OpenSSH主机认证(Host-based Authentication)配置方法

最新推荐文章于 2024-07-27 13:31:29 发布
最新推荐文章于 2024-07-27 13:31:29 发布
阅读量9.2k 收藏 1
点赞数
分类专栏: Linux 系统相关 文章标签: authentication ssh 脚本 command 服务器 工具

转自:http://blog.jianingy.com/2009/10/


主机认证的设置上并不复杂,考虑全面就能很容易搞定。我们还是先来简单描述下环境。这里我们假设主机admin是管理节点,我们的目标是admin上的所有用户都能通过主机认证从admin节点上登陆其他机器而不需要输入密码。首先,来看看需要修改的文件有那些以及他们各自的作用。

•   admin上的/etc/ssh/ssh_known_hosts: 系统级别的主机公钥文件,需要将你想登陆主机的公钥全部放在这个文件里。

•   其他机器上的 /etc/ssh/sshd_config :ssh服务进程的配置文件,稍后我们要在这个文件里开启服务进程对主机认证的支持。

•   admin上的 /etc/ssh/ssh_config: 系统级别的ssh客户端配置文件,我们需要在里面打开客户端对主机认证的支持。

•   其他机器上的 /etc/hosts.equiv : 允许通过主机认证登陆本机的主机名称(域名或者IP)以及用户名称。(有点拗口,但是就是这个逻辑)

我们先来配置admin上的/etc/ssh/ssh_known_hosts。该文件应该包含admin希望登陆的所有机器的rsa或者dsa公钥。为了获取这个公钥我们可以使用openssh提供的工具“ssh-keyscan”:http://www.linuxmanpages.com/man1/ssh-keyscan.1.php。下面的例子演示了如何获得几个机器的rsa公钥。

ssh-keyscan -t rsa ls101 ls102 ls103 #取几个机器的公,并出在屏幕上

 sort <(ssh-keyscan-t rsa ls101 ls102 ls103)<(cat /etc/ssh/ssh_known_hosts)| uniq #取几个机器的公并和原有的公列表做排重

接下来我们要在其他机器上开启ssh服务进程对主机认证的支持。编辑文件/etc/ssh/sshd_config,进行下面的设置:

HostbasedAuthentication yes #开启主机认证

IgnoreRhosts no # 自己 ~/.shosts ~/.rhosts主机认证root的登有关作用。

修改好ssh服务进程的配置文件后,我们需要重新启动一下ssh服务以应用最新的设置。

在各个ssh服务器准备完毕后,我们来配置admin上面ssh客户端参数。编辑文件/etc/ssh/ssh_config,进行下面的设置:

Host *

   HostbasedAuthentication yes # 开启主机认证

   EnableSSHKeysign yes # 开启SSH名支持

由于主机认证会用到一个叫“ssh-keysign”:http://www.linuxmanpages.com/man8/ssh-keysign.8.php的程序来进行认证,因此在ssh_config中开启对SSHKeysign的支持是必要的。

最后,我们将admin的域名加入到每个机器的 /etc/hosts.equiv 文件中。现在,在admin上除root用户外的所有用户都可以通过主机认证登陆其他机器了。为了让root用户也有这样的便利,我们还需要在其他机器的/root中加入文件.shosts。其内容和/etc/hosts.equiv相同。至此,我们已经成功完成了ssh主机认证的全部配置。

请看下面这段脚本片断

while read FN; do

    test -e"$FN" || rm -iv "$FN"

done < <(find . $level -type l)

它用来查找一个目录下是否存在损坏的符号链接,然后对符号链接执行“rm -iv“命令。其中一个严重的问题是:为了获取find输出的结果,标准输入被重定向成为了find命令的输出。从而导致循环内部的rm -iv命令不能读取确认删除的信息。其原因是当程序执行到rm -iv的时候,标准输入已经不是原先的通过键盘的输入了,而是find命令的输出。为了解决这个问题,我们可以事先将原始的标准输入保存下来,专门提供给rm -iv来使用。请看下面的脚本片断:

exec 3<&0 # copies STDIN, it prevents'read' stealing STDIN from '$command'

while read FN; do

    test -e"$FN" || rm -iv "$FN" <&3

done < <(find . $level -type l)

