Linux

Login ke Trino dengan Keycloak OpenID

Last Updated on 12 August 2022 By tommy Leave a Comment

Karena trino tidak memiliki fitur authentikasi bawaan, maka kita akan menggunakan pihak ketiga (third party), yang akan digunakan disini keycloak. Keycloak sendiri bisa menggunakan SAML ataupun OpenID, karena trino support OpenID, maka kita akan menggunakan OpenID untuk koneksi antara kedua service ini.

Setting Keycloak 19

1. Buat Realm Trino

2. Buat client
Klik menu Client -> Create Client

Yang perlu di isi

Client Type : OpenID Connect
Client ID : trino
Name : Aplikasi Trino

pada capability config, pastikan sesuai dengan

Client authentication : ON
Authorization : ON
Authentication flow : 
 - Standard flow
 - Direct access grants

klik Save

Selanjutnya, pada “Valid redirect URIs” isi dengan https://localhost:8443/*. Akhiri dengan klik Save

Bila anda mencoba berbagai services, bisa juga menggunakan *, sebagai nilai “Valid redirect URIs”, dengan begitu URL apa pun akan diterima oleh Keycloak, tapi ingat jangan digunakan di server production.

Klik menu Realm Settings, pada baris Endpoints klik OpenID Endpoint Configuration

Format URL-nya : https://[DOMAIN KEYCLOAK]/realms/[REALMS]/.well-known/openid-configuration

Copy URL Issuer, contoh https://keycloak.jaranguda.com/realms/app-trino

Klik menu Client, klik trino. Pada tab credential, copy Client secret

Ketiga informasi ini (issuer, client name dan client secret) akan kita gunakan sewaktu menjalankan aplikasi Trino

Issuer : https://keycloak.jaranguda.com/realms/app-trino
Client : trino
Client secret : JxG5wAdYCv4EvMdXrMyKKYy0GLa5UlTv

Tambah User Keycloak

Saat ini kita belum memiliki user, untuk itu kita akan membuat 1 user untuk login. Selain cara ini kita bisa juga menggunakan user dari LDAP, Google, Twitter dan lain sebagainya, tetapi untuk mempersingkat tutorial ini usernya kita buat manual.

klik menu Users -> Create new user

akhiri dengan klik Create

Field yang perlu diisi

Username : jaranguda
Email : blablabla@domain
Email verified : ON
First name : Jaranguda
Last name : Com
Enabled : ON

Klik Credential

ingat untuk mencentang Temporary Off agar passwordnya permanen.

Install Trino

Untuk memudahkan tutorial ini, kita akan menjalankan trino dengan docker. Agar bisa menggunakan fitur OAUTH, kita harus menggunakan mode SSL/HTTPS/TLS.

Buat folder untuk menyimpan config trino

mkdir /home/jaranguda/trino

1. Generate SSL

openssl req -newkey rsa:2048 -nodes -keyout trino.key -x509 -days 3650 -out trino.crt

Satukan private key dan certificate diatas menjadi satu

cat trino.crt trino.key > /home/jaranguda/trino/trino.cert

2. Config Trino
Buat file /home/jaranguda/trino/config.properties yang berisi

#single node install config
coordinator=true
node-scheduler.include-coordinator=true
http-server.http.port=8080
discovery.uri=http://localhost:8080
 
http-server.https.enabled=true
http-server.https.port=8443
http-server.https.keystore.path=/tmp/trino.pem
 
internal-communication.shared-secret=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
 
http-server.authentication.type=oauth2
web-ui.authentication.type=oauth2
http-server.authentication.oauth2.issuer=https://keycloak.jaranguda.com/realms/app-trino
http-server.authentication.oauth2.client-id=trino
http-server.authentication.oauth2.client-secret=JxG5wAdYCv4EvMdXrMyKKYy0GLa5UlTv

internal-communication.shared-secret, bisa digenerate dengan openssl rand 512 | base64 -w0
ganti issuer, client-id dan client-secret, sisanya biarkan default. Lalu jalankan trino dengan docker

docker run -p 8443:8443 -v /home/jaranguda/trino/config.properties:/etc/trino/config.properties -v /home/jaranguda/trino.cert:/tmp/trino.pem trinodb/trino

