Авторизация по ключу ssh

Создание профиля PuTTY для сохранения настроек сервера

PuTTY позволяет создавать (и сохранять) профили для соединения с различными SSH-серверами, что предотвращает необходимость запоминать и постоянно перепечатывать огромное количество информации.

Запустите PuTTY, дважды кликнув по ее .exe файлу;
Начальным окном PuTTY является категория Session (различные категории PuTTY можно переключать с левой стороны окна);
В поле Host Name введите IP-адрес сервера или полностью определенное имя домена (FQDN);
Введите номер порта в поле Port (для большей безопасности замените SSH-порт сервера нестандартным номером); см. Шаг 5 Начальной настройки сервера с Ubuntu 12.04;
В поле Protocol выберите SSH;
С левой стороны окна выберите подкатегорию Data, что находится под категорией Connection;
Укажите имя пользователя, которое применяется при входе на SSH-сервер и профиль которого сохраняется, в поле Auto-login username;
Перейдите к подкатегории SSH, что находится под категорией Connection;
Выделите подкатегорию Auth и нажмите кнопку Browse, что находится с правой стороны окна PuTTY;
Просмотрите файловую систему и выберите ранее созданный закрытый ключ;
Вернитесь в категорию Session и введите имя профиля в поле Saved Sessions, например:

[email protected] or [email protected];

Нажмите кнопку Save в окне Load, Save or Delete a stored session.

Затем нужно войти в [email protected] и пароль не будет запрошен. Хотя, если на открытый ключ был установлен фразовый пароль, появится запрос ввести его (нужно будет вводить его при каждом входе в дальнейшем).

Импортируем закрытый ключ в PuTTY

PuTTY – прекрасный и наверное самый лучший SSH клиент для масдая. Который работает без нареканий и обладает всем необходимым функционалом. Бесплатный. Всё в нём хорошо. Но именно на этом поприще они решили отличиться и добавить чуть-чуть геморроя в процесс.

Вместе с PuTTY поставляется утилита PuTTYgen (PuTTY Key Generator).

Запускаем PuTTYgen
Нажимаем кнопку Load
Тип файлов выбираем All Files, выбираем свой текстовичок
Видим сообщение об успешном импорте ключа. При желании можно указать комментарий ( Key comment)
Жмём кнопку Save private key, соглашаемся с отсутствием пароля у ключа

SSH авторизация по сертификатам через Putty – Сохранение сертификатов

Преимущества открытых и закрытых SSH-ключей

Если автономный или удаленный VPS виден через Интернет, лучше использовать открытый ключ аутентификации вместо паролей, если это возможно. По сравнению с паролем, SSH-ключи предоставляют более защищенный вход в систему. В то время как пароль может, в конечном счёте, быть взломан во время атаки методом подбора ключа, расшифровать так SSH-ключи практически невозможно. При аутентификации с открытым ключом, каждый компьютер имеет (i) открытый и (ii) закрытый ключ (это два математически связанных алгоритма, которые, в сущности, невозможно взломать).

Сегодня OpenSSH является реализацией SSH по умолчанию на Unix-подобных системах, таких как Linux и OS X. Авторизация с помощью ключей – наиболее безопасный из нескольких способов входа, которые можно использовать с OpenSSH (к примеру, простые пароли и билеты Kerberos). Другие способы авторизации используются только в особенных ситуациях. SSH может использовать ключи RSA (Rivest-Shamir-Adleman) или DSA (Digital Signature Algorithm). Данные ключи считались передовыми алгоритмами, когда SSH был изобретен, но в последние годы DSA рассматривается как менее безопасный. RSA является единственным рекомендованным для новых ключей вариантом; поэтому данное руководство использует RSA-ключ и SSH-ключ взаимозаменяемо.

