SSH Schlüssel · 4 min read · Sep 17, 2025

Linux Grundlagen: So erstellen und installieren Sie SSH-Schlüssel in der Shell

SSH-Schlüssel bieten eine hochsichere Möglichkeit, sich mit SSH auf einem Server anzumelden, im Gegensatz zur bloßen Abhängigkeit von einem Passwort. Während ein Passwort das Risiko birgt, letztendlich geknackt zu werden, sind SSH-Schlüssel mit Brute-Force-Angriffen nahezu unmöglich zu entschlüsseln. Tatsächlich bietet die Generierung eines Schlüsselpaares den Benutzern zwei lange Zeichenfolgen, die einem öffentlichen sowie einem privaten Schlüssel entsprechen. Benutzer können somit den öffentlichen Schlüssel auf jedem Server ablegen und diesen anschließend entsperren, indem sie sich mit einem Client verbinden, der bereits über den privaten Schlüssel verfügt. Bei der Übereinstimmung der beiden Schlüssel wird das System ohne lästige Abhängigkeit von einem Passwort entsperrt. Die Sicherheit kann zusätzlich durch den Schutz des privaten Schlüssels mit einer Passphrase erhöht werden.

Installation von SSH-Schlüsseln auf Linux - Eine Schritt-für-Schritt-Anleitung

Im Folgenden finden Sie eine Schritt-für-Schritt-Anleitung, die den Prozess der Installation von SSH-Schlüsseln auf einem Linux-Server beschreibt:

Schritt Eins: Erstellung des RSA-Schlüsselpaares

Der erste Schritt im Installationsprozess besteht darin, das Schlüsselpaar auf der Client-Maschine zu erstellen, die in der Regel Ihr eigenes System ist. Benutzer müssen den folgenden Befehl verwenden:

ssh-keygen -o -b 4096 -t rsa

Der obige Befehl startet den Installationsprozess für SSH-Schlüssel für Benutzer. Die Option -o weist ssh-keygen an, den privaten Schlüssel im neuen OpenSSH-Format anstelle des alten (und kompatibleren PEM-Formats) zu speichern. Es wird dringend empfohlen, die Option -o zu verwenden, da das neue OpenSSH-Format eine erhöhte Widerstandsfähigkeit gegen Brute-Force-Passwortknacken aufweist. Falls die Option -o auf Ihrem Server nicht funktioniert (sie wurde 2014 eingeführt) oder Sie einen privaten Schlüssel im alten PEM-Format benötigen, verwenden Sie den Befehl ‘ssh-keygen -b 4096 -t rsa‘.

Die Option -b des ssh-keygen-Befehls wird verwendet, um die Schlüssellänge auf 4096 Bit anstelle der Standard-1024 Bit aus Sicherheitsgründen festzulegen.

Nachdem der primäre Gen Key-Befehl eingegeben wurde, müssen die Benutzer die folgenden Eingabeaufforderungen beantworten:

Geben Sie die Datei ein, in der Sie den Schlüssel speichern möchten (/home/demo/.ssh/id_rsa)

Benutzer müssen ENTER drücken, um die Datei im Benutzerverzeichnis zu speichern.

Die nächste Eingabeaufforderung lautet wie folgt:

Geben Sie die Passphrase ein

Wenn Sie als Administrator die Passphrase zuweisen möchten, können Sie dies tun, wenn Sie dazu aufgefordert werden (gemäß der obigen Frage), obwohl dies optional ist, und Sie das Feld leer lassen können, wenn Sie keine Passphrase zuweisen möchten.

Es ist jedoch wichtig zu beachten, dass die Eingabe einer einzigartigen Passphrase eine Vielzahl von Vorteilen bietet, die unten aufgeführt sind:

  1. Die Sicherheit eines Schlüssels, selbst wenn er hochgradig verschlüsselt ist, hängt weitgehend von seiner Unsichtbarkeit für Dritte ab. 2. Im wahrscheinlichen Fall, dass ein passphrase-geschützter privater Schlüssel in die Hände eines unbefugten Benutzers gelangt, wird dieser daran gehindert, sich in die zugehörigen Konten einzuloggen, bis er die Passphrase knacken kann. Dies gibt dem Opfer (dem gehackten Benutzer) wertvolle zusätzliche Zeit, um den Hackerangriff abzuwenden. Auf der negativen Seite erfordert die Zuweisung einer Passphrase an den Schlüssel, dass Sie diese jedes Mal eingeben, wenn Sie das Schlüsselpaar verwenden, was den Prozess etwas mühsam macht, jedoch absolut sicher ist.

Hier ist eine grobe Übersicht über den End-to-End-Prozess der Schlüsselerzeugung:

SSH-Schlüsselerzeugung auf Linux

Der öffentliche Schlüssel kann jetzt unter dem Link ~/.ssh/id_rsa.pub gefunden werden.