Setelah docker berjalan, buka di browser https:localhost:8443, jangan kaget waktu mendapati error, karena ini untuk tahap development jadi sah-sah saja menggunakan self-signed certificate, untuk production bisa menggunakan SSL gratis seperti Let’s Encrypt, agar tidak muncul peringatan “Warning: Potential Security Risk Ahead” seperti gambar dibawah

klik Advanced, lalu Accept the Risk and Continue

Anda akan otomatis diarahkan ke halaman sign-in Keycloak

isi username dan password yang tadi dibuat

Tampilan UI trino setelah login

Cara Memindahkan Lokasi Data Directory Docker di Linux

Last Updated on 12 August 2022 By tommy Leave a Comment

Bila partisi utama anda kepenuhan, dan docker banyak komplain karena kekurangan space, selain menggunakan hardisk yang lebih besar bisa juga diakali dengan memindahkan data ke partisi yang berbeda, contoh kondisi hardisk saya saat ini

$ sudo df -h
# output
Filesystem      Size  Used Avail Use% Mounted on
udev            6.8G     0  6.8G   0% /dev
tmpfs           1.4G  2.8M  1.4G   1% /run
/dev/nvme0n1p2   28G   25G  1.9G  94% /
tmpfs           6.8G     0  6.8G   0% /dev/shm
tmpfs           5.0M  4.0K  5.0M   1% /run/lock
/dev/nvme0n1p4  200G  7.5G  182G   4% /home
/dev/nvme0n1p1  511M  3.5M  508M   1% /boot/efi
tmpfs           1.4G   44K  1.4G   1% /run/user/114

docker by design, menyimpan data, baik berupa image atau volume di dalam folder /var/lib/docker, untuk mengetahui ukuran folder gunakan perintah

sudo du -sh /var/lib/docker
# output
14G	/var/lib/docker

lokasi ini bisa diverifikasi dengan perintah

docker info -f '{{ .DockerRootDir }}'
# output
/var/lib/docker

pada tampilan hardisk diatas partisi /, tinggal tersisa 1.9 GB, sementara /home sangat banyak tersisa, berdasarkan informasi tersebut akan saya pindahkan folder data docker dari /var/lib/docker ke /home/tommy/docker

Dengan cara yang akan dijelaskan dibawah, sangat memungkinkan untuk menggunakan cloud storage seperti S3, tetapi sangat tidak disarankan karena akan memperlambat proses Docker, dan juga akan terasa semakin lambat, karena setiap perubahan perlu menulis dan membaca dari remote storage tersebut.

Berikut ini 4 langkah untuk memindahkan lokasi data root docker ke tempat/partisi yang baru :

1. Berhentikan service docker

sudo systemctl stop docker

2. Copy data ke folder baru

sudo mv /var/lib/docker/* /home/tommy/docker/

3. Update config docker, untuk lokasi yang baru
Bila belum ada buat file /etc/docker/daemon.json, yang isinya

{
  "data-root": "/lokasi/folder/yang/baru"
}

pada contoh saya menjadi

{
  "data-root": "/home/tommy/docker"
}

4. Jalankan service docker

sudo systemctl start docker

verifikasi lokasi root datanya sudah berubah

$ docker info -f '{{ .DockerRootDir }}'
# output
/home/tommy/docker

Solusi AWS CLI SSL VALIDATION failed

Last Updated on 13 June 2022 By tommy Leave a Comment

Bila anda menggunakan laptop kantor dan di MITM SSL-nya, maka akan sering menemukan pesan di CLI

SSL validation failed for https://sts.amazonaws.com [SSL_CERTIFICATE_FAILED] certificate verify failed: unamble to get issuer certificate
connectionpool.py:1004: InsecureRequestWarning: Unverified HTTPS request is being made to host 'xx.xx.xx.xx'. Adding certificate verification is strongly advised
urllib3/connectionpool.py:1013: InsecureRequestWarning: Unverified HTTPS request is being made to host 'sts.eu-west-2.amazonaws.com'. Adding certificate verification is strongly advised.

Solusi yang biasa digunakan adalah menambahkan --no-verify-ssl, contoh

aws sts get-caller-identity --no-verify-ssl

hal ini hanya bersifat sementara, karena masih akan tetap menampilkan informasi “Unverified HTTPS request”

Masalah ini terjadi karena CA yang digunakan belum dikenali oleh AWS CLI (Python), solusinya adalah menambahkan manual root CA, melalui environment variable

AWS_CA_BUNDLE
REQUESTS_CA_BUNDLE

Pertama download terlebih dahulu root CA tersebut, apapun domain yang digunakan tidak masalah, karena otomatis akan di inject (SSL interception) oleh proxy. Sebagai contoh kita akan menggunakan sts.amazonaws.com

openssl s_client -servername sts.amazonaws.com -connect sts.amazonaws.com:443 -showcerts </dev/null 2>/dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'

Simpan file tersebut ke file /home/jaranguda/root.ca, lalu tambahkan di dalam ~/.bashrc

export AWS_CA_BUNDLE=/home/jaranguda/root.ca
export REQUESTS_CA_BUNDLE=/home/jaranguda/root.ca

reload configurasi bashrc

source ~/.bashrc

cek apakan kedua variable tersebut sudah diload dengan env | grep -E CA_BUNDLE

$ env | grep -E CA_BUNDLE
REQUESTS_CA_BUNDLE=/home/jaranguda/root.ca
AWS_CA_BUNDLE=/home/jaranguda/root.ca

terakhir jalankan kembali AWS CLI, contoh

aws sts get-caller-identity

informasi unverified HTTPS sudah tidak muncul lagi.