При входе на VPS SSH-сервер использует открытый ключ для «блокировки» сообщения таким образом, что оно может быть «разблокировано» только при помощи закрытого ключа. Это значит, что даже самый находчивый злоумышленник не сможет подглядывать или вмешиваться в сессию

В качестве дополнительной меры предосторожности некоторые пользователи и большинство SSH-программ хранят закрытый ключ в формате парольной фразы, что позволяет выиграть время на деактивацию подверженного риску открытого ключа, в случае если компьютер был украден или взломан. Потому авторизация с помощью открытого ключа является гораздо более безопасным решением для большинства пользователей, чем пароли

В сущности, не используя ключевую фразу для закрытого ключа, пользователь имеет возможность автоматизировать некоторые части управления конфигурацией, выполняя безопасный вход автоматически (например, делать инкрементные резервные копии вне сайтов, управлять активами через API, и многое другое).

Создание ключей для ssh аутентификации

Первым делом нужно убедиться в наличии скрытого каталога .ssh находящегося в домашнем каталоге пользователя, в нашем случае ~/ (root-пользователь). Просмотреть скрытые каталоги можно следующей командой.

# Просматриваем домашний каталог пользователя
ls -1a

Если по каким-то причинам каталог .ssh отсутствует, его необходимо создать, причем на обоих машинах: и на клиенте, и на сервере.

# Создаем скрытый каталог .ssh
mkdir -p ~/.ssh

На домашней машине (клиенте) генерируем ключи командой ssh-keygen.

ssh-keygen

Во время выполнения команды пользователю будет предложено выбрать каталог размещения и название ключа, но лучше, особенно если делаете это в первый раз, оставить все как есть, чтобы не потерять доступ к серверу (просто нажимать везде Enter).

Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:wzV0scS8cw8g8CaalAiVSrgYQ0yrVunTGhjs454QRIk root@home-16
The key's randomart image is:
+-------+
|==o...  ...o+.   |
|Eoo.o. . o.o+.   |
|.X +. o . =..o   |
|* * .. + + .o o  |
|o= + .o S    o o |
|o.. +    .      .|
|.. .             |
|o .              |
| o               |
+---------+

По умолчанию вышеуказанная команда создает пару 2048-битных ключей в каталоге .ssh (id_rsa и id_rsa.pub). Ключ id_rsa — закрытый (приватный), он остается на домашней машине. Ключ id_rsa.pub — открытый (публичный), он передается на удаленную машину.

Для большей надежности к ключам можно добавить секретную фразу (passphrase), но в таком случае ее нужно будет вводить при каждом подключении. Секретная фраза конечно повышает надежность аутентификации, но по сути мы придем к тому, от чего уходим — постоянному вводу ~~пароля~~ секретной фразы при каждом подключении.

При желании можно создать 4096-битные ключи (лучше не надо — это на любителя).

ssh-keygen -b 4096

Как сделать ваши соединения Secure Shell еще более безопасными

Secure Shell является наиболее широко используемым средством входа на удаленный сервер Linux (или компьютер). Используя этот инструмент, вы получаете доступ к командной строке на удаленном компьютере через безопасный туннель. Из коробки вам будет предложено ввести пароль удаленного пользователя. Хотя это все еще более безопасно, чем использование более старых методов (таких как telnet), его можно сделать еще более безопасным с помощью SSH Key Authentication.

Что такое аутентификация по ключу?

Понимание аутентификации ключей на самом деле довольно просто. Представьте, что у вас есть замок, и единственный способ открыть его – использовать определенный ключ, который, как вам известно, принадлежит вам. Как замок узнает, что ключ принадлежит вам? Потому что ключ содержит уникальную для вас подпись. Внутри замка есть соответствующая подпись, которую ключ использует для сравнения. Если подписи совпадают, они откроются. Если ключ подходит, но подписи не совпадают, замок не открывается.

Это основа для аутентификации по ключу SSH. В реальной жизни это работает так, что вы создаете пару ключей (которая содержит закрытый и открытый ключи) и копируете открытый ключ на сервер, на который хотите войти. Если вы попытаетесь войти с аутентификацией по ключу, а у сервера нет открытого ключа, соответствующего вашему личному ключу, он не разрешит вам доступ.

