authorized_keys 与known_hosts区别与联系?

原创 于 2025-11-06 10:13:19 发布 · 771 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #ssh

总结:authorized_keys是本机作为服务端,记录哪些客户端的公钥可以来连接;known_hosts是本机作为客户端,记录的是可以连接的服务端的公钥指纹。

好的,这是一个非常核心的SSH概念。authorized_keysknown_hosts 都存在于 ~/.ssh/ 目录下,都涉及公钥认证,但它们的目的、角色和方向是完全相反的。

简单来说:

  • authorized_keys我是服务端,这里记录的是“我信任哪些客户端”。
  • known_hosts我是客户端,这里记录的是“我信任哪些服务端”。

1. authorized_keys (服务端信任名单)

角色与目的
  • 角色:你的机器充当 SSH服务器
  • 目的:这个文件列出了被授权访问你当前这台机器的所有客户端的公钥。当有人尝试SSH登录你的机器时,SSH服务会检查他的私钥是否与此文件中记录的某个公钥配对。如果配对成功,就允许登录。
文件位置

~/.ssh/authorized_keys (在SSH服务器上)

工作原理
  1. 客户端(例如 laptopA)将其公钥(id_rsa.pub)拷贝到服务器(例如 serverB)的 authorized_keys 文件中。
  2. laptopA 尝试 SSH 连接 serverB 时,会说:“你好,我是 laptopA,我想用我的私钥登录。”
  3. serverB 回应一个随机生成的挑战字符串。
  4. laptopA 用自己的私钥对这个挑战进行签名,并将签名发回给 serverB
  5. serverBauthorized_keys 中存储的 laptopA 的公钥来验证这个签名。
  6. 验证成功,登录被授权。
典型应用场景
  • 免密登录:这是实现SSH免密码登录的关键文件。
  • 自动化脚本:允许脚本(如CI/CD流水线)无需人工输入密码即可登录服务器。

2. known_hosts (客户端信任名单)

角色与目的
  • 角色:你的机器充当 SSH客户端
  • 目的:这个文件记录了所有你曾经连接过的SSH服务器的公钥指纹。它的核心作用是防止中间人攻击。当你第一次连接一台新服务器时,SSH客户端会让你确认服务器的指纹,确认后就会将其记录在 known_hosts 中。下次再连接时,客户端会校验服务器的公钥是否与记录的一致,如果突然变了,就会发出严重警告。
文件位置

~/.ssh/known_hosts (在SSH客户端上)

工作原理
  1. 当你第一次SSH连接一台新服务器(例如 serverX)时,你的客户端会看到 serverX 发来的它的主机公钥。
  2. 客户端会显示一个警告,类似于:
    The authenticity of host 'serverX (192.168.1.100)' can't be established.
RSA key fingerprint is SHA256:xxxxxxxx...
Are you sure you want to continue connecting (yes/no)?
  3. 如果你输入 yes,客户端就会将 serverX 的主机名、IP和其公钥保存到 known_hosts 文件中。
  4. 此后,每次连接 serverX,客户端都会校验其发来的公钥是否与 known_hosts 中记录的一致。如果不一致,就会报错:
    @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
    这提示你服务器身份可能被冒用,或者服务器密钥确实被重置了(比如重装了系统)。

对比总结表

特性authorized_keysknown_hosts
角色服务端客户端
目的认证用户(谁可以登录我)验证服务器(我连接的是不是真的它)
内容客户端的公钥SSH服务器的公钥
安全问题防护防止未授权用户登录防止中间人攻击(服务器伪装)
文件位置目标服务器~/.ssh/发起连接的机器~/.ssh/
通俗比喻门的允许进入名单你认识的商家名片夹

联系与互动

  • 它们都使用非对称加密技术(RSA, ECDSA, Ed25519等)。
  • 在一个完整的SSH连接建立过程中,两者都会发挥作用
    1. 客户端使用 known_hosts 来验证它连接的是正确的服务器
    2. 服务器使用 authorized_keys 来验证尝试登录的客户端用户是否有权限。

举个例子
你用办公室电脑 OfficePC 通过SSH登录到数据中心的一台服务器 DataServer

  • DataServer (服务端) 的 /home/yourname/.ssh/authorized_keys 文件中,保存着 OfficePC (客户端) 的公钥。这样你才能免密登录。
  • OfficePC (客户端) 的 /home/yourname/.ssh/known_hosts 文件中,保存着 DataServer (服务端) 的公钥指纹。这样你才能确认连接的不是假冒的服务器。

希望这个解释能帮助你彻底理解它们的区别与联系!