Solusi Playwright Firefox version `GLIBCXX_3.4.30′ not found (required by /lib64/libicuuc.so.69)

Last Updated on 19 May 2022 By tommy Leave a Comment

Hari ini saya mendapati error dari playwright

    browserType.launch: Protocol error (Browser.enable): Browser closed.
    ==================== Browser output: ====================
    <launching> /home/jaranguda/.cache/ms-playwright/firefox-1323/firefox/firefox -no-remote -headless -profile /home/jaranguda/tmp/playwright_firefoxdev_profile-6JsjrN -juggler-pipe -silent
    <launched> pid=25600
    [pid=25600][err] XPCOMGlueLoad error for file /home/jaranguda/.cache/ms-playwright/firefox-1323/firefox/libmozgtk.so:
    [pid=25600][err] /home/jaranguda/.cache/ms-playwright/firefox-1323/firefox/libstdc++.so.6: version `GLIBCXX_3.4.30' not found (required by /lib64/libicuuc.so.69)
    [pid=25600][err] Couldn't load XPCOM.
    =========================== logs ===========================
    <launching> /home/jaranguda/.cache/ms-playwright/firefox-1323/firefox/firefox -no-remote -headless -profile /home/jaranguda/tmp/playwright_firefoxdev_profile-6JsjrN -juggler-pipe -silent
    <launched> pid=25600
    [pid=25600][err] XPCOMGlueLoad error for file /home/jaranguda/.cache/ms-playwright/firefox-1323/firefox/libmozgtk.so:
    [pid=25600][err] /home/jaranguda/.cache/ms-playwright/firefox-1323/firefox/libstdc++.so.6: version `GLIBCXX_3.4.30' not found (required by /lib64/libicuuc.so.69)
    [pid=25600][err] Couldn't load XPCOM.
    ============================================================

Dilihat dari log diatas yang bermasalah ada di file /home/jaranguda/.cache/ms-playwright/firefox-1323/firefox/libstdc++.so.6, mari kita cek GLIBCXX dari file tersebut

strings /home/jaranguda/.cache/ms-playwright/firefox-1323/firefox/libstdc++.so.6 | grep GLIBCXX
# output
GLIBCXX_3.4
GLIBCXX_3.4.1
GLIBCXX_3.4.2
GLIBCXX_3.4.3
GLIBCXX_3.4.4
GLIBCXX_3.4.5
GLIBCXX_3.4.6
GLIBCXX_3.4.7
GLIBCXX_3.4.8
GLIBCXX_3.4.9
GLIBCXX_3.4.10
GLIBCXX_3.4.11
GLIBCXX_3.4.12
GLIBCXX_3.4.13
GLIBCXX_3.4.14
GLIBCXX_3.4.15
GLIBCXX_3.4.16
GLIBCXX_3.4.17
GLIBCXX_3.4.18
GLIBCXX_3.4.19
GLIBCXX_3.4.20
GLIBCXX_3.4.21
GLIBCXX_3.4.22
GLIBCXX_3.4.23
GLIBCXX_3.4.24
GLIBCXX_3.4.25
GLIBCXX_3.4.26
GLIBCXX_3.4.27
GLIBCXX_3.4.28
GLIBCXX_DEBUG_MESSAGE_LENGTH

memang benar GLIBCXX_3.4.30 tidak ditemukan, cek shared library yang digunakan oleh Firefox tersebut

