OpenSSH主机认证(Host-based Authentication)配置方法

最新推荐文章于 2023-03-14 16:07:11 发布
最新推荐文章于 2023-03-14 16:07:11 发布
阅读量551 收藏
点赞数
文章标签: authentication ssh 服务器 工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/detrox/article/details/5542416
版权

From: http://blog.jianingy.com/node/82

主机认证的设置上并不复杂,考虑全面就能很容易搞定。我们还是先来简单描述下环境。这里我们假设主机admin是管理节点,我们的目标是admin上的所有用户都能通过主机认证从admin节点上登陆其他机器而不需要输入密码。首先,来看看需要修改的文件有那些以及他们各自的作用。

  • admin上的/etc/ssh/ssh_known_hosts: 系统级别的主机公钥文件,需要将你想登陆主机的公钥全部放在这个文件里。
  • 其他机器上的 /etc/ssh/sshd_config :ssh服务进程的配置文件,稍后我们要在这个文件里开启服务进程对主机认证的支持。
  • admin上的 /etc/ssh/ssh_config: 系统级别的ssh客户端配置文件,我们需要在里面打开客户端对主机认证的支持。
  • 其他机器上的 /etc/hosts.equiv : 允许通过主机认证登陆本机的主机名称(域名或者IP)以及用户名称。(有点拗口,但是就是这个逻辑)

我们先来配置admin上的/etc/ssh/ssh_known_hosts。该文件应该包含admin希望登陆的所有机器的rsa或者dsa公钥。为了获取这个公钥我们可以使用openssh提供的工具“ssh-keyscan”:http://www.linuxmanpages.com/man1/ssh-keyscan.1.php 。下面的例子演示了如何获得几个机器的rsa公钥。

ssh-keyscan -t rsa ls101 ls102 ls103 #获取几个机器的公钥,并输出在屏幕上
 sort <(ssh-keyscan -t rsa ls101 ls102 ls103) <(cat /etc/ssh/ssh_known_hosts) | uniq #获取几个机器的公钥并和原有的公钥列表做简单排重

接下来我们要在其他机器上开启ssh服务进程对主机认证的支持。编辑文件/etc/ssh/sshd_config,进行下面的设置:

HostbasedAuthentication yes #开启主机认证
IgnoreRhosts no # 允许用户自己设置 ~/.shosts 和 ~/.rhosts。该设置对主机认证中root用户的登陆有关键作用。

修改好ssh服务进程的配置文件后,我们需要重新启动一下ssh服务以应用最新的设置。

在各个ssh服务器准备完毕后,我们来配置admin上面ssh客户端参数。编辑文件/etc/ssh/ssh_config,进行下面的设置:

Host *
    HostbasedAuthentication yes # 开启主机认证
    EnableSSHKeysign yes # 开启SSH签名支持

由于主机认证会用到一个叫“ssh-keysign”:http://www.linuxmanpages.com/man8/ssh-keysign.8.php 的程序来进行认证,因此在ssh_config中开启对SSHKeysign的支持是必要的。

最后,我们将admin的域名加入到每个机器的 /etc/hosts.equiv 文件中。现在,在admin上除root用户外的所有用户都可以通过主机认证登陆其他机器了。为了让root用户也有这样的便利,我们还需要在其他机器的/root中加入文件.shosts。其内容和/etc/hosts.equiv相同。至此,我们已经成功完成了ssh主机认证的全部配置。