Der private Schlüssel (Identifikation) kann jetzt unter dem Link /home/demo/.ssh/id_rsa gefunden werden.

Schritt Zwei: Kopieren des öffentlichen Schlüssels

Sobald das eindeutige Schlüsselpaar generiert wurde, besteht der nächste Schritt darin, den öffentlichen Schlüssel auf dem virtuellen Server abzulegen, den wir verwenden möchten. Benutzer können den öffentlichen Schlüssel in die Datei authorized_keys der neuen Maschine mit dem Befehl ssh-copy-id kopieren. Im Folgenden finden Sie das vorgeschriebene Format (streng ein Beispiel) für die Eingabe des Benutzernamens und der IP-Adresse, das durch tatsächliche Systemwerte ersetzt werden muss:

ssh-copy-id [email protected]

Alternativ können Benutzer die Schlüssel auch über SSH einfügen (gemäß dem angegebenen Befehl):

cat ~/.ssh/id_rsa.pub | ssh [email protected] "cat >> ~/.ssh/authorized_keys"

Einer der obigen Befehle wird folgende Nachricht auf Ihrem System ausgeben:

Die Authentizität des Hosts ‘192.168.0.100’ kann nicht festgestellt werden. Der RSA-Schlüsselfingerabdruck ist b1:2d:32:67:ce:35:4d:5f:13:a8:cd:c0:c4:48:86:12. Sind Sie sicher, dass Sie die Verbindung fortsetzen möchten (ja/nein)? ja Warnung: ‘192.168.0.100’ (RSA) wurde dauerhaft zur Liste der bekannten Hosts hinzugefügt. [email protected]’s Passwort: Versuchen Sie jetzt, sich mit “ssh ‘[email protected]’” in die Maschine einzuloggen, und überprüfen Sie in: ~/.ssh/authorized_keys, um sicherzustellen, dass wir keine zusätzlichen Schlüssel hinzugefügt haben, die Sie nicht erwartet haben.

Nach dem obigen Ablauf sind die Benutzer bereit, sich bei [email protected] anzumelden, ohne nach einem Passwort gefragt zu werden. Wenn Sie jedoch zuvor eine Passphrase für den Schlüssel zugewiesen haben (gemäß Schritt 2 oben), werden Sie an diesem Punkt aufgefordert, die Passphrase einzugeben (und bei jedem weiteren Login).

Schritt Drei (Dieser Schritt ist optional): Deaktivieren des Passworts zur Erleichterung des Root-Logins

Nachdem die Benutzer ihre SSH-Schlüssel auf den Server kopiert haben und sich nahtlos nur mit den SSH-Schlüsseln anmelden können, haben sie die Möglichkeit, das Root-Login einzuschränken und dies nur über SSH-Schlüssel zuzulassen. Um dies zu erreichen, müssen die Benutzer die SSH-Konfigurationsdatei mit dem folgenden Befehl aufrufen:

sudo nano /etc/ssh/sshd_config

Sobald die Datei aufgerufen wurde, müssen die Benutzer die Zeile innerhalb der Datei finden, die PermitRootLogin enthält, und diese ändern, um eine fälschungssichere Verbindung mit dem SSH-Schlüssel zu gewährleisten. Der folgende Befehl hilft Ihnen dabei:

PermitRootLogin without-password

Der letzte Schritt im Prozess besteht darin, die Änderungen mit dem folgenden Befehl zu implementieren:

reload ssh

Damit ist der Prozess der Installation von SSH-Schlüsseln auf dem Linux-Server abgeschlossen.

Konvertierung des OpenSSH-privaten Schlüssels in das neue Format

Die meisten älteren OpenSSH-Schlüssel werden im PEM-Format gespeichert. Während dieses Format mit vielen älteren Anwendungen kompatibel ist, hat es den Nachteil, dass das Passwort eines passwortgeschützten privaten Schlüssels mit Brute-Force-Angriffen angegriffen werden kann. Dieses Kapitel erklärt, wie man einen privaten Schlüssel im PEM-Format in einen im neuen OpenSSH-Format konvertiert.

ssh-keygen -p -o -f /root/.ssh/id_rsa

Der Pfad /root/.ssh/id_rsa ist der Pfad der alten privaten Schlüsseldatei.

Fazit

Die obigen Schritte helfen Ihnen, SSH-Schlüssel auf jedem virtuellen privaten Server auf eine völlig sichere, geschützte und problemlose Weise zu installieren.

Share: X/Twitter LinkedIn
#SSH Schlüssel

Erhalte neue Beiträge in deinem Posteingang.

Kein Spam. Jederzeit abmelden.