Como usar SSH keys em conexões em rede

Com a ajuda do protocolo SSH, é possível criar conexões de rede seguras e crip­to­gra­fa­das em dis­po­si­ti­vos remotos, como ser­vi­do­res. Uma conexão SSH permite que usuários realizem pro­ce­di­men­tos de ma­nu­ten­ção, por comando ou por um com­pu­ta­dor local, menos vul­ne­rá­veis a ataques. Aprenda o processo de con­fi­gu­ra­ção.

De­pen­dendo da versão do protocolo, di­fe­ren­tes al­go­rit­mos de crip­to­gra­fia podem ser im­ple­men­ta­dos. Por exemplo, o SSH-2 usa AES por padrão. Contudo, antes que a conexão seja crip­to­gra­fada, uma au­ten­ti­ca­ção bem-sucedida deve ser realizada. Embora o servidor emita um cer­ti­fi­cado de segurança para o cliente, a verdade é que existem outras formas de registrar o cliente no servidor. Além de opções populares, que envolvem nome de usuário e senha, usar um par de chaves SSH (SSH keys) também pode ser uma boa escolha, por in­cor­po­ra­rem chaves públicas e privadas.

Au­ten­ti­ca­ção com SSH keys

O método de au­ten­ti­ca­ção com SSH keys, também conhecido como au­ten­ti­ca­ção com chave pública, é vantajoso quando comparado ao processo padrão de login com senha. É que a au­ten­ti­ca­ção com chave pública não salva no servidor as senhas usadas: só as chaves públicas são ar­ma­ze­na­das. Isso permite que as chaves privadas per­ma­ne­çam pro­te­gi­das, já que ficarão ar­ma­ze­nada em segurança, somente no com­pu­ta­dor do usuário. Essas chaves podem ser crip­to­gra­fa­das com uma ID. A chave pública também é capaz de verificar as­si­na­tu­ras geradas com SSH keys, pos­si­bi­li­tando seu registro au­to­má­tico no servidor. Mesmo que um usuário não au­to­ri­zado obtenha acesso à chave pública, decifrar a variante privada somente com base nessa in­for­ma­ção é pra­ti­ca­mente im­pos­sí­vel. Ao usar um par de SSH keys em uma conexão SSH, usuários evitam inserir dados sensíveis como senhas, o que garante maior segurança.

Como fazer a troca para SSH keys

Para apro­vei­tar as vantagens das conexões SSH, é ne­ces­sá­rio ter um pacote SSH, como OpenSSH para Unix, WinSCP para Windows ou PuTTY, que funciona nos dois sistemas ope­ra­ci­o­nais. Além do protocolo SSH, esses pacotes contêm apli­ca­ções capazes de gerar SSH keys. Aprenda o passo a passo para con­fi­gu­rar pares de chaves usando OpenSSH e PuTTY a seguir.

Como con­fi­gu­rar SSH keys no OpenSSH

1. Pri­mei­ra­mente é preciso gerar uma SSH key com o seguinte comando: ssh-keygen -t rsa -b 4096. Esse parâmetro de­ter­mi­nam o tipo de crip­to­gra­fia a ser usado (neste caso, RSA) e o com­pri­mento da chave (-b), sendo 4096 o valor máximo. Se nenhuma es­pe­ci­fi­ca­ção for informada, con­fi­gu­ra­ções padrão serão usadas para gerar a chave.
2. O seguinte diálogo permite que usuários vi­su­a­li­zem e alterem o diretório em que a SSH key será ar­ma­ze­nada (“Enter file in which to save the key”). Uma frase-passe para a chave privada também pode ser definida neste momento (“Enter pas­sph­rase”). Caso você escolha usar o diretório padrão e não queira criar um iden­ti­fi­ca­dor para a sua chave, deixe esses campos em branco e avance, pres­si­o­nando a tecla “Enter”.
3. Agora, as duas SSH keys estarão ar­ma­ze­na­das em arquivos di­fe­ren­tes, no diretório definido no passo anterior. O arquivo id_rsa.pub conterá a chave pública, que precisará ser re­gis­trada no servidor, no arquivo autho­ri­zed_keys, subpasta*.ssh*. No servidor, mova a chave para o diretório inicial do res­pec­tivo usuário: scp ~/.ssh/id_rsa.pub USER@HOST.com.
4. Acesse o servidor e copie a SSH key pública na pasta certa:

ssh USER@HOST.com
cat ~/id_rsa.pub >> ~/.ssh/authorized_keys

1. Agora, tanto o par de SSH keys quanto a frase-passe (caso ela tenha sido definida) serão au­to­ma­ti­ca­mente usados ao es­ta­be­le­cer uma conexão SSH. Caso isso não ocorra, verifique se os direitos na subpasta .ssh e no arquivo autho­ri­zed_keys foram definidos cor­re­ta­mente.
2. Como a au­ten­ti­ca­ção com chave pública substitui a au­ten­ti­ca­ção normal com senha, usuários devem desativar o pro­ce­di­mento padrão no arquivo de con­fi­gu­ra­ção de SSH /etc/ssh/sshd_config (ou di­re­ta­mente em /etc/, no Cygwin). Altere a linha “Pas­swor­dAuthen­ti­ca­tion yes” para “Pas­swor­dAuthen­ti­ca­tion no” e reinicie o servidor.

Como gerar SSH keys com o PuTTY Key Generator

1. Quem usa o PuTTY para es­ta­be­le­cer uma conexão SSH tem a opção de im­ple­men­tar a fer­ra­menta padrão PuTTYgen para gerar pares de chaves. O Putty Key Generator pode ser en­con­trado no mesmo diretório no qual você instalou o PuTTY. Contudo, caso você não o encontre, basta fazer o download do Putty Key Generator.
2. Após instalar a fer­ra­menta, inicie-a e selecione o tipo de crip­to­gra­fia que você deseja usar, em “Pa­ra­me­ters”. No caso de SSH-2, usuários podem escolher entre RSA e DAS. Defina o com­pri­mento das suas chaves na opção “Number of bits in a generated key”.
3. Clique em “Generate” e mova o cursor pela caixa de diálogo em branco (para um lado e para o outro) para assegurar a in­di­vi­du­a­li­dade do código.
4. Após gerar as chaves, você poderá equipar o par de chaves com um co­men­tá­rio e uma frase-passe.
5. Salve as duas SSH keys, clicando em “Save private key” e “Save public key”.
6. Para trans­fe­rir a SSH key pública ao servidor, conecte-o ao PuTTY com ela. Depois, copie o código da área de trans­fe­rên­cia (“Public key for pasting into OpenSSH autho­ri­zed_keys file”) e cole-o no arquivo autho­ri­zed_keys.
7. No último passo, insira a SSH key privada no cliente do PuTTY. Abra o menu de con­fi­gu­ra­ção e selecione o arquivo da chave privada em “Category” > “Con­nec­tion” > “SSH” > “Auth” > “Private key file authen­ti­ca­tion”.