Linux - 配置SSH免密通信 - “ssh-keygen”的基本用法
驗(yàn)證
[編輯](javascript:;)
從客戶端來看墙懂,SSH提供兩種級(jí)別的安全驗(yàn)證。
第一種級(jí)別(基于口令的安全驗(yàn)證)
只要你知道自己帳號(hào)和口令盈罐,就可以登錄到遠(yuǎn)程主機(jī)榜跌。所有傳輸?shù)臄?shù)據(jù)都會(huì)被加密,但是不能保證你正在連接的服務(wù)器就是你想連接的服務(wù)器盅粪〉龊可能會(huì)有別的服務(wù)器在冒充真正的服務(wù)器,也就是受到“中間人”這種方式的攻擊票顾。
第二種級(jí)別(基于密匙的安全驗(yàn)證)
需要依靠密匙础浮,也就是你必須為自己創(chuàng)建一對密匙,并把公用密匙放在需要訪問的服務(wù)器上奠骄。如果你要連接到SSH服務(wù)器上豆同,客戶端軟件就會(huì)向服務(wù)器發(fā)出請求,請求用你的密匙進(jìn)行安全驗(yàn)證戚揭。服務(wù)器收到請求之后诱告,先在該服務(wù)器上你的主目錄下尋找你的公用密匙撵枢,然后把它和你發(fā)送過來的公用密匙進(jìn)行比較民晒。如果兩個(gè)密匙一致,服務(wù)器就用公用密匙加密“質(zhì)詢”(challenge)并把它發(fā)送給客戶端軟件锄禽∏北兀客戶端軟件收到“質(zhì)詢”之后就可以用你的私人密匙解密再把它發(fā)送給服務(wù)器。
用這種方式沃但,你必須知道自己密匙的口令磁滚。但是,與第一種級(jí)別相比宵晚,第二種級(jí)別不需要在網(wǎng)絡(luò)上傳送口令垂攘。
第二種級(jí)別不僅加密所有傳送的數(shù)據(jù),而且“中間人”這種攻擊方式也是不可能的(因?yàn)樗麤]有你的私人密匙)淤刃。但是整個(gè)登錄的過程可能需要10秒 [2]
錄
出處: 博客園 瘦風(fēng)的博客(https://www.cnblogs.com/shoufeng)
1 什么是SSH
引用百度百科的說明:
SSH 為
Secure Shell的縮寫晒他,由 IETF 的網(wǎng)絡(luò)小組(Network Working Group)所制定;它是建立在應(yīng)用層基礎(chǔ)上的安全協(xié)議逸贾。
SSH 是目前較可靠陨仅,專為遠(yuǎn)程登錄會(huì)話和其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議津滞。利用 SSH 協(xié)議可以有效防止遠(yuǎn)程管理過程中的信息泄露問題。
SSH最初是UNIX系統(tǒng)上的一個(gè)程序灼伤,后來又迅速擴(kuò)展到其他操作平臺(tái)触徐。
為了在不同平臺(tái)/網(wǎng)絡(luò)主機(jī)之間的通信安全, 很多時(shí)候我們都要通過ssh進(jìn)行認(rèn)證. ssh認(rèn)證方式主要有2種:
① 基于口令的安全認(rèn)證: 每次登錄的時(shí)候都要輸入用戶名和密碼, 由于要在網(wǎng)絡(luò)上傳輸密碼, 可能存在中間人攻擊的風(fēng)險(xiǎn);
② 基于密鑰的安全認(rèn)證: 配置完成后就可以實(shí)現(xiàn)免密登錄, 這種方式更加安全 —— 不需要在網(wǎng)絡(luò)上傳遞口令, 只需要傳輸一次公鑰. 常見的git的ssh方式就是通過公鑰進(jìn)行認(rèn)證的.
2 配置SSH免密登錄
說明: 這里演示所用的服務(wù)器操作系統(tǒng)是Cent OS 7. 我們的目標(biāo)是:
A服務(wù)器(172.16.22.131) 能免密登錄 B服務(wù)器 (172.16.22.132).
注意: ssh連接是單向的, A能免密登錄B, 并不能同時(shí)實(shí)現(xiàn)B能免密登錄A.
2.1 安裝必需的軟件
在操作之前, 先確保所需要的軟件已經(jīng)正常安裝.
這里我們需要安裝ssh-keygen和ssh-copy-id, 安裝方式如下:
# 安裝ssh-keygen, 需要確保服務(wù)器可以聯(lián)網(wǎng). 博主這里已經(jīng)安裝完成, 所以沒有做任何事.
[root@localhost ~]# yum install -y ssh-keygen
Loaded plugins: fastestmirror, langpacks
base | 3.6 kB 00:00:00
epel | 3.6 kB 00:00:00
extras | 2.9 kB 00:00:00
updates | 2.9 kB 00:00:00
Loading mirror speeds from cached hostfile
No package ssh-keygen available.
