top of page

Passwordless SSH

Writer: Marco TubbenMarco Tubben
4 days ago3 min read



Passwordless toegang klinkt niet als een vergroting van de veiligheid, maar in het geval van met SSH inloggen op een host/CVM juist wel omdat er dan geen password meer gebruikt wordt maar je moet beschikken over een RSA key



Alert ID A6219 : CVM SSH Security


Deze melding komt al enige tijd naar voren uit de NCC health checks als er SSH toegang mogelijk is middels alleen een password in plaats van gebruik te maken van een public en private key combinatie. Veel beheerders laten deze optie ongebruikt omdat het ingewikkeld klinkt om dit in te voerer. Middels deze blog laat ik zien dat het meevalt en het een kleine moeite is om de security van je Nutanix cluster te vergroten.


De acties die uitgevoerd moeten worden zijn in hoofdlijnen:

1 Klik op het tandwiel in het hoofdmenu en selecteer Cluster Lockdown in de settings kolom onder Security


2 Kies daar voor het uitvinken van de optie Enable Remote Login with Password




Dit zorgt ervoor dat inloggen via SSH met alleen een password niet meer toegestaan is. SSH toegang is dan alleen toegestaan door het invoeren van de SSH Key


Totdat die key is toegevoegd is de cluster in de locked down modes, er mag immers niet meer ingelogd word



en middels SSH omdat de password optie uit staat.


3 Klik op de  New Public Key knop en voeg de Public Key toe voor SSH toegang. Hoe deze keys aan te maken zijn wordt iets verder hieronder beschreven.


Als de <CR> of Enters niet verwijderd zijn in de public key zul je deze foutmelding zien, verwijder deze dus zoals hieronder bij aanmaken SSH keypair ook aangegeven.







Als de key goed is ingevoerd ziet het er zo uit:




SSH login is nu beveiligd met een key. Hoe deze key te gebruiken wordt nu uitgelegd:

 

Passwordloos SSH inloggen met Windows (gebruik makend van PuTTY)

Download de laatste versie van putty.exe

Start PuTTY

Ga naar Connection -> SSH -> Auth -> Credentials en selecteer de zojuist aangemaakte ppk file bij Private Key





 

Ga naar Connection -> Data en vul bij Auto-login username nutanix in




Ga naar Sessie en voer een CVM naam en IP adres in en sla op voor later gebruik. Selecteer Open om de sessie te starten middels een SSH key in plaats van een wachtwoord.

 

 

Aanmaken SSH keypair middels PuTTY

 

Start PuTTYgen



Selecteer Generate



Beweeg de muis willekeurig over het scherm totdat de key is gegenereerd



Zodra de key klaar is kies voor Save Public Key met een .pub extensie (bv SSHtoken.pub)

De file zal <CR> of enters bevatten, de key zelf zal uit 1 regel moeten zijn dus deze <CR>’s zullen verwijderd moeten worden, PuTTY zet deze er in, maar openssh kan dit niet verwerken.

 


Selecteer Save private Key en sla deze op met een .ppk  extentie (bv SSHtoken.ppk).

Als een public key zoals nu met putty is gegenereerd zal de file enigszins aangepast moeten worden voordat deze in Prism Elements ingevoerd kan worden.

Verwijder daartoe de eerste en laatste regel uit de pub file. Deze regels zullen er als volgt uit zien.

Eerste regel:

---- BEGIN SSH2 PUBLIC KEY ----

Laatste regel:

---- END SSH2 PUBLIC KEY ----

Voeg aan het begin van de key “ssh-rsa” toe. De key zal er dan uitzien zoals hieronder:


 


Aanmaken SSH keypair op MAC/Linux

Open een terminal sessie

Start het ssh-keygen commando en geef de naam op van de key(s). De public key (zonder extensie) en de private key worden gegenereerd en opgeslagen:



 

 


 
 
 

Comments

MarcosTips

info@tubben.com

©2022 by MarcosTips. Proudly created with Wix.com

bottom of page