Давайте заставим это работать.

Генерация пары ключей SSH

Первое, что нужно сделать, это создать пару ключей SSH. Для этого выполните следующие действия:

Откройте окно терминала на рабочем столе.

Выполните команду:
```
 SSH-кейген 
```
Присвойте ключу имя и местоположение (используйте настройки по умолчанию, используя Enter/Return на клавиатуре).
Введите и подтвердите ключевую фразу для ключа (убедитесь, что она является надежной и уникальной)

Теперь у вас есть пара ключей SSH. Эти два файла будут найдены в ~/.ssh и будут называться:

id_rsa – закрытый ключ
id_rsa.pub – открытый ключ.

Скопируйте ваш открытый ключ на удаленный компьютер

Затем вы должны скопировать файл открытого ключа на удаленный компьютер, на который хотите войти. Это можно сделать с помощью команды:

 ssh-copy-id USER @ REMOTE_IP

Где USER – это имя пользователя на удаленном компьютере, а REMOTE_IP – это IP-адрес удаленного компьютера.

Если вы впервые зашли в безопасное место на удаленном компьютере, вам будет предложено ввести да , чтобы продолжить подключение, в противном случае вам будет предложено ввести пароль пользователя на удаленном компьютере. машина. После успешного ввода удаленного пароля ключ будет скопирован, и вы будете готовы проверить соединение.

Тестирование соединения

Проверьте соединение, введя команду:

 ssh USER @ REMOTE_IP

Где USER – это имя пользователя на удаленном компьютере, а REMOTE_IP – это IP-адрес удаленного компьютера. Вместо запроса пароля пользователя вам будет предложено ввести ключевую фразу пары ключей SSH. После того, как вы ввели правильную ключевую фразу, вам будет разрешен доступ к удаленному компьютеру. Поздравляем, SSH Key Authentication запущена и работает.

Отключение аутентификации по паролю

Вы можете сделать этот шаг дальше, отключив аутентификацию по паролю. С этой конфигурацией единственный способ получить доступ к удаленному компьютеру – с компьютера, содержащего закрытый ключ из соответствующей пары. Другими словами, нет пары ключей, нет доступа.

Чтобы отключить аутентификацию по паролю, войдите на удаленный компьютер и введите команду:

 sudo nano/etc/ssh/sshd_config

В этом файле найдите строку:

 #PasswordAuthentication yes

Измените эту строку на:

 PasswordAuthentication no

Сохраните и закройте файл. Перезапустите SSH с помощью команды:

 sudo systemctl перезапустите sshd

Теперь, если вы попытаетесь войти на эту удаленную машину с любого рабочего стола (или сервера), который не содержит закрытый ключ, доступ будет запрещен.

Поздравляем, вы успешно сделали вход в удаленную систему Linux более безопасным с помощью SSH.

Настройка SSH входа без пароля

Чтобы настроить SSH-вход без пароля в Linux, все, что вам нужно сделать, это сгенерировать открытый ключ аутентификации и добавить его в файл удаленных хостов.

Следующие шаги описывают процесс настройки входа по SSH без пароля:

Проверьте существующую пару ключей SSH.

Перед созданием новой пары ключей SSH сначала проверьте, есть ли у вас уже ключ SSH на вашем клиентском компьютере, потому что вы не хотите перезаписывать существующие ключи.

Выполните следующую команду ls, чтобы проверить наличие существующих ключей SSH:

Если есть существующие ключи, вы можете использовать их и пропустить следующий шаг или создать резервную копию старых ключей и сгенерировать новый.

Если вы видите или это означает, что у вас нет ключа SSH, и вы можете перейти к следующему шагу и сгенерировать новый.
Создайте новую пару ключей SSH.