Error: Nothing to do
# 安裝ssh-copy-id
[root@localhost ~]# yum install -y ssh-copy-id
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
No package ssh-copy-id available.
Error: Nothing to do
2.2 ssh-keygen創(chuàng)建公鑰-私鑰對
(1) 在指定目錄下生成rsa密鑰, 并指定注釋為“shoufeng”, 實(shí)現(xiàn)示例:
[root@localhost ~]# ssh-keygen -t rsa -f ~/.ssh/id_rsa -C "shoufeng"
# ~密鑰類型 ~密鑰文件路徑及名稱 ~ 備注信息
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase): # 輸入密碼, 若不輸入則直接回車
Enter same passphrase again: # 再次確認(rèn)密碼, 若不輸入則直接回車
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
9a:e3:94:b9:69:c8:e9:68:4b:dc:fa:43:25:7f:53:f1 shoufeng
The key's randomart image is:
+--[ RSA 2048]----+
| |
| . |
| o |
| . . . E |
| + S. |
| . .. .=o |
| oo.oB. . |
| ..o=o.+ |
| .++oo+ |
+-----------------+
注意: 密鑰的文件名稱必須是id_xxx, 這里的xxx就是-t參數(shù)指定的密鑰類型. 比如密鑰類型是rsa, 那么密鑰文件名就必須是id_rsa.
(2) ssh-keygen常用參數(shù)說明:
-t: 密鑰類型, 可以選擇 dsa | ecdsa | ed25519 | rsa;
-f: 密鑰目錄位置, 默認(rèn)為當(dāng)前用戶home路徑下的.ssh隱藏目錄, 也就是
~/.ssh/, 同時(shí)默認(rèn)密鑰文件名以id_rsa開頭. 如果是root用戶, 則在/root/.ssh/id_rsa, 若為其他用戶, 則在/home/username/.ssh/id_rsa;-C: 指定此密鑰的備注信息, 需要配置多個(gè)免密登錄時(shí), 建議攜帶;
-N: 指定此密鑰對的密碼, 如果指定此參數(shù), 則命令執(zhí)行過程中就不會(huì)出現(xiàn)交互確認(rèn)密碼的信息了.
舉例說明: 同時(shí)指定目錄位置、密碼狐赡、注釋信息, 就不需要輸入回車鍵即可完成創(chuàng)建:
ssh-keygen -t rsa -f ~/.ssh/id_rsa -N shoufeng -C shoufeng
(3) 前往~/.ssh/目錄下查看生成的文件:
# 生成的文件以test_rsa開頭, test_rsa是私鑰, test_rsa.pub是公鑰:
[root@localhost .ssh]# ls
test_rsa test_rsa.pub
# 通過cat命令查看公鑰文件:
[root@localhost .ssh]# cat id_rsa.pub
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC2JpLMqgeg9jB9ZztOCw0WMS8hdVpFxthqG1vOQTOji/cp0+8RUZl3P6NtzqfHbs0iTcY0ypIJGgx4eXyipfLvilV2bSxRINCVV73VnydVYl5gLHsrgOx+372Wovlanq7Mxq06qAONjuRD0c64xqdJFKb1OvS/nyKaOr9D8yq/FxfwKqK7TzJM0cVBAG7+YR8lc9tJTCypmNXNngiSlipzjBcnfT+5VtcFSENfuJd60dmZDzrQTxGFSS2J34CuczTQSsItmYF3DyhqmrXL+cJ2vjZWVZRU6IY7BpqJFWwfYY9m8KaL0PZ+JJuaU7ESVBXf6HJcQhYPp2bTUyff+vdV shoufeng
# 可以看到最后有一個(gè)注釋內(nèi)容shoufeng
2.3 ssh-copy-id把A的公鑰發(fā)送給B
默認(rèn)用法是: ssh-copy-id root@172.16.22.132, ssh-copy-id命令連接遠(yuǎn)程服務(wù)器時(shí)的默認(rèn)端口是22, 當(dāng)然可以指定文件撞鹉、遠(yuǎn)程主機(jī)的IP、用戶和端口:
# 指定要拷貝的本地文件颖侄、遠(yuǎn)程主機(jī)的IP+用戶名+端口號(hào):
[root@localhost .ssh]# ssh-copy-id -i ~/.ssh/id_rsa.pub -p 22 root@172.16.22.132
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@172.16.22.132's password: # 輸入密碼后, 將拷貝公鑰
Number of key(s) added: 1
Now try logging into the machine, with: "ssh -p '22' 'root@172.16.22.132'"
and check to make sure that only the key(s) you wanted were added.
2.4 在A服務(wù)器上免密登錄B服務(wù)器
[root@localhost .ssh]# ssh root@172.16.22.132
Last login: Fri Jun 14 08:46:04 2019 from 192.168.34.16 # 登錄成功??