是的,你说得非常对!公钥指纹本身是设计为人类可读的,但它的内容确实是不可读的随机字符串。

公钥指纹的本质

什么是公钥指纹

公钥指纹是对公钥进行哈希运算后得到的固定长度的摘要,就像人类的指纹一样:

  • 唯一性:每个公钥对应唯一的指纹
  • 不可逆:无法从指纹反推出原始公钥
  • 固定长度:无论原始公钥多长,指纹长度固定

指纹的显示形式

# 常见的指纹格式
SHA256:uNiVqksVdw4eX+U2FpBDbMOaN8eQqZbHgjdNKf2bbYc
MD5:a0:8b:15:3d:fd:35:7c:8e:12:9a:4e:77:7f:2e:5e:33

为什么设计成这样

1. 安全性考虑

  • 如果指纹可读(如"server-01-beijing"),攻击者很容易伪造
  • 随机字符串提供了真正的唯一标识

2. 技术实现

# 公钥本身是这样的长字符串
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCwY...(很长很长)

# 经过SHA256哈希后得到指纹
SHA256:uNiVqksVdw4eX+U2FpBDbMOaN8eQqZbHgjdNKf2bbYc

3. 验证方式

虽然指纹本身不可读,但提供了验证机制:

首次连接时验证
# 当你第一次连接时看到:
The authenticity of host '192.168.1.100 (192.168.1.100)' can't be established.
ECDSA key fingerprint is SHA256:uNiVqksVdw4eX+U2FpBDbMOaN8eQqZbHgjdNKf2bbYc.
Are you sure you want to continue connecting (yes/no)?
如何正确验证
  1. 电话确认:打电话给服务器管理员核对指纹
  2. 带外验证:通过其他安全渠道获取正确指纹
  3. Web界面:有些云服务在控制台显示服务器SSH指纹
  4. 物理访问:直接到服务器上查看

实用的指纹检查命令

查看本地已知的指纹

# 查看known_hosts中某个主机的指纹
ssh-keygen -F 192.168.1.100

# 查看所有已知主机的指纹
ssh-keygen -l -f ~/.ssh/known_hosts

查看远程服务器指纹

# 获取远程服务器的指纹(在连接前验证)
ssh-keyscan 192.168.1.100 | ssh-keygen -lf -

查看自己的公钥指纹

# 查看id_rsa.pub的指纹
ssh-keygen -lf ~/.ssh/id_rsa.pub

总结

公钥指纹确实是不可读的随机字符串,这是出于安全考虑的设计:

  • 优点:防止伪造,提供真正的唯一标识
  • ⚠️ 缺点:需要额外的验证步骤来确认指纹的真实性

这种设计确保了SSH连接的安全性,虽然增加了一些验证的麻烦,但这是防止中间人攻击的必要代价。

SSHknown_hosts文件嵌入式
CodeMaven的博客
09-14 1256
"known_hosts"文件的作用是验证远程主机的身份。在SSH的使用过程中,有一个重要的文件被称为"known_hosts",它用于存储已知的主机公钥信息。本文将介绍如何在嵌入式系统中处理SSH的"known_hosts"文件,并提供相应的源代码示例。通过适当地存储文件、遵循正确的文件格式以及实现文件的读写操作,我们可以在嵌入式系统中安全地处理"known_hosts"文件,确保SSH连接的安全性。文件存储:由于嵌入式系统的资源有限,我们需要选择适合的存储方式来保存"known_hosts"文件。
SSHknown_hosts文件
热门推荐
EricXiao666的博客
08-27 10万+
一、什么是known_hosts文件 A通过ssh首次连接到B,B会将公钥1(host key)传递给A,A将公钥1存入known_hosts文件中,以后A再连接B时,B依然会传递给A一个公钥2,OpenSSH会核对公钥,通过对比公钥1公钥2 是否相同来进行简单的验证,如果公钥不同,OpenSSH会发出警告, 避免你受到DNS Hijack之类的攻击。。 二、打开known_hosts文件 ...
Linux中的known_hosts
高性价比服务器就选:蓝易云
01-30 2475
Linux系统中一个存储已知主机公钥的文件,用于SSH客户端验证远程主机的身份。当你连接到远程主机时,SSH客户端会检查该主机的公钥是否存在于。每个记录包含主机名、公钥、算法等信息,以及用于验证主机的指纹。当你首次连接到一个新的远程主机时,SSH会将该主机的公钥添加到。如果主机公钥发生变化,SSH会发出警告,因为这可能意味着连接到了不安全的主机。文件,你可以防止中间人攻击,确保你连接的远程主机的真实性和安全性。文件中,以确保你连接到的是正确的主机而不是恶意主机。文件的路径通常在用户的家目录下的。
SSH 免密登录异常排查:权限位错误、known_hosts 冲突 SELinux 干扰解决
tctghghjdjkahdjk的博客
10-30 299
通过以上步骤,可覆盖 90% 的免密登录异常场景。当 SSH 免密登录失败时,常见问题集中在。当服务端密钥变更时,客户端。:若问题仍存,检查服务端。
Linux系列】known_hosts详解
CSDN站内信: https://i.csdn.net/#/msg/chat/qyj19920704
08-14 2万+
💝💝💝欢迎来到我的博客,很高兴能够在这里和您见面!希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。非常期待和您一起在这个小小的网络世界里共同探索、学习和成长。💝💝💝 ✨✨ 欢迎订阅本专栏 ✨✨。
Emacs模块助力SSH文件编辑:authorized_keysknown_hosts模式
模块的命名表明它的主要用途是编辑两个特定的SSH文件:authorized_keysknown_hosts。 #### 6. 关键文件编辑模式 - **ssh-authorized-keys-mode**:这是一个为authorized_keys文件定制的编辑模式。该模式可能提供...
[root@web01 ~/.ssh]#ls authorized_keys 没有known_hosts
07-18
当前你的 `~/.ssh` 目录下只有 `authorized_keys` 文件,而没有 `known_hosts` 文件,这说明你还没有保存任何远程主机的 SSH 公钥信息。Jenkins 使用 SSH 连接远程主机时,需要 `known_hosts` 文件来验证目标主机的...
ubuntu@VM-0-6-ubuntu:~$ ls -l ~/.ssh total 12 -rw------- 1 ubuntu ubuntu 1129 Dec 12 23:12 authorized_keys -rw------- 1 ubuntu ubuntu 978 Nov 28 09:14 known_hosts -rw-r--r-- 1 ubuntu ubuntu 142 Nov 28 09:13 known_hosts.old ubuntu@VM-0-6-ubuntu:~$ ls -l ~/.ssh/authorized_keys -rw------- 1 ubuntu ubuntu 1129 Dec 12 23:12 /home/ubuntu/.ssh/authorized_keys ubuntu@VM-0-6-ubuntu:~$ ls -l ~/.ssh/authorized_keys/ ls: cannot access '/home/ubuntu/.ssh/authorized_keys/': Not a directory ubuntu@VM-0-6-ubuntu:~$ ls -l ~/.ssh/known_hosts/ ls: cannot access '/home/ubuntu/.ssh/known_hosts/': Not a directory ubuntu@VM-0-6-ubuntu:~$
最新发布
12-14
| `known_hosts.old` | 备份 | 老版本的 known_hosts | --- ## ❌ 关键结论:你的 Ubuntu 服务器上 **没有私钥文件** > **私钥应该保存在你的本地电脑(Mac)上,而不是远程服务器上。** 你现在是在 **Ubuntu ...
把自己的公钥加入到authorized_keys文件中
07-16
根据引用[4],我们了解到authorized_keys文件用于存储允许访问该服务器的客户端的公钥,而known_hosts文件用于存储已知的主机公钥(用于验证服务器身份)。 因此,我们按照上述步骤回答用户。要将公钥添加到SSH的...
