SSH 原理与运用:如何远程自动免密码登录

最新推荐文章于 2023-10-12 10:47:54 发布
最新推荐文章于 2023-10-12 10:47:54 发布
阅读量2k 收藏 5
点赞数 1
分类专栏: Linux 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tealex/article/details/75967125
版权

一、什么是 SSH?

简单说,SSH 是一种网络协议,用于计算机之间的加密登录。

先来看一个 ssh 大概流程图,虽然感觉可能有点儿细节不正确,感觉大致还是正确的:



 如果一个用户从本地计算机,使用 SSH 协议登录另一台远程计算机,我们就可以认为,这种登录是安全的,即使被中途截获,密码也不会泄露。

最早的时候,互联网通信都是明文通信,一旦被截获,内容就暴露无疑。1995 年,芬兰学者 Tatu Ylonen 设计了 SSH 协议,将登录信息全部加密,成为互联网安全的一个基本解决方案,迅速在全世界获得推广,目前已经成为 Linux 系统的标准配置。

  • SSH 的连线行为简介

我们可以将 ssh 伺服器端与用户端的连线步骤示意为下图,至于步骤说明如后:


ssh 伺服器端与用户端的连线步骤示意图

  1. 伺服器建立公钥档:每一次启动 sshd 服务时,该服务会主动去找 / etc/ssh/ssh_host * 的档案,若系统刚刚安装完成时,由于没有这些公钥档案,因此 sshd 会主动去计算出这些需要的公钥档案,同时也会计算出伺服器自己需要的私钥档;

  2. 用户端主动连线要求:若用户端想要连线到 ssh 伺服器,则需要使用适当的用户端程式来连线,包括 ssh, pietty 等用户端程式;

  3. 伺服器传送公钥档给用户端:接收到用户端的要求后,伺服器便将第一个步骤取得的公钥档案传送给用户端使用 (此时应是明码传送,反正公钥本来就是给大家使用的!);

  4. 用户端记录 / 比对伺服器的公钥资料及随机计算自己的公私钥:若用户端第一次连接到此伺服器,则会将伺服器的公钥资料记录到用户端的使用者家目录内的~/.ssh/known_hosts 。若是已经记录过该伺服器的公钥资料,则用户端会去比对此次接收到的与之前的记录是否有差异。若接受此公钥资料,则开始计算用户端自己的公私钥资料;

  5. 回传用户端的公钥资料到伺服器端:用户将自己的公钥传送给伺服器。此时伺服器:『具有伺服器的私钥与用户端的公钥』,而用户端则是: 『具有伺服器的公钥以及用户端自己的私钥』,你会看到,在此次连线的伺服器与用户端的金钥系统 (公钥 + 私钥) 并不一样,所以才称为非对称式金钥系统喔。

  6. 开始双向加解密: (1) 伺服器到用户端:伺服器传送资料时,拿用户的公钥加密后送出。用户端接收后,用自己的私钥解密; (2) 用户端到伺服器:用户端传送资料时,拿伺服器的公钥加密后送出。伺服器接收后,用伺服器的私钥解密。

在上述的第 4 步骤中,用户端的金钥是随机运算产生于本次连线当中的,所以你这次的连线与下次的连线的金钥可能就会不一样啦!此外在用户端的使用者家目录下的~/.ssh/known_hosts 会记录曾经连线过的主机的 public key ,用以确认我们是连接上正确的那部伺服器。



 需要指出的是,SSH 只是一种协议,存在多种实现,既有商业实现,也有开源实现。本文针对的实现是OpenSSH,它是自由软件,应用非常广泛。

此外,本文只讨论 SSH 在 Linux Shell 中的用法。如果要在 Windows 系统中使用 SSH,会用到另一种软件PuTTY,这需要另文介绍。

二、最基本的用法

SSH 主要用于远程登录。假定你要以用户名 user,登录远程主机 host,只要一条简单命令就可以了。

  $ ssh user@host

如果本地用户名与远程用户名一致,登录时可以省略用户名。

  $ ssh host

SSH 的默认端口是 22,也就是说,你的登录请求会送进远程主机的 22 端口。使用 p 参数,可以修改这个端口。

  $ ssh -p 2222 user@host

上面这条命令表示,ssh 直接连接远程主机的 2222 端口。

三、中间人攻击

SSH 之所以能够保证安全,原因在于它采用了公钥加密。

整个过程是这样的:

  1. 远程主机收到用户的登录请求,把自己的公钥发给用户。

  2. 用户使用这个公钥,将登录密码加密后,发送回来。

  3. 远程主机用自己的私钥,解密登录密码,如果密码正确,就同意用户登录。

这个过程本身是安全的,但是实施的时候存在一个风险:如果有人截获了登录请求,然后冒充远程主机,将伪造的公钥发给用户,那么用户很难辨别真伪。因为不像 https 协议,SSH 协议的公钥是没有证书中心(CA)公证的,也就是说,都是自己签发的。

可以设想,如果攻击者插在用户与远程主机之间(比如在公共的 wifi 区域),用伪造的公钥,获取用户的登录密码。再用这个密码登录远程主机,那么 SSH 的安全机制就荡然无存了。这种风险就是著名的"中间人攻击"(Man-in-the-middle attack)。

SSH 协议是如何应对的呢?

四、口令登录

如果你是第一次登录对方主机,系统会出现下面的提示:

  $ ssh user@host

  The authenticity of host 'host (12.18.429.21)' can't be established.

  RSA key fingerprint is 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d.

  Are you sure you want to continue connecting (yes/no)?

这段话的意思是,无法确认 host 主机的真实性,只知道它的公钥指纹,问你还想继续连接吗?

所谓 "公钥指纹",是指公钥长度较长(这里采用 RSA 算法,长达 1024 位),很难比对,所以对其进行 MD5 计算,将它变成一个 128 位的指纹。上例中是 98:2e:d7:e0​:de :9f:ac:67:28:c2:42:2d:37:16:58:4d,再进行比较,就容易多了。

很自然的一个问题就是,用户怎么知道远程主机的公钥指纹应该是多少?回答是没有好办法,远程主机必须在自己的网站上贴出公钥指纹,以便用户自行核对。

假定经过风险衡量以后,用户决定接受这个远程主机的公钥。

  Are you sure you want to continue connecting (yes/no)? yes

系统会出现一句提示,表示 host 主机已经得到认可。

  Warning: Permanently added 'host,12.18.429.21' (RSA) to the list of known hosts.

然后,会要求输入密码。

  Password: (enter password)

如果密码正确,就可以登录了。

当远程主机的公钥被接受以后,它就会被保存在文件 $HOME/.ssh/known_hosts 之中。下次再连接这台主机,系统就会认出它的公钥已经保存在本地了,从而跳过警告部分,直接提示输入密码。

每个 SSH 用户都有自己的 known_hosts 文件,此外系统也有一个这样的文件,通常是 / etc/ssh/ssh_known_hosts,保存一些对所有用户都可信赖的远程主机的公钥。

五、公钥登录

使用密码登录,每次都必须输入密码,非常麻烦。好在 SSH 还提供了公钥登录,可以省去输入密码的步骤。

所谓 "公钥登录",原理很简单,就是用户将自己的公钥储存在远程主机上。登录的时候,远程主机会向用户发送一段随机字符串,用户用自己的私钥加密后,再发回来。远程主机用事先储存的公钥进行解密,如果成功,就证明用户是可信的,直接允许登录 shell,不再要求密码。

这种方法要求用户必须提供自己的公钥。如果没有现成的,可以直接用 ssh-keygen 生成一个:

  $ ssh-keygen

运行上面的命令以后,系统会出现一系列提示,可以一路回车。其中有一个问题是,要不要对私钥设置口令(passphrase),如果担心私钥的安全,这里可以设置一个。

运行结束以后,在 $HOME/.ssh / 目录下,会新生成两个文件:id_rsa.pub 和 id_rsa。前者是你的公钥,后者是你的私钥。

这时再输入下面的命令,将公钥传送到远程主机 host 上面:

  $ ssh-copy-id user@host

好了,从此你再登录,就不需要输入密码了。

如果还是不行,就打开远程主机的 / etc/ssh/sshd_config 这个文件,检查下面几行前面 "#" 注释是否取掉。

  RSAAuthentication yes  PubkeyAuthentication yes  AuthorizedKeysFile .ssh/authorized_keys

然后,重启远程主机的 ssh 服务。

  // ubuntu 系统  service ssh restart

  // debian 系统  /etc/init.d/ssh restart

六、authorized_keys 文件

远程主机将用户的公钥,保存在登录后的用户主目录的 $HOME/.ssh/authorized_keys 文件中。公钥就是一段字符串,只要把它追加在 authorized_keys 文件的末尾就行了。这里不使用上面的 ssh-copy-id 命令,改用下面的命令,解释公钥的保存过程:

  $ ssh user@host 'mkdir -p .ssh && cat >> .ssh/authorized_keys' < ~/.ssh/id_rsa.pub

这条命令由多个语句组成,依次分解开来看:

(1)"$ ssh user@host",表示登录远程主机;

(2)单引号中的 mkdir .ssh && cat >> .ssh/authorized_keys,表示登录后在远程 shell 上执行的命令:

(3)"$ mkdir -p .ssh" 的作用是,如果用户主目录中的. ssh 目录不存在,就创建一个;

(4)'cat >> .ssh/authorized_keys' < ~/.ssh/id_rsa.pub 的作用是,将本地的公钥文件~/.ssh/id_rsa.pub,重定向追加到远程文件 authorized_keys 的末尾。