3 擴(kuò)展說明
3.1 其他方式發(fā)送公鑰文件
上述2.3步驟是通過ssh-copy-id工具發(fā)送公鑰文件的, 當(dāng)然我們也可以通過其他方式實(shí)現(xiàn):
(1) 將A的公鑰文件發(fā)給B:
通過scp命令將A服務(wù)器的 公鑰文件 發(fā)送到B服務(wù)器的用戶目錄下, 因?yàn)檫€沒有配置成功免密登錄, 所以期間需要輸入B服務(wù)器對應(yīng)用戶的密碼:
[root@localhost .ssh]# scp id_rsa.pub root@172.16.22.132:/root/.ssh
root@172.16.22.132's password:
id_rsa.pub 100% 390 0.4KB/s 00:00
(2) 在B上創(chuàng)建authorized_keys文件:
[root@localhost .ssh]# cd /root/.ssh/
[root@localhost .ssh]# ls
id_rsa.pub
# 通過A服務(wù)器的公鑰生成"authorized_keys"文件:
[root@localhost .ssh]# cat id_rsa.pub >> authorized_keys
[root@localhost .ssh]# cat authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC2JpLMqgeg9jB9ZztOCw0WMS8hdVpFxthqG1vOQTOji/cp0+8RUZl3P6NtzqfHbs0iTcY0ypIJGgx4eXyipfLvilV2bSxRINCVV73VnydVYl5gLHsrgOx+372Wovlanq7Mxq06qAONjuRD0c64xqdJFKb1OvS/nyKaOr9D8yq/FxfwKqK7TzJM0cVBAG7+YR8lc9tJTCypmNXNngiSlipzjBcnfT+5VtcFSENfuJd60dmZDzrQTxGFSS2J34CuczTQSsItmYF3DyhqmrXL+cJ2vjZWVZRU6IY7BpqJFWwfYY9m8KaL0PZ+JJuaU7ESVBXf6HJcQhYPp2bTUyff+vdV shoufeng
注意: 上述重定向時(shí)使用>>進(jìn)行追加, 不要用>, 那會(huì)清空原有內(nèi)容.
3.2 文件權(quán)限
為了讓私鑰文件和公鑰文件能夠在認(rèn)證中起作用, 需要確保權(quán)限的正確性:
① 對于
.ssh目錄以及其內(nèi)部的公鑰孔祸、私鑰文件, 當(dāng)前用戶至少要有執(zhí)行權(quán)限, 其他用戶最多只能有執(zhí)行權(quán)限.② 不要圖省事設(shè)置成777權(quán)限: 太大的權(quán)限不安全, 而且數(shù)字簽名也不支持這種權(quán)限策略.
③ 對普通用戶, 建議設(shè)置成600權(quán)限:
chmod 600 authorized_keys id_rsa id_rsa.pub;④ 對root用戶, 建議設(shè)置成644權(quán)限:
chmod 644 authorized_keys id_rsa id_rsa.pub.
3.3 文件的編輯和查看
在Liunx環(huán)境下, 如果要查看、復(fù)制私鑰发皿、公鑰, 以及authorized_keys等文件, 不要使用vim等編輯器打開, 因?yàn)樗鼤?huì)產(chǎn)生不必要的回車;
應(yīng)該通過cat崔慧、more、less等查看命令把內(nèi)容打印到終端上, 再作查看穴墅、復(fù)制等操作.
4 常見問題及解決
(1) 問題描述:
通過ssh-copy-id命令拷貝公鑰文件之后, 嘗試免密登錄另一臺(tái)服務(wù)器時(shí)發(fā)生錯(cuò)誤:
[root@localhost ~]# ssh root@172.16.22.131
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: UNPROTECTED PRIVATE KEY FILE! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0644 for '/root/.ssh/id_rsa' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
bad permissions: ignore key: /root/.ssh/id_rsa
root@172.16.22.131's password:
(2) 問題原因:
提示信息說明密鑰文件不受保護(hù), 具體是說這里的密鑰文件權(quán)限是0644, 而數(shù)字簽名機(jī)制要求密鑰文件不能被其他用戶訪問(讀取), 所以該密鑰文件被強(qiáng)制忽略處理了.
(3) 問題解決:
只要修改該密鑰文件的權(quán)限即可:
chmod 600 /root/.ssh/id_rsa
這里/root/.ssh/id_rsa就是warning里給出的密鑰文件名.
參考資料
版權(quán)聲明
作者: 瘦風(fēng)(https://healchow.com)
出處: 博客園 瘦風(fēng)的博客(https://www.cnblogs.com/shoufeng)
感謝閱讀, 如果文章有幫助或啟發(fā)到你, 點(diǎn)個(gè)[好文要頂??] 或 [推薦??] 吧??
本文版權(quán)歸博主所有, 歡迎轉(zhuǎn)載, 但 [必須在文章頁面明顯位置標(biāo)明原文鏈接], 否則博主保留追究相關(guān)人員法律責(zé)任的權(quán)利
