Что это такое?

Это разовая команда для генерации ключей SSH. (По существу, оболочка к утилите ssh-keygen.)

Зачем это нужно?

Чтобы сгенерировать персональные ключи данного клиента SSH для его аутентификации на удалённых системах.

Как это настроить?

Ввести yes в поле подтверждения и выполнить команду.

После того, как ключи для локального клиента SSH созданы, необходимо передать публичный ключ на удалённый хост(ы) командой append. Ключи передаются с помощью того же клиента SSH, но для входа на удалённый хост один раз необходимо ввести пароль в интерактивном режиме.

ВНИМАНИЕ! Генерация ключей разрешена только пользователю root.

Что делать, если это не работает?

Если вы не сгенерировали ключи, а перенесли их с другой машины или из другой конфигурации — проверить, что файлы ~/.ssh/id_* (без суффикса .pub) закрыты для доступа (в т.ч. на чтение) для всех, кроме владельца.

Аутентификация клиента SSH на сервере может выполняться не только по паролю, но также по персональным ключам клиента. Для этого на клиентской машине необходимо заранее сгенерировать пару ключей (точнее, несколько пар для различных алгоритмов шифрования). Закрытый (приватный) ключ хранится только на самом клиенте и не передаётся никому, ни при каких обстоятельствах. Открытый (публичный) ключ должен быть заранее помещён (безопасным способом) на сервер в список доверенных ключей.

ПРИМЕЧАНИЕ. Ключи клиента не имеют ничего общего с ключами сервера SSH, которые необходимы для работы сервера в любом случае и передаются клиенту один раз при первом подключении к данному серверу.

Этот способ удобнее для регулярных обращений с одного и того же клиента к одному и тому же серверу, в особенности для автоматизированного выполнения разнообразных задач на нём, например, таких, как:

• Копирование конфигураций.
• Управление удалённым устройством из скриптов, выполняемых локально (в т.ч., например, трансляция локальных событий в удалённый обработчик).
• Файловые операции на удалённом устройстве и/или между локальным и удалённым устройством. Рекомендуется использовать для этих операций файловые менеджеры с поддержкой протоколов SFTP, SCP и/или FISH.

Аутентификация по ключам более надёжна, поскольку подбор ключа требует на много порядков больше ресурсов, чем подбор относительно короткого пароля. Рекомендуется использовать её, если это возможно по постановке задачи в данном сетевом решении. Недостатком данного метода является то, что он привязан к определённой клиенской машине, находящейся по определённому IP-адресу (например, к стационарному ПК администратора в офисе). Это же можно считать его достоинством по сравнению с парольной аутентификацией: пароль привязан к определённой голове пользователя и может быть введён на любой машине, с любого адреса.

Не следует использовать доступ по ключам с мобильных устройств (ноутбуков, смартфонов и т.п.), которые могут быть утеряны, похищены или... в общем, в армии нет слова "потерял"...

ПРИМЕЧАНИЕ. Возможность аутентификации по ключам сохраняется в случае, если на удалённом хосте вход в парольном режиме будет впоследствии запрещён для данного пользователя (на устройствах NSG для этого используется команда lock.) Настоятельно рекомендуется использовать эту возможность, если вход для пользователя root необходим в процессе штатной эксплуатации устройства.

Таким образом, организация доступа на удалённый сервер с аутентификацией по ключам производится в следующем порядке:

1. Разрешить на сервере вход для требуемого пользователя. (На устройствах NSG — установить пароль для пользователя root.)
2. Сгенерировать ключи SSH на данном клиентском устройстве.
3. Перенести открытые (публичные) ключи с данного устройства на сервер при помощи команды append (или иным безопасным способом).
4. (рекомендуется) Запретить вход на сервер с аутентификацией по паролю.