detrox
关注
openssh-9.3p2-1.x86-64.rpm
07-29
在安装过程中,RPM会检查软件包的完整性,解析其依赖关系,并将OpenSSH的服务和配置文件安装到系统相应位置。安装完成后,用户需要重启sshd服务以使更改生效,命令为`systemctl restart sshd`。同时,为了确保最佳的...
SSH远程连接实例
Flag_ing的博客
11-05 2851
本实例是在校园网的环境中,使用SSH在个人电脑(Win10)中远程连接实验室的服务器(Ubuntu20)。前提是个人电脑和实验室的服务器都连上了校园网,即处在同一个局域网(内网)中。其他场景下的SSH使用方法都大同小异。
win10开启ssh-agent
前端劝退工程师
06-29 5651
右键“我的电脑”(Windows 10上为“此电脑”),选择“管理”菜单项,打开计算机管理窗口。
Windows 支持 OpenSSH 了!
一枚嵌入式小白菜的摸爬滚打之路
03-14 3632
OpenSSH 的支持让系统管理员有了一个方便的工具来管理 Windows 系统,相信 OpenSSH + PowerShell 的组合将成为管理 Windows 系统的黄金搭档。本文只是介绍了一些入门的概念,但给人的感觉是 Windows 上的 OpenSSH 工具尚需打磨(问题挺多的,按照文档配置个公钥认证就把人搞吐了)。解决公钥认证问题。
如何理解host,Host是什么意思
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
02-16 1万+
在互联网协议中,host表示能够同其他机器互相访问的本地计算机。如何理解host,一台本地机有唯一标志代码,同网络掩码一起组成IP地址,如果通过点到点协议通过ISP访问互联网,那么在连接期间将会拥有唯一的IP地址,这段时间内,你的主机就是一个host。在这种情况下,host表示一个网络节点。对于拥有网站的公司或个人,host指的是网站的网络服务器host还可以指提供网络服务的公司,这时这种公司也称为hosting。 Host是什么意思,其实Hosts是一个没有扩展名的windows系统文件,可以用记事本等
windows自带的openssh(初)
yymm120的博客
05-17 1871
安装 OpenSSH Server windows自带有此功能,如果你没有,点击添加功能选中OpenSSH即可 打开"服务管理器", 把OpenSSH Authentication Agent 服务和 OpenSSH SSH Server 服务都设置为自启动,并启动这两个服务 将其启动 设置环境变量,OpenSSH的位置在C:\windows/system32\OpenSSH ,在环境变量中PATH一栏添加此地址即可. 接下来就可以输入命令使用了 ssh username@ip ...
openssh-9.0p1-1.el7.x86_64.tar.gz
09-25
openssh-9.0p1-1.el7.src.rpm openssh-9.0p1-1.el7.x86_64.rpm openssh-askpass-9.0p1-1.el7.x86_64.rpm openssh-askpass-gnome-9.0p1-1.el7.x86_64.rpm openssh-clients-9.0p1-1.el7.x86_64.rpm openssh-debuginfo-...
openssh-9.5p1-kylin-v10-sp3.tgz
11-16
3. 功能更新:新版本可能包含了对某些协议或选项的改进,比如支持新的密钥类型、改进的公钥认证机制,或者对SSH配置选项的扩展,这将提升用户的使用体验。 在银河麒麟操作系统V10 SP3上安装OpenSSH 9.5p1的过程通常...
openssh-9.1p1-1el7.x86-64
12-28
"内含6个rpm包"表明OpenSSH 9.1p1-1el7.x86_64的安装可能包括以下几个组成部分:主程序包(openssh)、服务器端组件(openssh-server)、客户端工具openssh-clients)、公共密钥认证文件(openssh-keyutils)、...
openssh-9.3p1-1.el7.x86-64.tar.gz
03-25
openssh-9.3p1-1.el7.src.rpm openssh-9.3p1-1.el7.x86_64.rpm openssh-askpass-9.3p1-1.el7.x86_64.rpm openssh-askpass-gnome-9.3p1-1.el7.x86_64.rpm openssh-clients-9.3p1-1.el7.x86_64.rpm openssh-debuginfo-...
OpenSSH详细介绍
weixin_33985507的博客
03-03 469
SSH:Secure SHell 由IETF的网络工作小组(Network Working Group)所制定;SSH为创建在应用层和传输层基础上的安全协议。传统的网络服务程序,如FTP、POP和Telnet其本质上都是不安全的;因为它们在网络上用明文传送数据、用户帐号和用户口令,很容易受到中间人(man-in-the-middle)***方式的***。就是存在另一个人或者...
usb3.0开发指南:host环境验证
叶玄青的博客
04-05 4538
人生得一知己足矣,斯世当以同怀视之。 —— 鲁迅 人生得一知己足以,斯世当以同怀视之。人生本来就很短暂,能得一知己又是多么的幸运。 今天又花了将近一天时间,整理dwc3 usb验证套件,主体部分已经完成的差不多了,代码依旧在我的dwc3仓库中。这篇文章记录今天的工作内容,其实就是主体内容。一、第二天进展第一天完成了初始化流程,然后建了个Makefile工程进行统一管理。第二天完成以下几个部分: u
openssh升级后无法登陆解决方案
热门推荐
hhhzua的专栏
08-24 4万+
1、openssh升级后,终端登陆会提示:WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! 应该在终端的~/.ssh/known_hostswe文件中将服务器ip对应的公钥信息删除再尝试登陆。 2、解决WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED仍然无法登陆,将/etc/ssh中的文件全部设置权限...
openssh远程系统登录
lilygg的博客
10-10 2万+
1.openssh主机中开启openssh服务时,那么就对外开放了远程连接的接口 openssh服务的服务端: sshd openssh服务的客户端: ssh 2.在客户端连接sshd(服务端)的方式 格式:ssh 服务端用户@服务端ip地址 例如: ssh root@172.25.254.130 ##在客户端用ssh命令连接172.25.0.10主机的root用户 ...
OpenSSH Public Key Authentication
cnbird's blog
11-24 756
http://sial.org/howto/openssh/publickey-auth/
Rsync同步工具Host认证失败,SSH免密登录无效
weixin_41780311的博客
12-20 508
windows开通SSH服务后,连接远程Linux服务器,为了方便使用Rsycn进行数据同步,需要进行免密登录设置。按网上一般流程设置完成后利用root@ip登录服务器时,还是提示让输入密码,免密登录设置完全无效,除了服务器sshd_config配置问题之外,还有就是Rsync有自己独有的.ssh文件夹。需要将生成的公钥和私钥以及known_hosts文件拷到其.ssh文件夹 。 ** 免密登录设...
Adobe host验证服务器,验证您的 Adobe Connect 安装
weixin_42387319的博客
07-31 1107
运行安装程序并在部署之前,请先验证您的 Adobe Connect 安装,以确保所有组件正常工作。安装 Adobe Connect 后,建议先检查安装是否成功,确保所有组件均正常工作,然后再进行部署和配置。准备部署 Adobe Connect 时,请参阅部署和配置 Adobe Connect。如需更改在安装程序中输入的配置设置,请使用应用程序管理控制台。如需访问控制台,请选择“开始”>“程序...
sudo apt-get install openssh-server openssh-client
最新发布
08-02
`sudo apt-get install openssh-server openssh-client` 是在Linux系统中使用apt包管理器安装SSH服务器openssh-server)和SSH客户端(openssh-client)的命令。SSH (Secure Shell) 是一种安全的远程登录协议,允许...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值