Следующая команда сгенерирует новую пару ключей SSH 4096 бит с вашим адресом электронной почты в качестве комментария:

Нажмите чтобы принять расположение и имя файла по умолчанию:

Затем инструмент попросит вас ввести безопасную парольную фразу. Независимо от того, хотите ли вы использовать кодовую фразу, решать вам, если вы решите использовать кодовую фразу, вы получите дополнительный уровень безопасности. В большинстве случаев разработчики и системные администраторы используют SSH без парольной фразы, поскольку они полезны для полностью автоматизированных процессов. Если вы не хотите использовать кодовую фразу, просто нажмите .

В целом взаимодействие выглядит так:

Чтобы убедиться, что ключи SSH сгенерированы, вы можете указать свои новые закрытые и открытые ключи с помощью:
Скопируйте открытый ключ

Теперь, когда вы сгенерировали пару ключей SSH, чтобы иметь возможность войти на свой сервер без пароля, вам необходимо скопировать открытый ключ на сервер, которым вы хотите управлять.

Самый простой способ скопировать ваш открытый ключ на сервер — использовать команду . На вашем локальном машинном терминале введите:

Вам будет предложено ввести пароль :

После аутентификации пользователя открытый ключ будет добавлен в файл удаленного пользователя, и соединение будет закрыто.

Если по какой-либо причине недоступна на вашем локальном компьютере, вы можете использовать следующую команду для копирования открытого ключа:
Войдите на свой сервер с помощью ключей SSH

После выполнения описанных выше действий вы сможете войти на удаленный сервер без запроса пароля.

Чтобы проверить это, просто попробуйте войти на свой сервер через SSH:

Если все прошло успешно, вы сразу же войдете в систему.

Creating a new key pair for authentication

To create a new key pair, select the type of key to generate from the bottom of the screen (using with 2048 bit key size is good for most people; another good well-known alternative is ).

Then click Generate, and start moving the mouse within the Window. Putty uses mouse movements to collect randomness. The exact way you are going to move your mouse cannot be predicted by an external attacker. You may need to move the mouse for some time, depending on the size of your key. As you move it, the green progress bar should advance.

Once the progress bar becomes full, the actual key generation computation takes place. This may take from several seconds to several minutes. When complete, the public key should appear in the Window. You can now specify a passphrase for the key.

You should save at least the private key by clicking Save private key. It may be advisable to also save the public key, though it can be later regenerated by loading the private key (by clicking Load).

We strongly recommended using a passphrase be for private key files intended for interactive use. If keys are needed for automation (e.g., with WinSCP, then they may be left without a passphrase.

How Secure is SSH Key Authentication?

SSH key authentication is very secure. In addition to allowing secure remote authentication, it also brings its ability to withstand brute force attacks. Typically, passwords sent over any network can be vulnerable to these brute force attacks. With SSH key authentication, signed messages are exchanged using SSH keys that are up to 4096 bits in length, which is equivalent to a 20 character password.

SSH keys are machine-generated, and not human-generated. Human bias towards certain strings and numbers has proven to increase vulnerability in secure systems as opposed to machine-generated keys.

What makes SSH even more secure is the fact that you can easily add a
on top of your SSH key authentication. This is also commonly referred to as multi-factor authentication or MFA.

Создание ключей узла

Для открытых ключей действуют определенные требования к ACL, которые в среде Windows соответствуют предоставлению доступа только администраторам и системной учетной записи. При первом использовании sshd будет автоматически создана пара ключей для узла.

Важно!

Сначала необходимо установить OpenSSH Server. См. статью о начале работы с OpenSSH.

По умолчанию служба sshd настроена для запуска вручную. Чтобы запускать ее каждый раз при перезагрузке сервера, выполните следующие команды в командной строке PowerShell с повышенными привилегиями на сервере:

Так как со службой sshd не связан какой-либо пользователь, ключи узла сохраняются в папке C:\ProgramData\ssh.

Managing SSH keys

In larger organizations, the number of SSH keys on servers and clients can easily grow to tens of thousands, in some cases to millions of keys. In large quantities, SSH keys can become a massive security risk and they can violate compliance requirements.

