ping.fm
Roman Kropachek Photo
كتب بواسطة:

آخر تحديث في

كيف تعمل مصادقة مفتاح SSH العام؟

كيف تعمل مصادقة مفتاح SSH العام؟

تعد مصادقة مفتاح الـSSH العام (Secure Shell) أداة قوية لإدارة الاتصالات الآمنة بين الأجهزة. تعتمد على زوج من مفاتيح التشفير لإقامة اتصال شبكي حيث يمكن تأكيد الهوية دون تبادل كلمات المرور. بدأت رحلتي مع مصادقة مفتاح SSH العام عندما بحثت عن بديل أكثر أمانًا لتسجيلات الدخول القائمة على كلمة السر للوصول إلى الخوادم. انطلاقًا من تجاربي الشخصية، سأرشدكم خلال كيفية عمل هذا الآلية للمصادقة وأقدم خطوات عملية لتنفيذها بنفسك.

1

السيناريوهات المشتركة:

الحاجة إلى الوصول البعيد الآمن 🛡

  • الوصول المتكرر إلى الخوادم البعيدة والحاجة إلى تجنب المخاطر المتعلقة باستخدام كلمات المرور.
  • رغبة في أتمتة المهام التي تتطلب SSH دون تدخل بشري، مثل السكريبتات أو أنظمة التكامل المستمر.
  • صيانة العديد من الخوادم والحاجة إلى تبسيط عمليات تسجيل الدخول دون التضحية بالـأمان.

التنفيذ الآلي والعمليات 🤖

  • تنفيذ عمليات النشر التلقائية حيث يجب على الخوادم المصادقة مع أنظمة مراقبة النسخ مثل Git.
  • تهيئة مفاتيح SSH لتمكين الاتصالات الآمنة بين أدوات الأتمتة وخوادم الإنتاج.
  • تسهيل العمليات التشخيصية والصيانة عن بعد بمتطلبات تسجيل دخول يدوية قليلة.

تحسين وضع الأمان الشخصي 🔐

  • التفضيل الشخصي لتدابير الأمان المتزايدة عند إدارة البيانات الحساسة عبر اتصالات SSH.
  • زيادة الحماية ضد هجمات التصيد الاحتيالي أو سرقة كلمات المرور.
  • تقليل نقاط الهجوم عن طريق القضاء على الحاجة إلى كلمات المرور التي هي ضعيفة أمام هجمات القوة العنيفة.
2

دليل خطوة بخطوة. كيف تعمل مصادقة مفتاح SSH:

الطريقة 1: إنشاء أزواج مفاتيح SSH 🛠

  • إنشاء زوج مفتاح Secure Shell (SSH) باستخدام أمر مثل ssh-keygen.
  • اختيار خوارزمية المفتاح المرغوبة، حيث يعتبر RSA أو ED25519 من الخيارات الشائعة.
  • اختيار عبارة مرور آمنة، والتي تضيف طبقة إضافية من الـأمان إلى مفتاحك.
  • حفظ المفاتيح العامة والخاصة التي تم إنشاؤها في المواقع المخصصة لها.
  • إنشاء نسخة احتياطية آمنة من مفتاحك الخاص كونه هويتك ويجب ألا يتم مشاركتها أبدًا.

ملاحظة: يمكن مشاركة المفتاح العام ويستخدم في الخوادم التي ترغب في الوصول إليها، بينما يظل المفتاح الخاص على جهاز العميل، محميًا بعبارة المرور.

الطريقة 2: نسخ المفتاح العام إلى الخادم 🚀

  • استخدام ssh-copy-id، وهو سكربت يقوم بتثبيت مفتاحك العام في ملف authorized_keys الخاص بالخادم.
  • تنفيذ ssh-copy-id user@hostname مع إدراج اسم المستخدم واسم المضيف الذي ترغب في الوصول إليه.
  • إدخال كلمة المرور الخاصة بك عندما يُطلب منك لإكمال عملية النسخ.
  • التحقق من أن المفتاح العام قد تم إضافته إلى الملف الصحيح بالتحقق يدويًا من ملف ~/.ssh/authorized_keys على الخادم.

