Надоградња на МацОС Сиерра разбиће ваше ССХ кључеве и закључати вас са сопствених сервера.

Не надограђујте на мацОС Сиерра ако имате сервер у облаку (АВС, Дигитал Оцеан, итд.) Прво прочитајте овај пост. Провешће вас кроз сигурно ажурирање на Сиерру и ажурирање ваших ССХ кључева.

Као и многи програмери, примио сам обавештење од Апплеа да ме прислушкује да инсталирам његов нови мацОС Сиерра. Неколико дана заредом сам кликнуо на „подсети ме сутра“. Тада сам коначно пропао једну ноћ пре спавања.

Када сам се пробудио, више нисам могао да приступим серверима Фрее Цоде Цамп-а. Требало ми је времена да схватим шта се догодило. Срећом БеркелеиТруе се још није надоградио и могао је да дода моје нове ССХ кључеве.

Испоставило се да је Аппле одлучио да свима тихо наметне 2048-битне РСА тастере, што је за неке представљало благу непријатност, а за друге збуњену панику.

Ако се питате зашто су РСА кључеви сигурнији од старих ДСА кључева, они у суштини нису. Али ДСА кључеви обично могу бити само 1024 бита, док РСА кључеви могу бити и дужи, што је случај са Сиериним подразумеваним 2048-битним РСА кључевима. Ови додатни битови чине ове нове кључеве знатно тежим за пуцање.

Поставимо ваш нови 2048-битни РСА ССХ кључ.

1. корак: избришите стари кључ и направите нови

Прво, проверимо и уверите се да вам заиста треба нови кључ.

Отворите терминал и откуцајте:

ssh-keygen -l -f ~/.ssh/id_rsa.pub

Ако промпт одговори низом који започиње са „2048 СХА256“, готови сте и не требате предузимати никакве даље радње.

У супротном, креирајте нови кључ покретањем:

ssh-keygen -t rsa

Упит треба да одговори са:

Generating public/private rsa key pair.Enter file in which to save the key (/Users/freecodecamp/.ssh/id_rsa):

Можете само притиснути ентер да бисте га сачували на подразумеваном месту. Имајте на уму да ће ово заменити ваш стари (сломљени) кључ.

Enter passphrase (empty for no passphrase):

Можете да оставите ово празно или да додате лозинку за мало додатне сигурности (и много више куцања).

Тада ћете добити цоол случајну „уметност“ која увек изгледа као божићно дрвце:

Сада се побрините да ваш кључ има тачне дозволе за приступ покретањем:

sudo chmod 600 ~/.ssh/id_rsa

Садржај свог јавног кључа можете проверити покретањем:

cat ~/.ssh/id_rsa.pub

Што би требало да врати нешто попут:

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDijWK+s3ybgzEdaJ5LneNU11BsIyoNS51SV11Vi5auPJW9+Ji6OUSJ9OguZh4T019ULyFF/Qq66fhH9TvMzw80lTNoChgTRMpjs2+Qg75yTINKSde+Gv4TK6UvNw6EINORcTpb32Im9hgtdTj6WqJ/hCbSltv7IfFZU5ChV7SxTaoNZTa9M5H3N8YdQ/aGt3puh222Cq5DTjV8fRWaNVvjVQRe/huHAHEzEUr1T/eTlXtoFtGeC1z+pLfYllVzizoS7tyuUksfgqox1jJJMpaZ25V/R/p/MDUc936za/8zgB8OQFRBbrP6JvXXN99DLcvs9coz9vfb2GCVrhxi1aJ5 [email protected]

Овај кључ ћете морати да ставите на сервер. Да бисте били сигурни да ћете све копирати, препоручујем да га копирате директно у своју меморију тако што ћете покренути:

pbcopy < ~/.ssh/id_rsa.pub

2. корак: додајте свој нови јавни кључ на свој сервер

Ако ССХ можете ући на сервер без кључа, покушајте да приступите лозинци ако је имате.

У супротном ћете морати да замолите некога ко има приступ серверу да то учини уместо вас.

Ако сте онемогућили приступ лозинки свом серверу (што би многи стручњаци препоручили из безбедносних разлога), можда ћете моћи привремено поново да омогућите приступ лозинки.

Једном када имате роот приступ свом серверу - под претпоставком да је Линук сервер - само требате покренути ову наредбу:

nano ~/.ssh/authorized_keys

Ово ће отворити вашу ауторизовану датотеку кључа помоћу минималистичког уређивача текста „нано“ који је укључен у већину Линук дистрибуција. Или би ти могао користити Вим.

Затим налепите свој јавни ССХ кључ од раније. Притисните цонтрол + о да бисте сачували промене, а затим цонтрол + к да бисте напустили нано.

Прекини везу са сервером. Сада сте спремни да покушате да се пријавите помоћу свог новог ССХ кључа.

Корак # 3: ССХ на ваш сервер

Покрените ову команду на ССХ у, замењујући роот@0.0.0.0 корисничким именом и ИП адресом вашег сервера:

ssh -i ~/.ssh/id_rsa [email protected]

Требали бисте добити уобичајени ССХ приступ свом серверу, без потребе за уносом лозинке.

Честитам! Вратили сте се тамо где сте били јуче, осим што ће сада Аппле престати да вам смета због надоградње оперативног система. ?

Пишем само о програмирању и технологији. Ако ме пратите на Твиттеру, нећу вам губити време. ?