首先我们把标准输入即&0复制给一个新的描述符-3号描述符。然后在循环内部,我们使用<&3来重定向rm -iv的标准输入到3号描述符-也就是最初的标准输入。从而解决了重定向导致的键盘输入丢失问题。

jibing57
关注
专栏目录
SSH普通用户HostbasedAuthentication配置
wjcaiyf的专栏
07-21 3993
一: 环境如下 1. 系统及ssh版本如下 test1:~ # cat /etc/os-release NAME="SLES" VERSION="12-SP1" VERSION_ID="12.1" PRETTY_NAME="SUSE Linux Enterprise Server 12 SP1" ID="sles" ANSI_COLOR="0;32" CPE_NAME="cpe:/o:sus
ssh-hostbased配置方法
Focus
07-28 1266
ssh-hostbased配置方法 简介 本文介绍了sshhostbased认证的一些概念,以及如何配置hostbased 认证 hostbased认证字面意思就是基于主机认证。 举个例子,主机A(192.168.1.101)运行着ssh server,配置hostbased认证,并且配置 root用户可以通过hostbased方式从主机B(192.168.1.102)上登录。那么在主机B上 直接执行ssh root@192.168.1.101就可以root方式登录主机A,不需要提供root密码。
openssh服务升级到最新版本OpenSSH-9.8p1完全手册---- (只适用于centos6)
zsk_john的技术分享专用博客
07-27 2361
​ 上传openssh-9.8p1.tar.gz 这个源码包到centos6服务器上,并解压,解压后将SPEC文件复制到/root/rpmbuild/SPEC目录下 (源码包和askpass压缩包都在附件1里面) 将openssh-9.8的源码包和x11-ssh-askpass-1.2.4.1.tar.gz放置到 /root/rpmbuild/SOURCES 目录下 x11-ssh-askpass-1.2.4.1.tar.gz的下载地址是Index of /repo/pkgs/openssh/x11-s
ssh 配置 主机信任认证
cpc84938的博客
01-06 426
sshd 的配置文件 /etc/ssh/sshd_config port 修改sshd的端口 AddressFamily any 支持的IP协议,any表示ipv4和...
linux主机认证
12-20
linux主机认证
postgres HBA基于主机认证
lk的窝
09-14 320
HBA的含义 host-based authentication  基于主机认证 initdb初始化数据库目录时,会生成一个默认的pg_hba.conf文件。 每条记录声明一种连接类型、一个客户端IP地址范围、一个数据库名、一个用户名字,以及对匹配这些参数的连接所使用的认证方法
CentOS7系统下/etc/ssh/sshd_config文件解释
高性价比服务器就选:蓝易云
08-14 1253
在对该文件进行修改之前,请确保了解每个配置项的含义和影响,并小心操作以避免配置错误导致的问题。修改完成后,需要重新加载SSH服务以使更改生效。文件是OpenSSH服务器配置文件,用于配置SSH服务的各种参数。根据具体需求,你可以进一步研究和定制SSH服务器配置。希望以上解释对你理解和配置。在CentOS 7系统中,
openssh-9.4p1
10-08
- **严格的身份验证机制**:可以通过 Host-Based Authentication、PasswordAuthentication、ChallengeResponseAuthentication 等多种方式组合,提高系统安全性。 OpenSSH配置文件通常位于 `/etc/ssh` 目录下,如...
便携式OpenSSH
01-27
- **Host-Based Authentication**:基于主机认证可以增加额外的安全层,只有在已知的可信主机上发起的连接才会被接受。 - **Protocol Multiplexing**:允许多个SSH会话共享一个单一的网络连接,减少开销并提高效率...
almalinux8 编译openssh 9.1p1生成rpm包并验证安装
mix123456的专栏
11-10 1623
almalinux8 编译openssh 9.1p1生成rpm包并验证安装
Linux ssh服务 openssh-8.0p1 安装手册(英文版)
weixin_45298878的博客
05-03 678
Prerequisites A C compiler. Any C89 or better compiler should work. Where supported, configure will attempt to enable the compiler’s run-time integrity checking options. Some notes about specifi...
Linux访问身份验证和授权
cainiao17441898的博客
11-23 4447
