一、什么是SSH?
简单说,SSH是一种网络协议,用于计算机之间的加密登录。 如果一个用户从本地计算机,使用SSH协议登录另一台远程计算机,我们就可以认为,这种登录是安全的,即使被中途截获,密码也不会泄露。
二、中间人攻击
SSH之所以能够保证安全,原因在于它采用了公钥加密。 整个过程是这样的:(1)远程主机收到用户的登录请求,把自己的公钥发给用户。(2)用户使用这个公钥,将登录密码加密后,发送回来。(3)远程主机用自己的私钥,解密登录密码,*如果密码正确,就同意用户登录。 这个过程本身是安全的,但是实施的时候存在一个风险:如果有人截获了登录请求,然后冒充远程主机,将伪造的公钥发给用户,那么用户很难辨别真伪。因为不像https协议,SSH协议的公钥是没有证书中心(CA)公证的,也就是说,都是自己签发的。* 可以设想,如果攻击者插在用户与远程主机之间(比如在公共的wifi区域),用伪造的公钥,获取用户的登录密码。再用这个密码登录远程主机,那么SSH的安全机制就荡然无存了。这种风险就是著名的"中间人攻击"(Man-in-the-middle attack)。
三、公钥登录
使用密码登录,每次都必须输入密码,非常麻烦。好在SSH还提供了公钥登录,可以省去输入密码的步骤。 所谓"公钥登录",原理很简单,就是用户将自己的公钥储存在远程主机上。登录的时候,远程主机会向用户发送一段随机字符串,用户用自己的私钥加密后,再发回来。远程主机用事先储存的公钥进行解密,如果成功,就证明用户是可信的,直接允许登录shell,不再要求密码。
- 生成公私钥对
# cd
# ssh-keygen
注意:生成的公私钥的用户名需要一致,建议在云主机上直接生成
2 将公钥导入authorized_keys文件,并将私钥保存到本地计算机
# cat id_rsa.pub >>authorized_keys
# cat authorized_keys
将私钥拿到本地(scp命令或者xfpt拿到本地) 注意:公钥添加到authorized_keys文件后,且私钥已成功获取到本地后,删除服务器端公私钥 私钥一定要妥善保管
3 修改ssh配置文件
vim /etc/ssh/sshd_config
如下几个配置项决定远程登录的方式:
Port 22 //远程登录端口,建议不使用22端口
PubkeyAuthentication yes // 授权公钥登录
AuthorizedKeysFile .ssh/authorized_keys // 授权文件路径
PasswordAuthentication yes // 密码授权
UsePAM yes // 密码授权(redhat系列无效)
建议不使用22端口
配置密码和公私钥同时登录(不推荐)(有注释的取消注释,值改成如下值)
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
PasswordAuthentication yes
UsePAM yes- 只配置公钥登录
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
PasswordAuthentication no
UsePAM no
4.重启sshd服务
// centos系统
# systemctl restart sshd.service
// ubuntu系统
# /etc/init.d/sshd restart
- 远程登录
xshell登录
ssh远程登录
修改私钥的权限为600 # chmod 600 id_rsa
权限不修改成600可能会导致登录失败
远程登录
```
ssh root@ 自己的ip -p22 -i id_rsa
```