Universal SSH Key Manager can manage PuTTY keys in addition to OpenSSH and Tectia keys. It works with legacy keys on traditional servers as well as dynamic and keyless elastic environments in the cloud. Any larger organization should ensure they have proper provisioning and termination processes for SSH keys as part of their Identify and Access Management (IAM) practice.

PuTTY Unable to use key file

Для тех, кто в первый раз на лыжах PuTTY — ошибка «Unable to use key file «X:\id_rsa» (OpenSSH SSH-2 private key)» может возникать по нескольким причинам:

Неформат SSH версии в которой ковался id_rsa ключ и версии в которой он пытается использоваться, для SSH-1 и SSH-2 ключи куются в разных форматах;
Неформат id_rsa ключа для использования в PuTTY, для PuTTY нужно ключи конвертировать в .ppk формат

Если id_rsa генерировался стандартными утилитами из пакета OpenSSH (ssh-keygen -t rsa), то для его использования в SSH клиенте PuTTY он должен быть экспортирован в .ppk формат следующим образом (CMD вариант — puttygen id_rsa -o id_rsa.ppk):

Запускаем puttygen и загружаем туда наш id_rsa приватный ключ, что был создан утилитами из пакета OpenSSH, и, если хотим, ставим на него пароль:
Сохраняем приватный ключ в формате .ppk (Save private key):

Теперь после попытки авторизации по ключу нам достаточно будет ввести логин, а если ставили пароль на приватный ключ, то и пароль от приватного ключа соответственно:

login as: shaman
Authenticating with public key "imported-openssh-key"
Last login: Sat Jan  4 09:50:16 2014 from 192.168.231.1
OpenBSD 5.4 (GENERIC) #37: Tue Jul 30 12:05:01 MDT 2013
 
Welcome to OpenBSD: The proactively secure Unix-like operating system.
 
Please use the sendbug(1) utility to report bugs in the system.
Before reporting a bug, please try to reproduce it with the latest
version of the code.  With bug reports, please try to ensure that
enough information to reproduce the problem is enclosed, and if a
known fix for it exists, include that as well.
 
-bash-4.2$

-------------
 
login as: sham
Authenticating with public key "imported-openssh-key"
Passphrase for key "imported-openssh-key":
Last login: Sat Jan  4 09:50:16 2014 from 192.168.231.1
OpenBSD 5.4 (GENERIC) #37: Tue Jul 30 12:05:01 MDT 2013
 
Welcome to OpenBSD: The proactively secure Unix-like operating system.
 
Please use the sendbug(1) utility to report bugs in the system.
Before reporting a bug, please try to reproduce it with the latest
version of the code.  With bug reports, please try to ensure that
enough information to reproduce the problem is enclosed, and if a
known fix for it exists, include that as well.
 
-bash-4.2$

Генерация SSH ключей в Windows 7/8

Генерация SSH ключа с использованием командной строки (cmd) в операционных системах Windows 7/8 не предусмотрено.

Для генерации воспользуйтесь приложением «PuTTY» и входящим в пакет дополнением «PuTTYgen».

Скачайте и установите приложение «PuTTY».
Запустите приложение «PuTTYgen».
В поле «Type of key to generate» укажите «RSA».
А для поля «Number of bits in a generated key» установите значение «2048».
Нажмите «Generate».

Важно! Во время генерации ключа водите курсором в поле «Key» до тех пор, пока ключ не появится в поле

В поле «Key passphrase» введите надежный пароль.
Подтвердите пароль в поле «Confirm passphrase».
Нажмите кнопку «Save private key» и сохраните закрытый ключ.

Внимание! Никогда не передавайте закрытый ключ и пароль сторонним лицам

Нажмите «Save public key» и сохраните открытый ключ в удобном для вас месте.
Вы всегда можете открыть и скопировать сохраненные ключи при помощи приложения «Блокнот».