$ ldd /home/jaranguda/.cache/ms-playwright/firefox-1323/firefox/firefox
	linux-vdso.so.1 (0x00007fff5ddae000)
	libpthread.so.0 => /lib64/libpthread.so.0 (0x00007fc4913a2000)
	libdl.so.2 => /lib64/libdl.so.2 (0x00007fc49139d000)
	libstdc++.so.6 => /lib64/libstdc++.so.6 (0x00007fc491169000)
	libm.so.6 => /lib64/libm.so.6 (0x00007fc49108b000)
	libgcc_s.so.1 => /lib64/libgcc_s.so.1 (0x00007fc49106b000)
	libc.so.6 => /lib64/libc.so.6 (0x00007fc490e68000)
	/lib64/ld-linux-x86-64.so.2 (0x00007fc49148c000)

libstdc++.so.6 menggunakan /lib64/libstdc++.so.6 Cek kembali GLIBCXX,

$ strings  /lib64/libstdc++.so.6 | grep GLIBCXX
# output
GLIBCXX_3.4
GLIBCXX_3.4.1
GLIBCXX_3.4.2
GLIBCXX_3.4.3
GLIBCXX_3.4.4
GLIBCXX_3.4.5
GLIBCXX_3.4.6
GLIBCXX_3.4.7
GLIBCXX_3.4.8
GLIBCXX_3.4.9
GLIBCXX_3.4.10
GLIBCXX_3.4.11
GLIBCXX_3.4.12
GLIBCXX_3.4.13
GLIBCXX_3.4.14
GLIBCXX_3.4.15
GLIBCXX_3.4.16
GLIBCXX_3.4.17
GLIBCXX_3.4.18
GLIBCXX_3.4.19
GLIBCXX_3.4.20
GLIBCXX_3.4.21
GLIBCXX_3.4.22
GLIBCXX_3.4.23
GLIBCXX_3.4.24
GLIBCXX_3.4.25
GLIBCXX_3.4.26
GLIBCXX_3.4.27
GLIBCXX_3.4.28
GLIBCXX_3.4.29
GLIBCXX_3.4.30
GLIBCXX_DEBUG_MESSAGE_LENGTH

kalo dilihat dari output tersebut harusnya sudah sesuai, untuk solusi (sementara), kita gunakan file libstdc++.so.6 dari system

# backup libstdc++.so.6
mv /home/jaranguda/.cache/ms-playwright/firefox-1323/firefox/libstdc++.so.6 ~/
# symbolic link dari system
ln -s /lib64/libstdc++.so.6 /home/jaranguda/.cache/ms-playwright/firefox-1323/firefox/libstdc++.so.6

jalankan kembali playwright

npx playwright test

Firefox berjalan dengan normal

Cara Menggunakan filter dengan Fluentd

Last Updated on 14 April 2022 By tommy Leave a Comment

Agar mudah dipahami dan dicoba, kita akan belajar menggunakan filter di fluentd dengan bantuan Docker. Secara sederhana cara kerja fluentd

input -> parse -> output

Contoh log yang akan kita kirim

server reboot | oracle-cloud-vm
server shutdown | oracle-cloud-vm

dari data diatas ada dua informasi yang kita dapatkan “server reboot” atau “server shutdown” adalah informasi server, dan “oracle-cloud-vm” adalah nama servernya.

Buat folder baru, contoh fluentd (~/fluentd)

mkdir ~/fluentd

buat file baru dalam folder tersebut dengan nama fluentd.conf

Cara menjalankan docker

docker run -it -p 24224:24224 -v ~/fluentd/fluentd.conf:/fluentd/etc/fluentd.conf -e FLUENTD_CONF=fluentd.conf fluent/fluentd

cara paling mudah untuk restart fluentd adalah dengan mengakses shell docker
1. Ambil ID Container docker

docker ps | grep fluentd
# contoh output
a7097e84152a   fluent/fluentd               "/bin/entrypoint.sh …"   30 seconds ago   Up 29 seconds            5140/tcp, 0.0.0.0:24224->24224/tcp, :::24224->24224/tcp   sad_mclean

pada contoh diatas a7097e84152a, adalah ID container tersebut.
2. Akses shell container tersebut

docker exec -it a7097e84152a sh

3. Restart fluentd
Jalankan perintah ini setiap ada perubahan fluentd.conf, agar perubahan tersebut dijalankan oleh fluentd

kill -HUP 7

Contoh Filter REGEXP

Sebagai contoh untuk filter regexp (regular expression), biasa juga disingkat dengan regex, kita akan mencari kata kunci (keyword) oracle-cloud-vm di tiap baris log yang ada, bila ada akan akan kita tampilkan.