ملاحظة: هذه الخطوة حيوية حيث إنها تقيم علاقة الثقة بين جهاز العميل والخادم للاتصالات المستقبلية.

الطريقة 3: تكوين خادم SSH 🔨

  • تعديل ملف تكوين خادم SSH، والذي يوجد عادة في /etc/ssh/sshd_config.
  • التأكد من أن الخيار PubkeyAuthentication yes مُعدَل لتمكين مصادقة المفتاح العام.
  • لمزيد من الـأمان، قد تقوم بتعديل PasswordAuthentication no لمنع تسجيلات الدخول بكلمة المرور إذا كان الوصول المعتمد على المفتاح وحده هو المطلوب.
  • إعادة تشغيل خدمة SSH لتطبيق التغييرات، عادةً عبر أوامر مثل sudo service ssh restart أو sudo systemctl restart ssh.

ملاحظة: هذه التهيئة التكوينية للخادم تضمن أن العملاء الذين يملكون المفاتيح العامة الموافق عليها فقط يمكنهم الاتصال.

الطريقة 4: تكوين عميل SSH 📝

  • على جهاز العميل، قم بتكوين ملف ~/.ssh/config لاتصالات مريحة.
  • إعداد إدخالات Host بتفاصيل مثل HostName، وUser، وتحديد مسار مفتاحك الخاص باستخدام IdentityFile.
  • يسمح هذا التكوين بـأوامر اختصار عند الوصول إلى مضيفين مختلفين، مثل كتابة ssh myserver بدلًا من الأمر الكامل لتسجيل الدخول.

ملاحظة: يمكن لتكوين العميل أن يبسط كثيرًا من سير العمل الخاص بك عند الاتصال المنتظم بخوادم متعددة.

الطريقة 5: اختبار الاتصال بـ SSH 🔗

  • بدء اتصال SSH بالخادم باستخدام ssh user@hostname لاختبار الإعداد الخاص بك.
  • إذا تم إعداد المفتاح العام بشكل صحيح، سيُطلب منك عبارة المرور الخاصة بـمفتاحك الخاص (إذا تم تعيين واحدة) أو سيتم الاتصال مباشرةً.
  • تسجيل الدخول الناجح دون الحاجة إلى كلمة مرور يؤكد التهيئة الصحيحة لمصادقة المفتاح العام.

ملاحظة: في حالة فشل الاتصال، تأكد من صحة تكوين كل من العميل والخادم وأن الخادم قد تم تثبيت المفتاح العام الخاص بك.

خاتمة: اتباع هذه الخطوات يتيح لك إعداد SSH آمن يمكّنك من الوصول إلى الأنظمة البعيدة دون الحاجة إلى كلمات مرور، مما يعزز كل من الراحة والأمان.

3

الاحتياطات والنصائح:

تعزيزات الأمان 🛡

  • الحفاظ دائمًا على أمان مفتاحك الخاص وعدم مشاركته. إذا تم اختراقه، قم بإبطال المفتاح فورًا.
  • استخدام عبارة مرور قوية لـالمفتاح الخاص لإضافة طبقة أمان إضافية. استخدم إدارة كلمات المرور لتخزين وتوليد عبارات مرور معقدة.
  • النظر في تحديد تاريخ انتهاء للمفاتيح وتدويرها بشكل دوري للحفاظ على نظافة الأمان.
  • تقييد الوصول إلى SSH حسب الـ IP باستخدام توجيهات AllowUsers وAllowGroups في ملف sshd_config.
  • تطبيق التوثيق الثنائي (2FA) لتسجيلات الدخول إلى SSH لتعزيز الأمان.
4

فهم التشفير

مصادقة المفتاح العام SSH تعتمد على التشفير، وتحديدًا التشفير غير المتماثل أو تشفير المفتاح العام. ينطوي هذا على زوج من المفاتيح: مفتاح عام يمكن مشاركته على نطاق واسع ومفتاح خاص يجب الحفاظ على سريته. فهم كيف تعمل هذه المبادئ التشفيرية يمكن أن يساعد في بناء أساس متين لتأمين الاتصالات عبر SSH.