文章目录SSH服务配置补充设置是否使用基于主机的验证禁止解析SSH环境变量使用经过校验的MAC算法设置登录SSH提示信息配置PAM密码安全策略创建一定强度的密码 SSH服务配置补充 设置是否使用基于主机的验证 描述: HostbasedAuthentication参数指定是否允许可信主机通过rhosts或/etc/hosts. equiv胪进行身份验证以及成功的公钥落户机主机身份验证。此选项只适用于SSH V2版本。 配置: 编辑/etc/ssh/sshd_ config文件来设置如下所示参数: Host
SSH远程登录配置文件sshd_config详解
热门推荐
Field_Yang的博客
06-02 9万+
 SSH由客户端和服务端的软件组成,在客户端可以使用的软件有SecureCRT、putty、Xshell等, 而在服务器端运行的是一个sshd的服务,通过使用SSH,可以把所有传输的数据进行加密,而且也能够 防止dns和IP欺骗,此外,SSH传输的数据是经过压缩的,可以加快传输速度 其服务器端的配置文件为/etc/ssh/sshd_config [root@test ~]# cat /e...
ssh(openssh)小记
11-21 53
SSH(Secure Shell)具有客户端/服务器体系结构。OpenSSH支持SSH协议1和协议2,本文忽略前者。 ssh 客户端 ~/.ssh/config /etc/ssh/ssh_config sshd 服务器 /etc/ssh/sshd_config 认证(Auth...
Linux系统 SSHD服务安全优化方案
萌兔兔MMQ!!
08-16 1721
#Port 22#AddressFamily anyAddressFamily inet#ListenAddress 0.0.0.0 #监听IPV4所有网络地址ListenAddress 192.168.171.0#KeyRegenerationInterval 1h#ServerKeyBits 1024#PermitRootLogin yes # 允许root用户登录PermitRootLogin no # 禁止root用户远程登录#PasswordAuthentication yes#PermitEmp
CentOS7 基线检查
gd0913的博客
04-20 4504
口令锁定策略 威胁等级:Low 规则描述 设置口令认证失败后的锁定策略 审计描述 检查配置文件的/etc/pam.d/system-auth和/etc/pam.d/password-auth是否有 auth required pam_faillock.so preauth audit silent deny=5 unlock_time=180 auth [success=1 default=bad] pam_unix.so auth [default=die] pam_faillock.so auth
第1章ssh命令处ssh和服务详解
szembed的博客
02-16 2372
分为服务端配置文件/etc/ssh/sshd_config和客户端配置文件/etc/ssh/ssh_config(全局)或~/.ssh/config(用户)。虽然服务端和客户端配置文件默认已配置项虽然非常少非常简单,但它们可配置项非常多。sshd_config完整配置项参见金步国翻译的sshd_config中文手册,ssh_config也可以参考sshd_config的配置,它们大部分配置项所描述的内容是相同的。
SSH主机验证和身份验证(一)
Valhalla_God的博客
12-02 4666
1.1 非对称加密基础知识 对称加密:加密和解密使用一样的算法,只要解密时提供与加密时一致的密码就可以完成解密。 很简单的加密方式,只要一把钥匙能够同样打开本地锁和服务器锁就可以建立SSH连接 **非对称加密:**通过公钥(public key)和私钥(private key)来加密、解密。公钥加密的内容可以使用私钥解密,私钥加密的内容可以使用公钥解密。一般使用公钥加密,私钥解密,但并非绝对如此,例如CA签署证书时就是使用自己的私钥加密。在接下来介绍的SSH服务中,虽然一直建议分发公钥,但也可以分发私钥。
Linux中阶—远程接入ssh&sftp(八)
亓荼的博客
04-25 2641
ssh &sftp 服务配置
sudo apt-get install openssh-server openssh-client
最新发布
08-02
`sudo apt-get install openssh-server openssh-client` 是在Linux系统中使用apt包管理器安装SSH服务器openssh-server)和SSH客户端(openssh-client)的命令。SSH (Secure Shell) 是一种安全的远程登录协议,允许用户通过网络连接到另一台机器并执行命令。 以下是安装过程的简单说明: 1. 打开终端(Terminal)。 2. 使用管理员权限运行 `sudo` 命令,输入你的密码以获得root权限(如果尚未配置过无密码登录,此步骤必不可少)[^4]。 ```bash sudo -i 或者 输入密码: ``` 3. 运行 `apt-get` 更新软件包列表,以确保你正在安装的是最新版本。 ```bash apt-get update ``` 4. 安装SSH服务器和客户端: ```bash apt-get install openssh-server openssh-client ``` 5. 安装完成后,SSH服务会自动启动。你可以通过运行 `ssh-keygen` 自动创建SSH密钥对,或者手动编辑 `/etc/ssh/sshd_config` 文件来配置更多选项。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值