利用SSH基于key认证

最新推荐文章于 2021-04-27 10:52:52 发布
最新推荐文章于 2021-04-27 10:52:52 发布
阅读量313 收藏 1
点赞数
分类专栏: Linux知识点分解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42836860/article/details/102983189
版权

文章目录

What(能实现什么)

  • 免密登录,实现远程批量操作服务器,方便脚本编写,使得我们在执行远程操作命令时就好像在本地执行命令简单(如scp,ssh)
  • 更加安全方便,我们不用去记繁琐的用户密码,也不担心密码泄露。(我们可以把sshd服务配置成只允许基于KEY验证登录)
  • 防止暴力猜口令的威胁。

Why(原理是什么)

SSH首次连接第一步

    客户端A去访问服务端B时并不知道B的公钥是什么,A无法确认现在正在连接的IP是不是B。这时B把本机的公钥通过单向加密算法md5和sha256,提取出B公钥的指纹发送到A这边来。这时系统会提示你要手工确认此公钥的准确性。

[root@centos 7 ~]#ssh 192.168.8.6
[root@centos 7 .ssh]#ssh 192.168.8.6
The authenticity of host '192.168.8.6 (192.168.8.6)' can't be established.
RSA key fingerprint is bd:fc:55:81:f0:4e:14:01:ab:ef:a9:58:42:c7:69:08.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.8.6' (RSA) to the list of known hosts.
root@192.168.8.6's password: 
Last login: Sat Sep 21 08:35:26 2019 from 192.168.8.1

    当A输入yes时,会自动下载B的公钥放到~/.ssh的文件夹当中。这时会文件夹会生成一个known hosts文本,用来存放于已连接过的主机的公钥,再输入密码可登录进去,系统的初始公钥和私钥放到/etc/ssh目录。
    注意:此步骤可以A的SSH客户端配置文件中禁用,修改/etc/ssh/ssh_config---->此项改为 StrictHostKeyChecking no(首次登录不检查提示);

SSH首次连接第二步

    SSH连接第二步就是上述操作输入yes后的内部通信过程,这时A的公钥B手上还没有,那怎样实现公钥交换?
在这里插入图片描述

  • A向B发送连接请求时,B会返回一个公钥和会话ID(系统自动生成的字符串)给到A,这时A得到了B的公钥和B的会话ID;
  • A用会话ID和A的公钥做异或运算得到一个RES;
  • A再用B的公钥加密RES,把加密后的结果发送给服务端B;
  • B用私钥解开,再用RES和会话ID做异或运算,这时得到了A的公钥了;
  • 至此双方都得到了对方的公钥;
SSH首次连接密码登录

    SSH连接第三步之密码登录
在这里插入图片描述

  • 当A输入密码123456后,用服务端B的公钥加密传输给服务端B;
  • 服务端B收送A的登录的加密请求后,解密并验证用户和密码。最后把验证结果和A的公钥加密回传给A;
  • A再用A的私钥解密,得到验证结果,完成密码交换,进而登录成功或失败;
SSH登录成功后加密通讯的过程

在这里插入图片描述
    从上图可以看到,客户端和服务端上必须存在一对密钥对,而且用A的公钥加密只能用A的私钥才可以解密,这就是非对称加密的特性。
    ssh加密通讯的流程大致是这样:客户端和服务端通信的前提是双方手上都已有对方的公钥,此步已跳过首次连接过程。首先客户端与服务端通信,客户端会把通信数据用服务端的公钥进行加密,加密的报文只能用服务端的私钥解密。加密的报文传送至服务端,服务端用私钥来解密,反之亦然。这样实现了安全通信的过程。

基于Key认证存在的风险

    上述的首次密钥交换的过程中会存在叫“中间人攻击”的风险;
在这里插入图片描述
中间人攻击:黑客会潜伏在客户端与服务器中间来收发双放的密钥信息,发生中间人攻击的根本原因就是对方是否可信。在解决这个问题就要用到CA证书。

SSH连接第三步之公钥登录

    基于密钥的登录方式,免密登录;

在这里插入图片描述

  • 首先在客户端生成一对密钥( ssh-keygen);
  • 并将客户端的公钥ssh-copy-id 拷贝到服务端;
  • 当客户端再次发送一个连接请求,包括ip、用户名;
  • 服务端得到客户端的请求后,会到authorized_keys中查找,如果有响应的IP和用户,就会随机生成一个字符串,例如:13579;
  • 服务端将使用客户端拷贝过来的公钥进行加密,然后发送给客户端;
  • 得到服务端发来的消息后,客户端会使用私钥进行解密,然后将解密后的字符串发送给服务端;
  • 服务端接受到客户端发来的字符串后,跟之前的字符串进行对比,如果一致,就允许免密码登录

