Como usar SSH keys em conexões em rede

Com a ajuda do protocolo SSH, é possível criar conexões de rede seguras e criptografadas em dispositivos remotos, como servidores. Uma conexão SSH permite que usuários realizem procedimentos de manutenção, por comando ou por um computador local, menos vulneráveis a ataques. Aprenda o processo de configuração.

Dependendo da versão do protocolo, diferentes algoritmos de criptografia podem ser implementados. Por exemplo, o SSH-2 usa AES por padrão. Contudo, antes que a conexão seja criptografada, uma autenticação bem-sucedida deve ser realizada. Embora o servidor emita um certificado de segurança para o cliente, a verdade é que existem outras formas de registrar o cliente no servidor. Além de opções populares, que envolvem nome de usuário e senha, usar um par de chaves SSH (SSH keys) também pode ser uma boa escolha, por incorporarem chaves públicas e privadas.

Autenticação com SSH keys

O método de autenticação com SSH keys, também conhecido como autenticação com chave pública, é vantajoso quando comparado ao processo padrão de login com senha. É que a autenticação com chave pública não salva no servidor as senhas usadas: só as chaves públicas são armazenadas. Isso permite que as chaves privadas permaneçam protegidas, já que ficarão armazenada em segurança, somente no computador do usuário. Essas chaves podem ser criptografadas com uma ID. A chave pública também é capaz de verificar assinaturas geradas com SSH keys, possibilitando seu registro automático no servidor. Mesmo que um usuário não autorizado obtenha acesso à chave pública, decifrar a variante privada somente com base nessa informação é praticamente impossível. Ao usar um par de SSH keys em uma conexão SSH, usuários evitam inserir dados sensíveis como senhas, o que garante maior segurança.

Como fazer a troca para SSH keys

Para aproveitar as vantagens das conexões SSH, é necessário ter um pacote SSH, como OpenSSH para Unix, WinSCP para Windows ou PuTTY, que funciona nos dois sistemas operacionais. Além do protocolo SSH, esses pacotes contêm aplicações capazes de gerar SSH keys. Aprenda o passo a passo para configurar pares de chaves usando OpenSSH e PuTTY a seguir.

Como configurar SSH keys no OpenSSH

1. Primeiramente é preciso gerar uma SSH key com o seguinte comando: ssh-keygen -t rsa -b 4096. Esse parâmetro determinam o tipo de criptografia a ser usado (neste caso, RSA) e o comprimento da chave (-b), sendo 4096 o valor máximo. Se nenhuma especificação for informada, configurações padrão serão usadas para gerar a chave.
2. O seguinte diálogo permite que usuários visualizem e alterem o diretório em que a SSH key será armazenada (“Enter file in which to save the key”). Uma frase-passe para a chave privada também pode ser definida neste momento (“Enter passphrase”). Caso você escolha usar o diretório padrão e não queira criar um identificador para a sua chave, deixe esses campos em branco e avance, pressionando a tecla “Enter”.
3. Agora, as duas SSH keys estarão armazenadas em arquivos diferentes, no diretório definido no passo anterior. O arquivo id_rsa.pub conterá a chave pública, que precisará ser registrada no servidor, no arquivo authorized_keys, subpasta*.ssh*. No servidor, mova a chave para o diretório inicial do respectivo usuário: scp ~/.ssh/id_rsa.pub USER@HOST.com.
4. Acesse o servidor e copie a SSH key pública na pasta certa:

ssh USER@HOST.com
cat ~/id_rsa.pub >> ~/.ssh/authorized_keys

1. Agora, tanto o par de SSH keys quanto a frase-passe (caso ela tenha sido definida) serão automaticamente usados ao estabelecer uma conexão SSH. Caso isso não ocorra, verifique se os direitos na subpasta .ssh e no arquivo authorized_keys foram definidos corretamente.
2. Como a autenticação com chave pública substitui a autenticação normal com senha, usuários devem desativar o procedimento padrão no arquivo de configuração de SSH /etc/ssh/sshd_config (ou diretamente em /etc/, no Cygwin). Altere a linha “PasswordAuthentication yes” para “PasswordAuthentication no” e reinicie o servidor.

Como gerar SSH keys com o PuTTY Key Generator

1. Quem usa o PuTTY para estabelecer uma conexão SSH tem a opção de implementar a ferramenta padrão PuTTYgen para gerar pares de chaves. O Putty Key Generator pode ser encontrado no mesmo diretório no qual você instalou o PuTTY. Contudo, caso você não o encontre, basta fazer o download do Putty Key Generator.
2. Após instalar a ferramenta, inicie-a e selecione o tipo de criptografia que você deseja usar, em “Parameters”. No caso de SSH-2, usuários podem escolher entre RSA e DAS. Defina o comprimento das suas chaves na opção “Number of bits in a generated key”.
3. Clique em “Generate” e mova o cursor pela caixa de diálogo em branco (para um lado e para o outro) para assegurar a individualidade do código.
4. Após gerar as chaves, você poderá equipar o par de chaves com um comentário e uma frase-passe.
5. Salve as duas SSH keys, clicando em “Save private key” e “Save public key”.
6. Para transferir a SSH key pública ao servidor, conecte-o ao PuTTY com ela. Depois, copie o código da área de transferência (“Public key for pasting into OpenSSH authorized_keys file”) e cole-o no arquivo authorized_keys.
7. No último passo, insira a SSH key privada no cliente do PuTTY. Abra o menu de configuração e selecione o arquivo da chave privada em “Category” > “Connection” > “SSH” > “Auth” > “Private key file authentication”.