bild av tangentbord och kaffekopp

Att logga in på klubbens datorer med SSH-nyckel istället för lösenord

I framtiden kommer medlemmar som vill logga in på klubbens servrar att behöva använda SSH-nyckel. Det gäller redan för den del av våra servrar, men inte alla. Möjligheten att logga in med lösenord kommer att tas bort för att höja säkerheten. Börja därför redan i dag!

SSH-nyckel är säkrare än lösenord. Vi vill öka säkerheten på våra system, framför allt för att minska risken att våra medlemskonton blir hackade och föremål för t.ex. utskick av spam eller annat otyg. Sådant säker klubbens anseende i internetvärlden, och kan göra det svårare för oss att skicka mail.

Instruktion om hur man genererar och använder ssh-nycklar i unix

Här följer en beskrivning hur man gör för att logga in från unix till klubbens servrar. Metoden är exakt detsamma för alla typer av unix-system: linux alla distributioner, OpenBSD, FreeBSD m.m. Macintoch är också ett unixsystem, fungerar på samma sätt. Det fungerar också likadant om du använder WSL under windows, eller cygwin under windows. Använder du putty i Windows: se separat instruktion här.

För filöverföring till och från ABC-klubben används sftp, eller scp, som använder samma ssh-nyckelpar som ssh-inloggning.

För att logga in med ssh-nyckel måste du först skaffa ett nyckelpar, dvs. en privat nyckel och en tillhörande publik nyckel. Detta görs i unix med verktyget ssh-keygen.

ssh-keygen’s mansida är omfattande, men den enklaste användningen är såhär:

ssh-keygen -t ed25519

eller

ssh-keygen -t rsa -b 4096

Med option -t anger man typen av nyckelpar. Vi rekommenderar i första hand ed25518, men även RSA med minst 4096 bitar eller ECDSA med 521 bitar är acceptabelt. Använd inte DSA, det är en gammal typ som numera lätt kan knäckas. Se även: dessa rekommendationer.

Av ssh-keygen blir du tillfrågad om att ange ett lösenord. Det är möjligt att generera nycklar utan lösenord, men vi rekommenderar att använda ett lösenord. Samma regler som alltid för lösenord: använd olika lösenord för olika saker, om det är svårt att hålla reda på använd lösenordshanterare osv. Använd minst 14 tecken om om lösenordet är maskingenerat, minst 25 om du har komponerat det själv.

Nyckelparet genereras i directory .ssh i din hemmakatalog. Den publika nyckeln har ändelsen .pub Sista fältet i den publika nyckeln är ett kommentarsfält. Här kan man t.ex. skriva in var nyckeln är genrerad och när.

Den publika nyckeln lägger du in sist i filen .ssh/authorized_keys på ditt konto på ABC-klubben. Om du inte kommer åt det p.g.a. att det krävs ssh-nyckel för att logga in, så skicka det med e-post till sysop@abc.se så ordnar vi det.

Du kan efter det logga in till klubben med SSH precis som vanligt, med den skillnaden att du inte använder lösenordet till klubben längre. Gjorde du som vi rekommenderade när du skapade nyckelparet kommer du istället att använda lösenordet till SSH-nyckeln.

Att logga in på ABC-klubben från windows

Använder du Windows och vill logga in på klubbens servrar finns det några alternativ. Det vanligaste, eller i varje fall det äldsta är att använda putty, och för att kopiera filer, WinSCP. WinSCP använder samma filformat för den privata nyckeln som putty, och kan därför lätt dela på samma nyckelpar.

Om man är lite van vid unix kan man med fördel använda sig av WSL. WSL betyder Windows Subsystem för Linux. Med WSL får man en komplett unix-miljö med shell i ett kommandofönster. Man får inget grafiskt gränssnitt, gnome eller X-windows. Man kan välja mellan ubuntu, fedora och några andra (även Alpine, som kör busybox). Man får sitt windows-filträd monterat under /mnt i unix. En fördel med WSL är att man får tillgång till mosh, som kan vara bra om man har dålig förbindelse eller kopplar upp sig över mobilnät. mosh använder samma nyckelpar som ssh.

En enkel handledning för WSL finns här.

Ett annat äldre system är cygwin. cygwin är inte en komplett linuxdistribution, som WSL, men det är unix-liknande och windowsfilerna finns monterade. Även här finns vanlig ssh, och rsync t.ex.