Удалённый проброс порта

В этом случае подключение внутри SSH–туннеля устанавливается в другую сторону — от удалённого сервера на наш локальный компьютер. Может быть полезно, если требуется открыть доступ к локальным сервисам нашего компьютера. Рассмотрим ту же сеть, что и в пункте 1, но для простоты предположим, что теперь у нас есть NAT:

Здесь уже у нас есть возможность подключаться через SSH напрямую к 212.212.212.212 благодаря наличию NAT–а. А вот 212.212.212.212 подключиться на 192.168.0.2 без специальных ухищрений, понятное дело, не сможет, т.к. 192.168.0.2 не подключён к Интернет непосредственно. Предположим, что пользователю, сидящему под X–ами на 212.212.212.212 нужно через remote desktop попасть на наш компьютер 192.168.0.2. Для этого в SSH–сеансе подключения с 192.168.0.2 на 212.212.212.212 нужно изменить настройки в разделе Tunnels следующим образом:

В результате после успешной авторизации на 212.212.212.212 можно увидеть следующее:

#lsof -i -nP | grep 3333
sshd  18598   avz   11u  IPv4 592868957   TCP 127.0.0.1:3333 (LISTEN)

То есть sshd ожидает подключений на TCP–порт 3333, которые затем по SSH–туннелю будут перенаправлены на 192.168.0.2 порт 3389. И юзер сидящий за 212.212.212.212 сможет с помощью rdesktop увидеть наш рабочий стол:

Авторизация SSH по ключам

Намного безопаснее, удобнее и правильнее будет настроить ssh авторизацию без пароля. Для этого будет использоваться авторизация по ключу.

Для настройки нам понадобится файловый менеджер, например, Far Manager с плагином WinSCP, и Putty

Итак, вот инструкция:

Распаковываем архив, открываем PUTTYGEN:

Открываем PUTTYGEN (PuTTY Key Generator)
Вводим и выбираем всё как на скриншоте: и ключ длиной и жмём Generate
Во время генерации ключей водим мышкой по специальному полю под статусной строкой, чтобы пошла генерация ключей (она использует набор из координат мыши)

Генерируем ключи
Теперь нужно заполнить (это пароль для доступа к приватному ключу). Заполнять не обязательно, но его наличие повысит безопасность, так как любой, кто имеет доступ к приватному ключу, сможет с его помощью авторизоваться на сервере по ssh:

Сохраняем ключи
Сохраним приватный ключ где-нибудь в надёжном месте — . Назовём его, к примеру,
А вот публичный ключ нужно сохранить на сервере, куда устанавливаем доступ — Назовём его . Авторизуемся по ssh по паролю и переходим в директорию пользователя, под которым будет происходить авторизация.
В целях безопасности нежелательно работать под рутом, но я покажу пример команд для root, а вы уже скорректируете под своё имя пользователя

Итак, копируем файл в .
Далее нужно импортировать данные в файл
```
ssh-keygen -i -f /root/.ssh/sheensay.ru.pub >> /root/.ssh/authorized_keys
```
После можно удалить
Осталось настроить подключение. Я пользуюсь Far Manager в связке с плагином WinSCP.
имеет встроенный NetBox, последователя WinSCP, так что, ничего дополнительно устанавливать не придётся.

Открываем Far Manager, Alt + F1, выбираем , далее Shift + F4 и настроим наше подключение. Допустим, мы сохранили приватный файл в
При настройке нужно будет указать IP или доменное имя на нём для доступа к серверу, порт, на котором висит SSH, имя пользователя и путь к приватному файлу-ключу

Настройка подключения по SSH
Подключаемся. Если при генерации ключей вы вводили пароль, то в этом случае при подключении у вас будет запрашивать пароль к приватному файлу.

