Правильно ли я делаю первый опыт с ssh-copy-id?

Сделайте это как Amazon --сгенерируйте для них пару ключей открытый/закрытый и отправьте им закрытый ключ. Им нужно будет отправить этот закрытый ключ для аутентификации (ssh -i /path/to/key.pem user@host), и таким образом вам никогда не потребуется включать аутентификацию по паролю SSH.

РЕДАКТИРОВАТЬ:Благодаря комментаторам, я наконец-то понимаю, откуда они берутся. Чтобы первоначально поделиться закрытым ключом с пользователем, он должен быть отправлен по безопасному каналу, такому как HTTPS.

1. Попросите их сгенерировать ключ самостоятельно. Отправка паролей или закрытых ключей по электронной почте никогда не была хорошей идеей. Несмотря на то, что транспорт должен быть безопасным, почта годами лежит как минимум на двух серверах, которым нельзя доверять (freemails,... ).

2. Не стоит раскрывать аутентификацию по паролю только в этом случае. Вы можете просто забыть вернуть его или перезапустить службу, и в итоге у вас будет открыта аутентификация по паролю. Если вам нужно, просто включите его для этого одного пользователя:

   Match user new-user
     PasswordAuthentication yes
   

3. Создайте сценарий, который установит открытый ключ и правильные разрешения для нового пользователя. Это либо несколько строк непосредственно на этом сервере, либо даже вы можете использовать ssh-copy-idс -fпереключателем (, если вы уже включили аутентификацию по паролю ), чтобы минимизировать окно открытия вашего сервера.

4. Если вы хотите иметь контроль над открытыми ключами, используемыми для аутентификации, и не допускать, чтобы пользователи писали/изменяли свои авторизованные ключи, вы можете настроить AuthorizedKeysFileна некоторый общий каталог, где вы будете контролировать доступ, для пример

   AuthorizedKeysFile /etc/ssh/authorized_keys/%u
   

   Будет выполнен поиск файла для пользователя new-userв /etc/ssh/authorized_keys/new_user. Файлы, созданные в каталоге /etc/, должны иметь разрешения по умолчанию, подходящие для ssh.

Вы можете сделать это так же, как Hetzner Online (немецкий интернет-провайдер )делает это, по крайней мере, со своими Linux VPS при настройке аутентификации с открытым ключом (, которую они предлагают в качестве выбора во время инициализации, в качестве альтернативы к установке пароля для учетной записи root).

Попросите пользователя предоставить открытый ключ , прежде чем вы разрешите ему доступ к своей учетной записи. Никогда не устанавливайте пароль для учетной записи пользователя самостоятельно, и если хотите,Держите все, кроме PubkeyAuthentication, выключенным все время в вашем sshd. Вставьте ключ, предоставленный пользователем, в собственные ключи пользователя ~/.ssh/authorized _, как только вы создадите его учетную запись или сразу после ее получения, но до того, как ему будет разрешен доступ. Предполагая OpenSSH, вы даже можете настроить свой SSH-сервер для принятия аутентификации по паролю только с локального хоста (, используя раздел Matchв конфигурации /etc/ssh/sshd _), что должно позволить вам использовать ssh-copy-idрабочий процесс локально, гарантируя, что такие вещи, как разрешения и права собственности, установлены правильно.

Таким образом, пользователь всегда сохраняет полный контроль над своим закрытым ключом, и никакие данные, которые в любом случае не будут переданы, не передаются. Вы также не обучаете их принимать кого-то другого, генерирующего закрытый ключ. Amazon может сделать это правильно --Лично у меня есть сомнения, и я бы определенно хотел немедленно заменить пару ключей --, но каковы шансы, что вы сможете вложить столько же в получение этого процесс прямо как у них?

В идеале вы должны запросить открытый ключ для передачи по зашифрованному каналу, но это не столько для конфиденциальности, сколько для подлинности . Пользователь хочет быть уверенным, что общается с сущностью, с которой, по его мнению, общается, а вы хотите быть хотя бы разумно уверены, что никто не действует как активный посредник и не изменяет сообщения и не заменяет открытый ключ на их. Но даже отправка открытого ключа обычной, незащищенной -электронной почтой не так уж плоха. В конце концов, открытый ключ должен быть открытым.

Если вы создаете новые учетные записи редко и для людей, с которыми у вас сложились отношения, вы даже можете позвонить пользователю по телефону и попросить его прочитать отпечаток своего ключа SSH и сверить его с тем, что вы получили. Дайте им отпечаток пальца для ключа хоста (s )одновременно.Таким образом, они тоже могут быть уверены, что подключаются к правильному хосту даже в первый раз. (Hetzner включает отпечатки ключей хоста в электронное письмо -«ваш VPS готов».)