Eine Alternative zur SSH-Anmeldung mit einem Passwort ist die Verwendung des Private/Public-Key-Verfahren. Damit wird die Anmeldung sicherer, und (oder) bequemmer (wenn man sich den langen Passwort spart).
Die EInrichtung ist nicht kompliziert. Zunächst muss eine Schlüsselpaar generiert werden (falls nicht bereits vorhanden). Dafür kann z.B. das Programm puttygen.exe verwendet werden, die Schlüssel können auch auf dem Raspberry Pi selbst generiert werden. Dafür dient das Tool ssh-keygen
.
pi@RPI-01 ~ $ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/pi/.ssh/id_rsa):
Created directory '/home/pi/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/pi/.ssh/id_rsa.
Your public key has been saved in /home/pi/.ssh/id_rsa.pub.
The key fingerprint is:
e3:63:ab:4c:a5:43:a8:f4:81:ac:b1:cd:6d:09:d5:d4 pi@RPI-01
Die Passphrase kann natürlich auch leer bleiben. Damit kann die Anmeldung ohne jede Nachfrage realisiert werden. Man soll jedoch gut abwägen, ob das nicht ein zu hohes Risiko darstellt, was natürlich nicht in jedem Fall so sein muss (die Schlüssel können ja auf eine andere Art sicher verwahrt sein können).
Die Schlüssel landen standartmäßig in ~/.ssh : id_rsa (private key) und id_rsa.pub (public key).
Von dem Schlüsselpaar soll natürlich eine Sicherungskpie gemacht werden. Die Private Schlüssel soll (aus Sicherheitsgründen) am Raspberry Pi gelöscht werden. Public-key soll nach ~/.ssh/authorized_keys kopiert (oder umbenannt) werden.
mv ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
Danach sind noch die Rechte anzupassen:
chmod 0600 ~/.ssh/*
Der Datei-Besitzer soll der Anzumeldender Benutzer sein. Das ist normalerweise nach der Generierung bereits so, falls nicht (die Schlüssel wurden z.B. von einem anderen Benutzer erstellt), soll dies korrigiert werden (statt 'pi' den gewünschten Benutzer eintragen):
chown pi:pi ~/.ssh/*
Damit ist die Server-Seite eingerichtet.
Zum Anmelen kann z.B. das Programm PuTTY verwendet werden.
Dort ist folgendes (zusätzlich zu den Verbindungseinstellungen) einzustellen:
Unter Connection->Data->Auto-login username den Benutzernamen eintragen ('pi').
Danach uneter Connection->SSH->Auth->Private key file for authentication den Pfad zu dem privaten Schlüssel.
Da PuTTY nicht direkt den generierten Schlüssel (id_rsa) verwenden kann, muss dieser noch mit dem Tool puttygen.exe konvertiert werden. Dafür wird der private Schlüssel mit dem Programm geladen (Load) und danach mit der Funktion 'Save private key' der Schlüssel in ppk-Format gespeichert.
Jetzt sollte die Anmeldung per Key-Verfahren funktionieren.
Kommentare (0)