Isi fluentd.conf dengan file

<source>
    @type forward
</source>
 
<filter **>
  @type grep
  <regexp>
    key log
    pattern /oracle-cloud-vm/
  </regexp>
</filter>
 
<match **>
  @type stdout
</match>

Jalankan docker fluentd, seperti contoh diatas

buka satu terminal

docker run --log-driver=fluentd  alpine:latest echo "server shutdown | oracle-cloud-vm"

di terminal yang menjalankan docker fluentd, anda harusnya melihat log menjadi

2022-04-14 14:41:30.000000000 +0000 d0e16301f91b: {"log":"server shutdown | oracle-cloud-vm","container_id":"d0e16301f91b1c50303bfad2f17683fdd7e9f68d9548fff9bde0300d4db6c3d0","container_name":"/determined_mcnulty","source":"stdout"}

Bila anda mengirim log

server shutdown | oracle-cloud-onpremise

fluentd tidak akan memproses data tersebut, karena keywork “oracle-cloud-vm” tidak ditemukan

Beberapa variasi log yang tetap akan diproses fluentd

server shutdown, oracle-cloud-onpremise
{"log_info": "server shutdown", "server": "oracle-cloud-onpremise"}
oracle-cloud-onpremise, server shutdown

Contoh Filter EXCLUDE

Sesuai dengan namanya, exclude akan melewatkan log yang sesuai dengan pattern (pola) yang sudah dibuat. Contoh kita akan melewatkan semua log yang memiliki string oracle-cloud-vm
Ubah fluentd.conf dengan

<source>
    @type forward
</source>
 
<filter **>
  @type grep
  <exclude>
    key log
    pattern /oracle-cloud-vm/
  </exclude>
</filter>
 
<match **>
  @type stdout
</match>

Coba kirim log

# log ini tidak akan ditampilkan
docker run --log-driver=fluentd  alpine:latest echo "server shutdown | oracle-cloud-vm"
# log ini akan ditampilkan
docker run --log-driver=fluentd  alpine:latest echo "server shutdown | oracle-cloud-onpremise"

Jangan Biarkan Log Terlewat

Tergantung dengan kebutuhan sistem anda, dengan cara diatas ada kemungkinan log akan terlewatkan bila tidak sesuai dengan pattern yang sudah disetting. Dari contoh diatas, bila kita menemukan oracle-cloud-vm maka akan kita tambahkan key:value (server: oracle-cloud-vm), diluar itu server: unknown

Ubah fluentd.conf, menjadi

<source>
    @type forward
</source>
 
<match **>
  @type copy
  <store>
    @type relabel
    @label oracle-cloud-vm
  </store>
 
  @type copy
  <store>
    @type relabel
    @label others
  </store>
</match>
 
<label oracle-cloud-vm>
  # filter pattern
  <filter **>
    @type grep
    <regexp>
    key log
    pattern /oracle-cloud-vm/
    </regexp>
  </filter>
 
  # add server key
  <filter **>
    @type record_modifier
    <record>
      server oracle-cloud-vm
    </record>
  </filter>
 
  <match **>
    @type stdout
  </match>
</label>
 
<label others>
  # filter pattern
  <filter **>
    @type grep
    <exclude>
    key log
    pattern /oracle-cloud-vm/
    </exclude>
  </filter>
  # add server key
  <filter **>
    @type record_modifier
    <record>
      server unknown
    </record>
  </filter>
 
  <match **>
    @type stdout
  </match>
</label>

Untuk itu kita akan membutuhkan plugin record-modifier, mari kita build docker disertain dengan plugin tersebut. Buat file Dockerfile yang berisi

FROM fluent/fluentd
RUN gem install fluent-plugin-record-modifier

build docker tersebut

docker build . -t fluentd-local

lalu jalankan kembali container docker dengan mengganti image dari fluent/fluentd menjadi fluentd-local

docker run -it -p 24224:24224 -v ~/fluentd/fluentd.conf:/fluentd/etc/fluentd.conf -e FLUENTD_CONF=fluentd.conf fluentd-local

coba kirim log ke fluentd tersebut

docker run --log-driver=fluentd  alpine:latest echo "server shutdown | oracle-cloud-onpremise"
docker run --log-driver=fluentd  alpine:latest echo "server shutdown | oracle-cloud-vm"
docker run --log-driver=fluentd  alpine:latest echo "server reboot | debian-linux"

bila dilihat di fluentd, akan sesuai dengan keluaran yang diinginkan

Cara Membuat Public dan Private Key SSH untuk Login Server

Last Updated on 20 March 2022 By tommy 1 Comment

Penggunaan SSH key sangat umum dikalangan system administrator (SRE, DEVOPS, CPE), karena dengan SSH Key ini kita bisa mengakses server remote tanpa perlu menggunakan password. Penggunaan key jauh lebih aman dibandingkan dengan menggunakan password, banyak yang bertanya bagaimana caranya untuk membuat SSH key?

SSH Key ini terbagi menjadi dua bagian private key dan public key, public key ini yang perlu ditambahkan di tiap server yang anda kelola. Untuk private key, ini harus dijaga benar-benar, karena merupakan pintu masuk ke server. Agar SSH key ini bisa digunakan harus menggunakan private key dan public key, untuk itu mari kita buat SSH key untuk pertama kali.