三台机器进行免密配置 对每台机器进行操作 将自己机器的.ssh/id_rsa.pub 文件的内容分别增加到到另外两台机器的authorized_keys的后面
10-11
但是,用户提到要“将每台机器的.ssh/id_rsa.pub文件内容分别添加到另外两台机器的authorized_keys文件后面”,也就是每台机器的authorized_keys文件中都要包含另外两台机器的公钥(不包括自己?)。实际上,包括...
Linux 中关于 known_hosts 文件,你所应该知道的
Free雅轩的博客
11-04 6856
这里,id_rsa 是你 ssh 的私钥,id_rsa.pub 为ssh公钥,config 文件用于创建概要信息,以便进行 ssh 连接。这也就意味着在 known_hosts 文件中的信息是以 hash 方式存储的,你可能会看到一些随机数,但这并不能提供任何有用的信息。本文重点要介绍的,是上述列表中的最后一个文件,known_hosts,它是客户端 ssh 配置文件的重要组成部分。当然也可以先识别相关服务器的信息,然后使用 rm 命令手动删除,但是这个操作要麻烦的多,远不如使用上述命令方便。
linux关于ssh免密登录、known_hosts文件
can_chen的博客
12-05 1万+
SSH 是 Secure Shell 的缩写,SSH 为建立在应用层基础上的安全协议。SSH 是目前广泛采用的安全登录协议,专为远程登录会话和其他网络服务提供安全性的协议,替代以前不安全的Telnet协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。scp、sftp等都是基于ssh协议来进行远程传输的。对称加密:例如AES,加密和解密使用同一个密钥,不安全,如果密钥丢失,加密的信息就会被窃取,并且可以篡改信息,重新加密;对于接收方来说,并不知道这串加密的信息是受信任的发来的还是黑客伪造的。非
一文读懂authorized_keysknown_hosts
游语
03-27 4万+
authorized_keys 我们需要本地机器ssh访问远程服务器时为了减少输入密码的步骤,基本上都会在本地机器生成ssh公钥,然后将本地ssh公钥复制到远程服务器的.ssh/authorized_keys中,这样就可以免密登录了。( 服务器之间访问同理)。 流程如下 本机生成 ssh公钥; 复制本机公钥到远程服务器.ssh/authorized_keys中,authorized_keys文件...
known_hosts到底是干什么的?一共包含哪些部分?背后到底做了哪些事情?
长风破浪会有时的博客
04-14 1006
当你连接到远程主机时,主机用它的私钥对一些数据进行加密,然后把加密后的数据和它的公钥一起发送给你。你的客户端用主机的公钥对加密数据进行解密,如果解密成功,说明你拿到的公钥确实是这个主机的。如果不一致,客户端会发出警告,提示你可能存在中间人攻击,因为公钥变了,这个主机可能不是你原来连接的那个了。如果公钥不匹配,就可能存在中间人攻击,攻击者在你和远程主机之间拦截了通信,用自己的公钥替换了真正的主机公钥。里记录的公钥和当前主机提供的公钥,来判断这个主机是不是你之前连接过的那个“熟人”,以此保证连接的安全性。
Linux 批量添加 known_hosts
主要分享大数据相关的知识,如Spark、Hudi
01-17 2868
我们在做完linux ssh 免密登录后,通常会执行一些自动化任务(比如启动Spark集群),也就是需要ssh到每台节点执行相同命令。但是有一个问题就是如果 known_hosts 文件中不存在这个ip的话,在第一次连接时会弹出确认公钥的提示,需要手动输入 yes,才能继续往下进行。输入yes 后会将公钥添加到 .ssh/known_hosts 中,下次连接时就不需要再次确认了。但是如果节点比较多的话,假如有100个节点,那么我们需要手动输入100次 yes 比较麻烦。
SSH 总是弹警告?一行 sed 命令教你轻松搞定 known_hosts
2501_91107759的博客
05-20 1086
在使用 SSH 连接远程服务器时,可能会遇到“远程主机密钥已更改”的警告,这通常 ~/.ssh/known_hosts 文件有关。该文件记录了曾经连接过的服务器的公钥指纹,用于验证服务器的身份。当服务器密钥更新或重装系统时,旧指纹新指纹不匹配,导致 SSH 客户端发出警告。通过 sed -i /^192.168.88.102/d /root/.ssh/known_hosts 命令,可以删除指定 IP 地址的旧记录,强制 SSH 客户端重新验证服务器密钥。这在服务器密钥更新或自动化脚本中非常有用,确保连接
SSH known_hosts / authorized_keys 的解释
guoke312的专栏
02-02 7473
参考:http://blog.sina.com.cn/s/blog_148a693f10102vj8m.html 什么是SSH? 简单说,SSH是一种网络协议,用于计算机之间的加密登录。 如果一个用户从本地计算机,使用SSH协议登录另一台远程计算机,我们就可以认为,这种登录是安全的,即使被中途截获,密码也不会泄露。 最早的时候,互联网通信都是明文通信,一旦被截获,内容就暴露无疑。1995年,芬兰学者Tatu Ylonen设计了SSH协议,将登录信息全部加密,成为互联网安全的一个基本解决方案,迅速在.
konw_hosts文件的生成以及作用
LukeyAlvin的博客
10-28 1万+
一、关于 .ssh 目录的介绍 1.查看.ssh目录 关于 ssh配置信息都保存在用户家目录下的 .ssh目录里 找到.ssh文件夹: 以点开头 命名的文件夹都是隐藏文件夹,在Linux环境下,我们可以用命令进行显示 ls -alh 我们进入.ssh文件夹 ls命令查询后,发现此刻.ssh目录下没有任何文件,是一个空目录 2.用该Linux去远程连接另外一个远程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值