许多 Git 服务器都使用 SSH 公钥进行认证。 为了向 Git 服务器提供 SSH 公钥,如果某系统用户尚未拥有密钥,必须事先为其生成一份。 这个过程在所有操作系统上都是相似的。 首先,你需要确认自己是否已经拥有密钥。 默认情况下,用户的 SSH 密钥存储在其 ~/.ssh 目录下。
Git官方文档 链接:https://git-scm.com/book/en/v2/Git-on-the-Server-Generating-Your-SSH-Public-Key
上篇文章我们讲到在Linux上构建Git代码仓库,这次基于上篇文章,做SSH认证连接服务器,通过这种方式,之后写代码就能自由拉取代码而不需要通过帐号认证。
ssh配置
-
首先我们打开SSHD服务配置,打开指定认证用配置
$ vim /etc/ssh/sshd_config 复制代码
-
将默认注释符(#)去掉即可,内容如下
Port 22 Protocol 2 PermitRootLogin yes RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys 复制代码
- Port:指定端口号为22
- Protocol:指定ssh协议版本为2
- PermitRootLogin:允许root账号登录
- RSAAuthentication:开启rsa安全验证
- PubkeyAuthentication:开启公钥认证
- AuthorizedKeysFile:设置用户公钥文件存储位置
-
接着保存并重启SSHD服务,让配置生效
$ service sshd restart 复制代码
-
由于AuthorizedKeysFile设置的公钥存放路径是
.ssh/authorized_keys
,实际上是home目录下用户目录,而我们是用git用户,所以目标目录应该是/home/git/.ssh/authorized_keys
$ mkdir /home/git/.ssh 复制代码
-
创建完成后将拥有者修改为git
$ chown -R git:root /home/git/.ssh 复制代码
如果是第一次配置SSHD,可通过
chkconfig --level 35 sshd on
设置系统自动启动SSHD
客户端创建密钥并连接
-
首先,在客户端创建一个SSH连接密钥,指定验证方式是RSA (默认为DSA加密算法),并输入自己的Email
$ ssh-keygen -t rsa -C "youremail@email.com" 复制代码
创建了公钥和私钥,会提示保存位置,如不想改变密钥位置且无密码,几次确认后,和Linux类似,会保存到当前用户下的
.ssh
目录,默认为id_rsa
和id_rsa.pub
文件。 -
接着,将客户端公钥导入服务器端(将
IP
替换为服务器IP地址)$ ssh git@IP 'cat >> .ssh/authorized_keys' < ~/.ssh/id_rsa.pub 复制代码
-
确认时还需要输入git用户密码,成功后回到服务器端查看是否存在
authorized_keys
文件,并修改权限$ chmod 700 /home/git/.ssh $ chmod 600 /home/git/.ssh/authorized_keys 复制代码
-
客户端上再次clone仓库(将
IP
替换为服务器IP地址,仓库目录改成指定仓库目录),测试是否成功$ git clone git@IP:/opt/code/test.git 复制代码
-
成功后,限制git用户通过SSH登录服务器,编辑
/etc/passwd
文件$ vim /etc/passwd 复制代码
-
找到git用户的记录,将其中默认的
/bin/bash
改更为/bin/git-shell
,实际如下git:x:502:504::/home/git:/bin/git-shell 复制代码
ssh登录验证对于权限校验很严格,是以确保不出现安全问题,以上权限更改为必须的步骤。
后记
通过这种方式,之后对项目进行操作,都将通过配置好的RSA认证直接登录,免去诸多麻烦,而除了使用rsa加密算法,还有dsa加密算法,知道为什么有时候我们选择RSA进行加密吗?在实际应用场景中两者之间有什么区别呢?请听下回分解~
\(•ㅂ•)/♥ 共勉~