Buka terminal Linux anda

ssh-keygen -b 4096

saat diminta informasi lokasi penyimpanan file SSH “Enter file in which to save the key”, cukup tekan ENTER di keyboard. Penamaan kedua file ini bisa dibuat sesuka hati, contoh key_kantor, key_freelance atau variasi lainnya, sebaiknya sewaktu membuat key baru menggunakan nama yang mudah dikenali.

Private dan Public key akan disimpan di ~/.ssh, yang bisa di cek dengan ls -l ~/.ssh

$ ls -l ~/.ssh
total 8
-rw------- 1 tommy tommy 3381 Mar 20 15:39 id_rsa
-rw-r--r-- 1 tommy tommy  744 Mar 20 15:39 id_rsa.pub

Penjelasan kedia file diatas id_rsa adalah private key dan id_rsa.pub adalah public key. Kedua file ini bisa saja menggunakan nama yang berbeda, tetapi keduanya bisa kita lihat perbedaanya dengan cara melihat isi filenya.

Contoh Private dan Public Key

File id_rsa dan id_rsa.pub adalah file text yang bisa kita lihat isinya, kita akan menggunakan cat untuk melihatnya.

Contoh isi private key, ditandai dengan baris awal “—–BEGIN OPENSSH PRIVATE KEY—–”

