Пароль для SSH это вечная лотерея. Его можно подобрать, украсть, забыть, слить в логах или просто поймать на слабой политике. SSH-ключи решают эту боль просто: вход происходит только у того, у кого есть приватный ключ, а сервер проверяет публичный. Если ты администрируешь VPS на xhost24, ключи это самый быстрый способ закрыть 90% рисков и убрать ежедневный шум от брутфорса.
Сразу честно: если ты начинаешь с нуля, сегодня чаще рекомендуют ed25519. Но RSA до сих пор нужен, потому что его требуют старые системы, некоторые корпоративные политики и часть софта. Поэтому покажу именно RSA так, чтобы оно работало и не превратилось в “а потом не могу зайти”.
Генерация RSA-ключа через ssh-keygen
На своём компьютере (не на сервере) выполни команду:
ssh-keygen -t rsa -b 4096 -C "xhost24"Дальше тебя спросят, куда сохранить ключ. По умолчанию это ~/.ssh/id_rsa и это нормальный вариант. Потом спросят passphrase. Не пропускай. Passphrase это второй замок: даже если приватный ключ украдут, без фразы им не зайти.
После генерации проверь, что файлы на месте:
ls -la ~/.ssh/id_rsa ~/.ssh/id_rsa.pubПриватный ключ id_rsa никому не отправляй. Публичный id_rsa.pub можно.
Как добавить ключ на сервер
Самый правильный способ это ssh-copy-id. Он сам добавит ключ в нужный файл и выставит права.
ssh-copy-id -i ~/.ssh/id_rsa.pub root@IP_СЕРВЕРАПотом проверь вход:
ssh root@IP_СЕРВЕРАЕсли ssh-copy-id недоступен, можно сделать руками, но аккуратно:
cat ~/.ssh/id_rsa.pub | ssh root@IP_СЕРВЕРА "mkdir -p ~/.ssh && chmod 700 ~/.ssh && cat >> ~/.ssh/authorized_keys && chmod 600 ~/.ssh/authorized_keys"Как убедиться, что вход реально по ключу
На сервере посмотри логи последних входов:
sudo tail -n 50 /var/log/auth.logТам должен быть понятный след, что аутентификация прошла по public key. Если система пишет про пароль, значит ключ не применился или ты подключаешься не тем пользователем.
Типовые ошибки и исправления
Самая частая ошибка это права на .ssh или authorized_keys. SSH очень строгий: если права “слишком открытые”, он просто игнорирует файл.
На сервере исправление такое:
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keysВторая частая ошибка это попытка подключаться не тем ключом, когда у тебя их несколько. Тогда укажи ключ явно:
ssh -i ~/.ssh/id_rsa root@IP_СЕРВЕРАТретья проблема это “всё настроил, но всё равно просит пароль”. Часто это потому, что сервер настроен на вход по паролю и ты не отключил его, а клиент не предложил ключ. В таком случае проверь, что ключ действительно отправляется:
ssh -v root@IP_СЕРВЕРАВ выводе будет видно, какие ключи пробуются.
Как сделать вход безопаснее после настройки ключей
Когда ты уже проверил, что вход по ключу работает, логичный следующий шаг это отключить парольный вход, чтобы брутфорс стал бессмысленным. Делай это только после успешного входа по ключу, иначе сам себя заблокируешь.
Открываешь конфиг SSH:
sudo nano /etc/ssh/sshd_configИ выставляешь параметры:
PasswordAuthentication no
PubkeyAuthentication yesПерезапускаешь SSH:
sudo systemctl restart sshПроверяешь, что текущая сессия жива, и открываешь новую сессию в отдельном окне. Это простая страховка.
На любом публичном VPS в логи постоянно стучатся боты. Парольный SSH это вечный фон риска и лишняя нагрузка на голову. С ключами ты превращаешь вход в “есть ключ — проходишь, нет ключа — даже не начинай”. На xhost24 это особенно удобно, потому что сервер разворачивается быстро: ты сразу добавил ключ, закрыл парольный вход и дальше живёшь спокойно.
Оформите услугу на сайте xhost24.com, и мы поможем вам настроить SSH-ключи на сервере, проверить доступ и безопасно отключить вход по паролю, чтобы сервер был защищён с первого дня.