    这里简单说下家目录下.ssh文件夹下各个文件代表的意思

[root@centos 7 .ssh]#ls
authorized_keys  id_rsa  id_rsa.pub  known_hosts

authorized_keys :存放经过授权过的主机公钥;
known_hosts:存放已连接过的主机公钥;
id_rsa:私钥
id_rsa.pub:公钥
解释一下:

  • authorized_keys与known_hosts存放的内容基于一致;
  • A第一次连接B,A的known_hosts为空,A屏幕此时会发生warning信息,提醒是否连接,确定连接才会让你输入密码连接,然后便会把B的公钥添加到A的known_hosts中,下次只需要直接输入B密码连接即可。而authorized_keys文件是实现真正无密码连接,即为授权文件;当把B的公钥添加到authorized_keys文件中后,下次连接直接输入B IP即可,不需要再次输入密码

How(怎样做)

  • 在客户端A生成连接的密钥对;
[root@centos 7 .ssh]#ssh-keygen 
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): #输入一个文件名来存入key;
Enter passphrase (empty for no passphrase): #输入一个密钥保存口令,默认为空;
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
a9:da:f0:68:14:a9:a1:af:97:9e:5e:0f:b9:fa:c8:17 root@centos 7.localdomain
The key's randomart image is:
+--[ RSA 2048]----+
|                 |
|                 |
|     .           |
|  . o    .       |
| . o .  S        |
|. . E. .         |
| . o=..          |
| .++oX           |
|.=B== +          |
+-----------------+
[root@centos 7 .ssh]#ll
total 8
-rw-------. 1 root root 1679 Nov  9 11:06 id_rsa
-rw-r--r--. 1 root root  407 Nov  9 11:06 id_rsa.pub

说明:在A用ssh-keygen命令来生成用户密钥对,-t 选项表示以那种加密算法来生产密钥,默认是RSA。密钥默认放在当前用户的家目录下.ssh/目录下,分别叫id_rsa 和id_rsa.pub。可以-f选项来指定密钥的存放位置。除此之外它还让我们输入密码,这里的密码表示加密私钥的密码,所以系统默认会提示我们,如果按回车就表示生成的私钥不加密,可以用 -P(大写)选项来指定加密后私钥的密码。

  • 把客户端A生成的密钥发送到服务器B中,默认会放到.ssh/authorized_keys中,当然了可以用U盘但这里用ssh-copy-id更为方便;
[root@centos 7 .ssh]#ssh-copy-id 192.168.8.6
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@192.168.8.6's password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh '192.168.8.6'"
and check to make sure that only the key(s) you wanted were added.

说明:-i 选项可以指定公钥文件的存放位置,默认是从当前用户的家目录下的.ssh/公钥文件名称。 上述实验服务端的sshd服务是默认工作在22端口,如果没有工作在默认端口需要用-p(小写)选项来指定端口。例如:

[root@centos6 .ssh]# ssh-copy-id "-p 6020 root@192.168.8.7"

至此客户端A可以免密登录服务器了

实现多台主机相互免密登录

生产环境中有A.B.C.D多台主机如果要相互免密登录,那只需要把A主机对其余三台主机做免密登录配置,再把A主机的.ssh文件夹拷贝至B.C.D三台主机。拷贝完成后多台主机就可以实现免密登录了。

[root@centos 7 ~]#scp -rp ~/.ssh  192.168.8.6:/root/.ssh

本文结束!!