cat ~/.ssh/id_rsa
# output
-----BEGIN OPENSSH PRIVATE KEY-----
b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAACFwAAAAdzc2gtcn
NhAAAAAwEAAQAAAgEAxCRJob9+f9ef0R0Arqcr9KwW7lgljdWAIJNBeUe7piYiGuUOMMOL
HW3hcz3WN63Ur9vxr6wcNQohvx/pVffFgeUn+hPb+sMghoiti8MoiOfvh+PwEPCs8+VF0a
Wv+4Cm99yQKLGiQ3hDJdfE7/JIVV5hHslHBOYNIepuxRU/qx6mFwYgarJ+N9KafO3TE/XP
En+8mGjzsc8+RfZYOCv57sokirMwYJ+qIRuwnXit+tsIHBkZvoGh6z2wOMYj40nPF/qy/6
jIhZskmWSVt1OfX2GOZzfzsWo7m/VKuxd5nKbrW6b2KQGWYh5reDr+mjN9aq6pALFogY9j
komZhAMJb1Vqsk3s/yyx8Eo0F6RRS6CiFU8DNysvAHKM5+hFSz6Xukc9L2fJLnvSkTrB9F
IRRFGFmWfg72AMcbdW4dgxizZDSfH9u8SuWpylOtS5igE4DGPB5LOwy/NixGx5yLX9Cm02
Re53l2TyCYqWlYfgO2b971Lswz063p5up1Qrw0JGK0dDb/GtgynvQuisj/UGRnADHQsilc
m4ttj4ZHxGHcaXQ1vD06tNyRX5TYUxZFwxGajDMsUil0EVHbw6fsdKp3UubIpFpVqS4aI8
WLd8+O3pWWefRBXQOXnPRe6Pe1tiJKqg0i4O7yJtroOHidt9LL2tM9sSET5QZc0xoMMP15
8AAAdIbkN7a25De2sAAAAHc3NoLXJzYQAAAgEAxCRJob9+f9ef0R0Arqcr9KwW7lgljdWA
IJNBeUe7piYiGuUOMMOLHW3hcz3WN63Ur9vxr6wcNQohvx/pVffFgeUn+hPb+sMghoiti8
MoiOfvh+PwEPCs8+VF0aWv+4Cm99yQKLGiQ3hDJdfE7/JIVV5hHslHBOYNIepuxRU/qx6m
FwYgarJ+N9KafO3TE/XPEn+8mGjzsc8+RfZYOCv57sokirMwYJ+qIRuwnXit+tsIHBkZvo
Gh6z2wOMYj40nPF/qy/6jIhZskmWSVt1OfX2GOZzfzsWo7m/VKuxd5nKbrW6b2KQGWYh5r
eDr+mjN9aq6pALFogY9jkomZhAMJb1Vqsk3s/yyx8Eo0F6RRS6CiFU8DNysvAHKM5+hFSz
6Xukc9L2fJLnvSkTrB9FIRRFGFmWfg72AMcbdW4dgxizZDSfH9u8SuWpylOtS5igE4DGPB
5LOwy/NixGx5yLX9Cm02Re53l2TyCYqWlYfgO2b971Lswz063p5up1Qrw0JGK0dDb/Gtgy
nvQuisj/UGRnADHQsilcm4ttj4ZHxGHcaXQ1vD06tNyRX5TYUxZFwxGajDMsUil0EVHbw6
fsdKp3UubIpFpVqS4aI8WLd8+O3pWWefRBXQOXnPRe6Pe1tiJKqg0i4O7yJtroOHidt9LL
2tM9sSET5QZc0xoMMP158AAAADAQABAAACAFKxMdHdmAlx8NEKtzTrCd8Xhntp8js/3cre
CmaFVZmQziQkmbz5U/dOUhRx55SF1vtlcRmtKB88bEnVvFwgH8bJw/bs1Ht+NIJDsVcRKk
+96QCTmqypq2EQMkVW40DXVo19EdH2QgDL/RNBSqgWr2Q+bBe8qBJqovK/kX/Jm5QbUc63
KIeTRR9nzPYKlkj+AxU7gVmINeWrCAga+cqEz9RaqNlI/oZeCi33LJjXPhJasaqW8oGcyZ
UR5u+oqYyzm3nymfCrSg75/44kF/K4cKKX0J+3uSf9L7Bq09zY4s6mmOeFFpbnMm2fgZOo
25pLRv7pMBs4sGSe/U3UcUJ0vU7T2VwNTZqofGQQtvAzSn5Z33IMiXlOagX0j1K6FMzPGk
xN+kIREr0+p6J0alAG5ywSgHDdByJwFNkIx0W0j229UnNuHsm2gBGT2ySnSZR8ENvVTYw5
S07MoCHtE7aA9qMo3KjrZxC1SCHLxSSjGdH/IQyQVqsPOsDCQnCZTEtXol2bMoODN3WOaY
SH0ldCYQ/WHbfDRXxth9R0NI2LXvtiLaYFXI/pG0jm47cKqbtY4GE+iCzgyCQy1zrsATTu
EbXPJZouDwGbicjO6eYMkLxFa5+jqBGIpfxQ+5zsF5sEIbr9rfl+cffRiX9DNhpPuDD3Pn
RO3zF1dpnzWlGxUHBxAAABAD8sUA/mupQc4GpaDkzb+kyULR3dJ0ntWUBawuKDEAAYuEwk
WdIaoN16V3qPcMosq2NxY1JCO8Y13tF8fdKfOyWzVZ+vXEk2WCIerh/5A0OSn6JG9WBUFM
grkbxxY4kxR05JYm5LrmAuBURjRg2vGUAq295pLvIO12c8/oDsDP4V2LY/q4aLKuNdjNva
vRSTRGQeLrfvs2bGVCA1b55nIsL6jZw9nuLnu6n3pvFbVkhod0bGJAlPfDGxkJSugDUT2B
ofnyD/J1wqmCtGpfhWK4IXBKsdt30oB+hZVy+k3GmUOS6V+Tm/cc1QwVeQuKCkbp6fzT9J
y6eLiOXtjMOTJZcAAAEBAOerx0Kob8WM0DbcZ5QQ9enfutAZ7Yk5CBZgeuWvi7zobdXv2x
uBllGX5R5ZH3uISQn2BvVgAcEPzjSx4oclkgwsspWG8SDF4tbUpniy7U/5mH3/jjDwA+da
fP/M0TruA5RPQztxeEN8GcZkIf+oAX36NUSV/A0M0qy1c7UOXW04dln6TopDtTrIvCubs8
mk95FVB/8jpoAPFaBFYUlx7AubtA8ab//GwWoo6to9bhb6W+0EnVn0GN52korxBlUjowEo
vUx9sAOHmccdj7w8VU/GWIlLBbAl0Z85WQzFdhsRUxdetu+eT+xKCv97CbcdQALUdbSw5A
NBUGDTuzjNqLMAAAEBANi9WA2klgR6fZbThOdUUGknrfBqX4SwT24LMEW5w2YemUlOz7MG
Ny527Glg4K+z0LMD0f5anKZQJU1Ph6ENI1CE11xLlG0m+IYeVEIZcPalpoWEW4ZVc5ESwx
+cPMwekqDLH8EzL9xQt5niD9XXCqq9+wLpqDS9eTWuuVJ2zUoFcvsIxGbGNZOxLpN+YmE6
HSjvqb7g5kEBpnJgKiHLXeDGhfzdE++dxFRTTfvxZ5kHulo0cZJYh87mF64SHGlFNHCBwM
Y/clefyBTDKTTbV9z+UlEqcj0zBdFupDByUtKblENTrlq0PNGUgEhZY2vcbOSCPwSQ3xAH
xQBBwe19E2UAAAASdG9tbXlAbGludXgtc2VydmVyAQ==
-----END OPENSSH PRIVATE KEY-----