Подключение настроено. Если что-то сделали не так, при авторизации появится ошибка , то есть Сервер не принял наш ключ. В этом случае пройдитесь по всем пунктам последовательно и поищите ошибку

Отключить авторизацию по паролю

Теперь, когда всё настроено, совсем не лишним будет отключить авторизацию по паролю. Для этого внесём изменения в конфигурационный файл:

PasswordAuthentication no

5: Восстановление доступа к Google MFA (опционально)

Занимаясь настройкой защиты любой системы, вы берёте на себя ответственность за управление безопасностью этой системы. Под этим подразумевается, что вы должны сохранить в надежном свой SSH-ключ, секретный ключ TOTP или же доступ к TOTP-приложению. К сожалению, в некоторых ситуациях ключи или доступ к приложению всё же теряются, и тогда их необходимо восстановить.

Восстановление секретного ключа TOTP

Если вы потеряли свой ключ TOTP, рекомендуем вам такой процесс восстановления, его можно разделить на два этапа:

Вход без кода подтверждения;
Поиск старого или создание нового ключа для восстановления MFA.

Обычно доступ теряется, если у вас появился новый смартфон, на который вы не перенесли свои данные.

Чтобы попасть на сервер, когда секретный ключ утрачен, используйте консоль хостинг-провайдера (это работает, потому что, как правило, с помощью MFA провайдеры защищают только соединения SSH; соединения, не связанные с SSH, не используют модуль PAM Google Authenticator).

Если доступа к консоли нет, у вас есть два варианта восстановления доступа:

Консольный (локальный, не SSH) доступ к системе (то есть физический доступ или через приложение типа iDrac)
Пользователь с доступом к sudo, для которого не была активирована MFA.

Второй вариант является менее безопасным, поскольку цель MFA – усилить защиту всех SSH-соединений, но это один из самых надежных способов восстановить доступ к приложению.

Войдя в систему, вы можете получить секретный ключ:

Восстановить утерянный ключ;
Сгенерировать новый ключ.

В домашнем каталоге каждого пользователя есть файл ~/.google-authenticator, где хранятся секретный ключ и настройки Google Authenticator. Первая строка этого файла содержит необходимый нам ключ. Чтобы получить его, выполните следующую команду, она выведет первую строку файла google-authenticator. Полученный ключ можно ввести в TOTP-приложение.

Восстановив текущий ключ, вы можете либо вручную ввести его в приложение аутентификации, либо ввести соответствующие данные в приведенный ниже URL-адрес и попросить Google сгенерировать QR-код, который вы сможете просканировать. Вам нужно будет указать в адресе свое имя пользователя, имя хоста, секретный ключ из файла .google-Authenticator, а затем любое имя для ‘entry-name-in-auth-app’, чтобы легко отличить этот ключ от других токенов TOTP:

Если же по какой-либо причине вы не может воспользоваться текущим ключом (к примеру, если у вас нет возможности безопасно передать его), вы можете временно переместить файл ~/.google-authenticator в другое место. Это позволит вам получить доступ к серверу по одному фактору (если только вы не сделали многофакторную аутентификацию обязательной, удалив опцию nullok) и запустить google-authenticator, чтобы сгенерировать новый ключ.

Восстановление доступа к TOTP-приложению

Если вы утратили доступ к своему TOTP-приложению и не можете создать код подтверждения, используйте коды для восстановления, которые были выданы вам во время создания первого секретного ключа. Это последние пять строк файла .google-authenticator.

Важно! Эти коды восстановления одноразовые

Генерация и добавление SSH ключей при создании виртуальной машины или физического сервера

В личном кабинете у вас есть возможность создать и добавить SSH ключ при создании виртуальной машины или физического сервера.

В процессе создания машины в разделе SSH ключ вам будет предложено:

— добавить уже хранящийся в личном кабинете ключ, выбрав его из выпадающего списка;

— добавить уже имеющийся в локальном хранилище ключ;

— сгенерировать новый ключ;

1. При нажатии на «Добавить SSH ключ» откроется диалоговое окно. Добавьте открытую часть SSH ключа, введите имя ключа для идентификации его в нашей системе и сохраните его.