SSH自动认证远程登录

SSH自动认证远程登录

1、简要介绍

SSH（SecureShell）为建立在应用层的安全协议，专门为远程登录绘画和其他网络服务提供安全性的协议

2、功能

传统的网络服务程序，如ftp、pop和telnet在本质上都是不安全的，因为它们在网络上用明文传输口令和数据，别有用心的人非常容易就可以截获这些口令和数据。而且，这些服务程序的安全认证方式也是有其弱点的，很容易受“中间人”（manin-the-middle）这种方式的攻击。所谓“中间人”冒充服务器接受你穿给服务器的数据，然后再冒充你把数据传给真正的服务器。使用SSH你可以把所有传输的数据进行加密，这样就可以避免中间人这种攻击方式。

3、验证

（1）基于口令的安全认证

只要你知道自己帐号和口令，就可以登录到远程主机。所有传输的数据都会被加密，但是不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器，也就是受到“中间人”这种方式的攻击。

（2）基于密钥的安全认证

需要依靠密钥，也就是你必须为自己创建一对密钥，并把公用密钥发在需要访问的服务器上。如果你要连接到SSH服务器上，客户端软件就会向服务器发出请求，请求你的密钥进行安全验证。服务器受到请求之后，现在该服务器上你的主目录找你的公用密钥，然后把它和你发送过来的共用密钥进行比较。如果两个密钥一致，服务器就把公用密钥加密“质询”并把它发送给客户端软件。客户端软件受到质询之后就可以用你的私人密钥揭密在把它发送给服务器。

用这种方式，你必须知道自己密钥的口令。但是与第一种方式相比，第二种级别不需要在网络上传送口令。第二种级别不仅加密所有传送的数据，而且“中间人”这种攻击方式是不可能的（因为他没有你的私人密钥），但是整个登录过程可能需要10秒左右。

4、无须输入密码源主机自动认证登录到目的主机

(1)首先需要在源主机（SourceHost）创建SSHkey

>ssh-keygen -t rsa

会生成源主机的共用密钥和私人密钥两个文件id_rsa.pub和id_rsa（比如生成在～/.ssh）

(2)然后拷贝共用密钥到需要远程登录的目的主机（DestinationHost）

这个过程有两种方式，一种是自动拷贝（ssh-copy-id），一种是手动分步拷贝

自动拷贝，ssh-copy-id [i [identify_file]] [user@]machine

手动分步拷贝：

i.>scp  ~/.ssh/id_rsa.pub destHost:~（输入密码回车）

ii.>catid_rsa.pub >> .ssh/authorized_keys

如果.ssh目录不存在需要以700的权限创建文件夹（mkdir.ssh;chmod 700 .ssh）

>chomd700 .ssh/authorized_keys

（3）在目的主机上配置SSHDaemon程序

在目录主机上的SSHDaemon程序可能需要配置，可以进入到配置文件目录/etc/ssh/sshd_config（需要root权限才能访问）查看下面两个属性是否被设置

RSAAuthentication yes

PubkeyAuthentication yes

（4）配置完成之后需要重启SSHDaemon程序

>/etc/init.d/sshd restart

（5）如果一切顺利源主机就可以无须密码认证直接远程登录或远程拷贝文件(scp命令)到目的主机

（6）如果需要双向自动认证即目的主机到源主机也要自动认证，只要将目的主机的共用密钥拷贝的源主机机器上并按上述步骤操作即可。

过程中可能会遇到无法用以root身份远程登录到目的主机，此时需要修改ssh的配置文件/etc/ssh/sshd_config设置允许以root身份登录

#Authentication:

LoginGraceTime 120

#PermitRootLogin without-password

PermitRootLogin yes

StrictModes yes

如果还是无法用root身份远程登录，一般是由于root用户密码错误，此时需要修改目的主机上root用户的密码:

passwd root回车输入需要修改的密码，然后在用root身份远程登录即可。