写入 authorized_keys 文件后,公钥登录的设置就完成了。

tealex
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ssh更改默认端口号及实现免密远程登录
01-10
近来在复习防火墙管理工具 iptables 的基本使用方法,涉及到对端口添加或删除防火墙策略的内容,之前对ssh更改默认端口号及免密登录的方法不熟悉,这次做一个基本的总结防止自己遗忘。 错误偏差及其他经验之处,还...
ssh(ssh-keygen)配置输入密码登录远程主机的方法
09-15
主要是介绍ssh(ssh-keygen)配置输入密码登录远程主机的方法,供大家学习参考
Linux运维:Shell脚本实现ssh免密登录远程服务器
weixin_46768026的博客
12-15 5607
LInux系统日常运维过程中,经常需要在本地运行脚本执行对远程主机的命令,正常情况下,ssh登录远程服务器时会提示输入密码,这会影响到脚本自动执行(因为shell脚本中没有自动填充密码的命令)。有三个解决办法: 1)使用远程登录工具 2)建立主机间的ssh信任依赖关系 3)用脚本模拟scp命令的密码输入过程,避每次手工输密码。 一、使用远程登录工具—实现ssh免密登录远程服务器 常用的远程登录工具有expect以及sshpass,本文主要介绍的是sshpass。 1)sshpass介绍 ssh登录..
【linux】ssh 远程执行命令自动输入密码方式
檀越的博客
12-07 3万+
💝💝💝欢迎来到我的博客,很高兴能够在这里和您见面!希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。非常期待和您一起在这个小小的网络世界里共同探索、学习和成长。💝💝💝✨✨ 欢迎订阅本专栏 ✨✨。
ssh自动登录的4种实现方法
最新发布
qq_36320520的博客
10-12 977
ssh自动登录的4种实现方法。
ssh远程执行命令自动输入密码方式
我的博客
10-12 8066
ssh远程执行命令自动输入密码方式
(完全解决)Windows如何使用批处理命令进行SSH连接并自动输入密码
qq_43391414的博客
10-01 1万+
找了很多方法,有说用 密钥的 sshpass工具的 用SSH客户端连接工具 脚本的 我很久之前试过用自己的虚拟机Linux SSH连接服务器Linux,使用过密钥,确实方便,但是没有试过Windows 使用密钥SSH连接服务器Linux,出于怕很麻烦的缘故没有使用方法一。 方法二没有用过,听说sshpass可以直接带密码作为参数,而ssh不可以。 方法三我目前的认知是仅限于简单的ssh连接,比如: ssh [email protected] 然后你输入密码之后软件会帮你自动保存,以后你只需点击图标,
linux远程登录ssh免密码配置方法
09-15
主要介绍了linux远程登录ssh免密码配置方法,需要的朋友可以参考下
SSH远程免密登录的两种方式
初心不忘、始终方得
12-16 3万+
ssh免密登录看这里就够了
Mac环境登录服务器时自动输入密码
freeRoad
07-22 901
我这里需要两次输入密码,所以写了两遍expect。在~/.bash_profile中添加命令别名。文件保存为expect_ssh.sh。这样就可以为登录服务器输入密码了。
【Linux】ssh自动输入密码
Sudley的博客
06-17 2万+
介绍ssh不需要手动输入密码的常用方法,提供一个ssh和scp命令的通用交互脚本,方便参考
自动输入密码ssh登录,例子
soralaro的博客
03-04 3842
#!/usr/bin/expect set timeout 30 spawn ssh [email protected] expect "password:" send "Huawei12#$\r" interact
SSH自动输入密码,取消首次连接确认
心中无码
09-04 7875
SSH是最常用的工具了,ssh username@ipAddress 即发起到远程主机的访问。随后输入远程机器的密码即可连接,同时,首次连接到远程主机还会要求获得远程主机的公钥,这时必须手动输"yes". 下图是完整的连接过程。 ha@ha-To-be-filled-by-O-E-M:~$ ssh [email protected] The authenticity of host '192.16...
sshpass实现ssh自动输入密码登陆服务器
天涯的浪子
05-15 5407
想实现ssh自动输入密码登录,网上搜了一下,主要有两种方法:1、生成公钥。2、编写expect脚本。 这两种方法,用起来都有点复杂,偶然发现一个sshpass,其实sshpass的用法很简单。 sshpass简介: ssh登陆不能在命令行中指定密码sshpass 的出现,解决了这一问题。它允许你用 -p 参数指定明文密码,然后直接登录远程服务器,它支持密码从命令行、文件、环境变量中读取。 ...
实现SSH远程登录
qq_46700234的博客
01-23 5383
实现SSH远程登录——《Kali | CSDN创作打卡》
【安全知识】——SSH的两种远程登录方法详解
Demo不是emo的博客
10-18 3万+
最近在打靶场的过程中发现有时候SSH无需密码就可以直接登陆,这确实是触及到我的盲区了,上网查了一下才知道这原来是ssh的秘钥登录,花了一整天才弄懂,所以写下这篇博客,希望能帮助到大家
自动ssh登录的几种方法
netzsm的专栏
09-13 6629
自动ssh登录的几种方法1. 自动ssh/scp方法==A为本地主机(即用于控制其他主机的机器) ;B为远程主机(即被控制的机器Server), 假如ip为192.168.60.110;A和B的系统都是Linux在A上运行命令:# ssh-keygen -t rsa (连续三次回车,即在本地生成了公钥和私钥,不设置密码)# ssh [email protected] "mkdir .ssh
ssh登录自动填充密码
weixin_33795833的博客
10-02 1668
问题 要通过一个跳板机ssh登录其他主机,每次使用ssh hostIp -l username再输入密码的方式太耗时,想要进行密码自动填充 解决 使用expect+bash shell在ssshHost.sh脚本中封装expect的ssh登录自动填充密码功能 使用expect的自动填充密码功能+interact交互功能 将(hostIp...
Shell脚本交互之:自动输入密码
热门推荐
zhangjikuan的专栏
04-09 15万+
平时在控制台输入指令如:sudo、ssh、ftp或者修改admin权限的文件时候都会要求输入password,但是在she'll脚本运行过程中该如何交互实现自动输入密码呢? 下面总结三种实现方法。 一、重定向:用重定向方法实现交互的前提是指令需要有参数来指定密码输入方式,如ftp就有-i参数来指定使用标准输入来输入密码         shell用重定向作为标准输入的用法是:cmd   实
ubuntu20.04安装并配置ssh,实现免密远程登录
04-23
好的,您需要按照以下步骤来完成ubuntu20.04安装并配置ssh,实现免密远程登录: 1. 在终端中执行以下命令安装ssh:sudo apt-get install openssh-server 2. 安装完成后,执行以下命令来检查ssh是否已经启动:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值