使用 SSH 公开密钥认证

您可以通过 SSH 公开密钥而使用 InsightVM 对认证用户的资产进行凭证扫描。

此方法亦被称作非对称密钥加密法，包括创建两个关联的密钥或随机的多位数：

• 任何实体可以使用以加密认证信息的公开密钥
• 只有受信任的实体可以使用以解密由其配对的公开密钥加密信息的私人密钥

当生成一对密钥配对时，请牢记以下准则：

• 本应用程序支持 SSH 版本 2 RSA 和 DSA 密钥。
• 密钥必须兼容 OpenSSH 且以 PEM 加密。
• RSA 密钥的范围可以在 768 至 16384 位之间。
• DSA 密钥必须是 1024 位。

此部分主题介绍了配置资产以接受公开密钥认证的一般步骤。若需具体步骤，请参看适用于您使用之系统的文档。

ssh-keygen 进程会提供输入口令的选项。如果您计划在其他地方使用密钥，我们建议您使用口令来保护密钥。

生成一对密钥配对

1. 运行 ssh-keygen 命令创建密钥配对，指定保存新文件的安全目录。

本例包括了一个 2048 位 RSA 密钥并包括了 /tmp 目录，但您应该使用您信任的任何目录以保护文件。

ssh-keygen -t rsa -b 2048 -f /tmp/id_rsa

此条命令生成了私人密钥文件 id_rsa 和公开密钥文件 id_rsa.pub。

2. 让公开密钥对目标资产上的本应用程序可用。
3. 确保您使用生成密钥的计算机有一个 .ssh 目录。如果没有，则运行 mkdir 命令创建一个：

mkdir /home/[username]/.ssh

4. 通过运行步骤 1 中的命令复制公开密钥的内容。此文件存在于 /tmp/id_rsa.pub 文件。

注意: 一些检查需要 root 访问权。

使用合适的完成扫描覆盖必需的访问级别权限，将 /tmp/id_rsa.pub 文件的目标资产的内容附加于用户主目录的 .ssh/authorized_keys 文件后。

cat /[directory]/id_rsa.pub >> /home/[username]/.ssh/authorized_keys

5. 提供私人密钥。

提供了私人密钥后，您必须向本应用程序提供 SSH 公开密钥认证。

提供 SSH 公开密钥认证

如果您要在配置新站点的同时添加 SSH 凭证，在主页页面，点击创建站点按钮。
或者
点击页面顶部的创建标签，然后在下拉列表中选择站点。

如果您想为现有站点添加 SSH 凭证，则点击主页页面站点表格中该站点的编辑图标。

1. 点击站点配置中的认证标签。
2. 点击添加凭证。
3. 在添加凭证表单中，输入一组新凭证的名称和描述（如必要）。
4. 点击添加凭证下的账户。
5. 在服务下拉列表中选择安全外壳 (SSH) 公开密钥。

注意: ssh/authorized_keys 是大部分 OpenSSH- 和下拉型 SSH 守护进程的默认文件。请参考适用于您的 Linux 分布文档以验证相应文件。

此认证方法不同于下拉单所列的安全外壳 (SSH)。后者包括密码而非密钥。

6. 输入相应的用户名。
7. （可选）输入生成密钥时使用的私人密钥密码。
8. 确认私人密钥密码。
9. 复制此文件的内容到 PEM 格式的私人密钥文本框。您创建的私人密钥是目标资产中的 /tmp/id_rsa 文件。
10. （可选）提升权限至 sudo 或 su。

您可以对安全外壳 (SSH) 和安全外壳 (SSH) 公开密钥服务同时提升权限。

11. （可选）输入相应的用户名。sudo 凭证的用户名可空。如果您使用无用户名的 su 凭证，则凭证将默认 root 为用户名。

如果所提供的 SSH 凭证是 root 凭证，用户 ID =0，则权限提升凭证将被忽略，即使 root 账户已被重命名。当任何账户（root 或用其他命名）被指定用户 ID 0 时，则本应用程序将忽略权限提升凭证。

12. 当您完成配置凭证时，若是一组新凭证，则点击创建，若是一组之前已创建的凭证，则点击保存。

SSH 公开密钥配置

若需额外的可选步骤，请参见下方主题：

• 测试凭证
• 1ページの 将凭证限制在某单独资产和端口内 将凭证限制在某单独资产和端口内
• 提升权限