Contoh public key

cat ~/.ssh/id_rsa.pub
# output
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQDEJEmhv35/15/RHQCupyv0rBbuWCWN1YAgk0F5R7umJiIa5Q4ww4sdbeFzPdY3rdSv2/GvrBw1CiG/H+lV98WB5Sf6E9v6wyCGiK2LwyiI5++H4/AQ8Kzz5UXRpa/7gKb33JAosaJDeEMl18Tv8khVXmEeyUcE5g0h6m7FFT+rHqYXBiBqsn430pp87dMT9c8Sf7yYaPOxzz5F9lg4K/nuyiSKszBgn6ohG7CdeK362wgcGRm+gaHrPbA4xiPjSc8X+rL/qMiFmySZZJW3U59fYY5nN/Oxajub9Uq7F3mcputbpvYpAZZiHmt4Ov6aM31qrqkAsWiBj2OSiZmEAwlvVWqyTez/LLHwSjQXpFFLoKIVTwM3Ky8Acozn6EVLPpe6Rz0vZ8kue9KROsH0UhFEUYWZZ+DvYAxxt1bh2DGLNkNJ8f27xK5anKU61LmKATgMY8Hks7DL82LEbHnItf0KbTZF7neXZPIJipaVh+A7Zv3vUuzDPTrenm6nVCvDQkYrR0Nv8a2DKe9C6KyP9QZGcAMdCyKVybi22PhkfEYdxpdDW8PTq03JFflNhTFkXDEZqMMyxSKXQRUdvDp+x0qndS5sikWlWpLhojxYt3z47elZZ59EFdA5ec9F7o97W2IkqqDSLg7vIm2ug4eJ230sva0z2xIRPlBlzTGgww/Xnw== tommy@linux-server

Cara Konek Ke Server Dengan SSH Key

Sesudah kita memiliki private dan public key, sekarang kita belajar bagaimana caranya konek ke server.

Copy isi file ~/.ssh/id_rsa.pub, lalu tambahkan di server pada file ~/.ssh/authentication_keys (buat baru file ini, bila tidak ada di server)
Untuk menjalankan proses ini bisa manual, ataupun otomatis dengan bantuan ssh-copy-id

ssh-copy-id tommy@192.168.88.20
# output
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/home/tommy/.ssh/id_rsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
tommy@192.168.88.20's password: 
 
Number of key(s) added: 1
 
Now try logging into the machine, with:   "ssh 'tommy@192.168.88.20'"
and check to make sure that only the key(s) you wanted were added.

pada contoh diatas saya biasa login ke server 192.168.88.20 dengan user tommy, saat menjalankan perintah diatas anda akan diminta password untuk user tersebut. Lalu coba login kembali, anda bisa login ke server tanpa perlu memasukkan password, anda sudah login ke server 192.168.88.20

ssh tommy@192.168.88.20

Pengamanan Private Key

Cara diatas masih kurang aman, karena bila orang lain mendapatkan private key anda, maka dia bisa dengan leluasa login ke server anda. Untuk itu buat password untuk private key. Kita akan membuat private key dan public key yang baru, tetapi kali ini dilindungi dengan password

ssh-keygen -b 4096 -f ~/.ssh/encrypted_rsa
# output
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /home/tommy/.ssh/encrypted_rsa
Your public key has been saved in /home/tommy/.ssh/encrypted_rsa.pub
The key fingerprint is:
SHA256:ToQJ8EdvuX7WTFfKWkRIxg1f0krrx1hMGkDiOVxnzrE tommy@linux-server
The key's randomart image is:
+---[RSA 4096]----+
|  ... .   .+B=*..|
|   . o + + =oB+=o|
|    . + = =  .EB.|
|     . o . . o+oo|
|        S   ..=+ |
|       +   + +o o|
|        o o +  . |
|         o       |
|                 |
+----[SHA256]-----+

Masukkan password anda dibagian Enter passphrase (empty for no passphrase): dan Enter same passphrase again:, password yang anda ketik tidak akan kelihatan, kalo sudah selesai tekan ENTER.

Simpan public key yang baru ke server

ssh-copy-id -i ~/.ssh/encrypted_rsa.pub tommy@192.168.88.20

lalu coba login

ssh -i ~/.ssh/encrypted_rsa tommy@192.168.88.20

kali ini anda harus memasukkan password yang digunakan untuk enkripsi encrypted_rsa

agar penggunaan SSH Key dengan password ini, mirip dengan tanpa password ikuti langkah-langkahnya di Menggunakan SSH Tanpa Memasukkan passphrase Private Key