。

在提供私钥之后,必须为应用程序提供SSH公钥身份验证。

提供SSH公钥身份验证

如果要在配置新站点时添加SSH凭据,请单击“创建网站按钮首页页。

或者

点击创建页面顶部的选项卡然后选择地点从下拉列表。

如果要为现有站点添加SSH凭据,请单击该网站编辑的“站点”表中的图标首页页。

  1. 点击验证标签在站点配置中。
  2. 点击添加凭证
  3. 在Add Credentials表单中,如果需要,输入一组新凭证的名称和描述。
  4. 点击帐户在添加凭据下。
  5. 选择SSH公钥作为从服务下拉列表。

默认的文件信息

ssh /授权_keys.是大多数openSSH和基于下拉列表的SSH守护程序的默认文件。请参阅Linux发行版的文档以验证相应的文件。

意识到这一点SSH公钥身份验证方法与下拉菜单中列出的方法不同安全壳(SSH).后一方法包含密码而不是键。

  1. 输入相应的用户名。
  2. (可选)输入生成键时使用的私钥密码。
  3. 确认私钥密码。
  4. 将该文件的内容复制到PEM-format私钥文本框中。您创建的私钥为/ tmp / id_rsa目标资产上的文件。
  5. (可选)提升权限为苏达或者.您可以提升两者的权限安全壳(SSH)SSH公钥服务。
  6. (可选)输入相应的用户名。权限提升用户需要设置为.为此,需要将用户的权限高程类型设置为苏达并且需要将许​​可高程用户设置为
  7. 用户名可以为空苏达证书。如果您正在使用没有用户名的凭证,凭证默认为作为用户名。

如果提供的SSH证书是凭据,用户ID = 0,即使是凭证,也会被忽略权限高程凭据帐户已重命名。该应用程序将忽略权限提升凭证,当任何帐户,或以其他方式命名,并指定用户ID 0。

  1. 完成配置凭据时,单击创建如果它是一个新的集合,要么节省如果是先前创建的集合。

SSH公钥配置