للحصول على معرفة متعمقة حول التشفير وSSH، يوفر الفريق الهندسي للإنترنت (IETF) توثيقًا مفصلًا حول بروتوكول SSH، بما في ذلك بنيته الأمنية.

توفر موارد أخرى ذات سلطة عالية مثل OpenSSH، حزمة برامج SSH، أدوات وميزات تسهل التكوينات المتقدمة وتخصيص إعداد الاتصال الآمن الخاص بك.

خلاصة:

لقد غيرت مصادقة المفتاح العام SSH الطريقة التي أتعامل بها مع الوصول إلى الخادم عن بُعد وأمان البيانات. التكامل السلس مع إجراءات العمل الخاصة بي عزز بيئتي الرقمية، والطمأنينة الناتجة عن معرفة أن اتصالاتي مشفرة ومحمية لا يمكن المبالغة في تقديرها. آمل أن يمنح مشاركة هذه الرؤى الآخرين القدرة على اتخاذ الخطوة إلى المصادقة القائمة على المفتاح وتجربة الفوائد الناتجة في ممارسات أمن الشبكات الخاصة بهم.

الأسئلة الشائعة

مصادقة المفتاح الشخصي SSH تستخدم زوجاً من المفاتيح الكريبتوغرافية للتحقق من هوية المستخدم، بديلاً عن طريقة كلمة المرور التقليدية. ويعتبر أكثر أماناً من تسجيل الدخول باستخدام كلمة المرور.

يتم توليد المفاتيح باستخدام برنامج مثل ssh-keygen، الذي يُنشئ زوجاً من المفاتيح يتكون من مفتاح خاص (يُحتفظ به سراً) ومفتاح عام (يُشارك مع الخوادم).

يجب وضع المفتاح العام في ملف authorized_keys على الخادم الذي تريد الوصول إليه، داخل دليل .ssh الخاص بالمستخدم.

يستخدم العميل المفتاح الخاص لإنشاء توقيع رقمي. يقوم الخادم بالتحقق من هذا التوقيع باستخدام المفتاح العام المقابل لمصادقة المستخدم.

نعم، من الضروري الحفاظ على المفتاح الخاص لـ SSH بأمان. يجب تشفيره بعبارة مرور وضبط الأذونات ليكون قراءة/كتابة للمالك فقط.

لا، مفاتيح SSH لا تحتوي على تاريخ انتهاء صلاحية، ولكن يمكن إبطالها يدويًا أو استبدالها إذا تم اختراقها أو من أجل تحديثات الأمان الدورية.

وكيل SSH هو برنامج يحفظ المفاتيح الخاصة المستخدمة في المصادقة عبر SSH، الأمر الذي يسمح للمستخدم بالاتصال بالخوادم دون الحاجة إلى إدخال العبارات السرية بشكل متكرر.

يمكن للمستخدمين نسخ المفتاح العام يدوياً إلى كل خادم، أو استخدام أدوات مثل ssh-copy-id لتوزيع المفتاح تلقائياً.

يقوم العميل بالتحقق من مفتاح المضيف للخادم مقابل المضيفين المعروفين للتأكد من أنه يتصل بالخادم الصحيح والشرعي لمنع هجمات الوسط.

نظراً لتعقيد وطول مفاتيح SSH، فهي تتمتع بمقاومة عالية ضد هجمات القوة الغاشمة، مما يجعلها أكثر أماناً بكثير من كلمات المرور. لمزيد من التفاصيل حول SSH والمفاتيح، يمكنك استكشاف الصفحات الرئيسية لموقعي SSH.COM أو مشروع OpenSSH.