一个linux初学者
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSH Key认证
weixin_33788244的博客
07-12 117
我们ssh连接到某台linux主机时,需要输入账号密码。为了免密码登录,我们通常使用SSH Key认证的方式。原理大概如下:我们要从A主机ssh登录到B主机,通常我们在A主机上生成密钥对,然后将A主机的公钥传到B主机的某个账户家目录下的.ssh/authorized_keys文件中。比如我们需要从A主机上的root账户下用B主机的root账号来登录B主机,则需要将A主机上ro...
sshkey认证
yaweiTang的博客
01-02 546
ssh-key认证的原理就是用户将自己的公钥发送给远程主机上;登录的时候,远程主机会向用户发送一段随机字符串,用户用自己的私钥加密后,再发回来;远程主机用事先的公钥进行解密,如果成功就证明用户是可信的,直接允许登录shell,不再要求密码。 实验环境: server1 172.25.55.1 本地主机 server2 172.25.55.2 远程主机 一、key
SSHkey认证
weixin_43189623的博客
10-10 856
准备工作 下面我们先修改一端的ip为172.25.254.1 另一端类似,可自行配置,注意地址的最后一段须不同。在这里我们地址尾数为1的主机命名为1,地址尾数为2的主机命名为2 为了方便自己确认自己所处的位置,建议修改主机名以做辨别命令为: hostname set-hostname xxx   执行命令后重启shell即可看见改后的主机名。 ssh远程连接 ssh u...
ssh_key认证
weixin_30617797的博客
01-22 142
ssh认证流程步骤: 1.主机host_key认证 2.身份验证 3.身份验证通过 原理及更多知识点,请查看好友博客http://www.cnblogs.com/f-ck-need-u/p/7129122.html ------------------------------------------------------------------------------------...
SSH密匙key介绍
ProgramApeOfHeaven的博客
04-27 2288
目录一、简介二、ssh-keygen解析三、生成 一、简介 SSH 密钥对可以让您方便的登录到 SSH 服务器,而无需输入密码。SSH 密钥对总是成双出现的,一把公钥,一把私钥。公钥可以自由的放在您所需要连接的 SSH 服务器上,而私钥必须的保管好。 二、ssh-keygen解析 ssh-keygen支持两种加密模式:RSA和DSA。密钥类型可以用 -t 选项指定。如果没有指定则默认生成用于SSH-2的RSA密钥。通常,这个程序产生一个密钥对,并要求指定一个文件存放私钥,同时将公钥存放在附加了".pub"后
Linux系统中SSH服务基于key认证实践的过程
01-09
总结起来,SSH基于key认证是Linux系统中一种强大的安全机制,通过非对称加密确保远程访问的安全性。用户可以通过生成、管理和分发密钥对来替代传统的用户名口令认证,提高账户的安全防护等级,减少被恶意攻击的...
SSH原理详解.docx
最新发布
01-04
SSH 连接建立过程中生成的会话密钥就是对称密钥,该对称密钥是由客户端和服务器端基于共享的部分信息和各自的私有数据使用密钥交换算法分别生成的。因为对称加密算法加解密的速度很快,所以适用于传输大量数据的场景...
QSsh:基于Qt的SSH和SFTP库
02-05
QSsh库是用C++编写并基于Qt框架的,这意味着它具有Qt的所有优点,如跨平台兼容性、丰富的图形用户界面(GUI)组件和模型视图架构。Qt5是该库支持的版本,这表示它可以无缝地与Qt5应用程序集成,利用Qt5的新特性和...
SSH协议之QSSH库应用实例
03-22
在本文中,我们将深入探讨如何在QT环境中利用QSSH库实现SSH协议的功能,以及如何在Linux系统中进行应用。 首先,QSSH库是QT框架下实现SSH功能的一个库,它允许开发者在QT应用程序中执行远程命令、传输文件等操作。...
acegi+ssh动态实现基于角色的权限管理
08-28
本文将详细介绍如何利用Acegi安全框架(现称为Spring Security)结合SSH(Struts + Spring + Hibernate)技术栈来实现一个动态的角色权限管理系统。 #### Acegi安全框架简介 Acegi安全框架,后更名为Spring ...
[转]SSH 原理和基本使用:ssh 安全配置 以及ssh key 认证登录
weixin_34321753的博客
05-23 2289
一、什么是 SSH ?      SSH全称(Secure SHell)是一种网络协议,顾名思义就是非常安全的shell,主要用于计算机间加密传输。早期,互联网通信都是基于明文通信,一旦被截获,内容就暴露无遗。1995年,芬兰学者Tatu Ylonen设计了SSH协议,将登录信息全部加密,成为互联网安全的一个基本解决方案,迅速在全世界获得推广,目前已经成为Linux系统的标准配置。SSH的主要目...
ssh-key 密钥认证
运维那些事儿
09-25 945
第1章 ssh-key密钥认证 1.1 第一个里程碑-创建密钥对 [root@m01 ~]# ssh-keygen -t dsa Generating public/private dsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): Created directory '/root/.ssh'. Ente...
Linux/UNIX下使用ssh-keygen设置SSH无密码登录
Ph智的博客
10-12 1018
一、SSH简介     SSH是一个专为远程登录会话和其他网络服务提供安全性的协议。默认状态下SSH链接是需要密码认证的,可以通过添加系统认证(即公钥-私钥)的修改,修改后系统间切换可以避免密码输入和SSH认证。 二、公钥认证的基本思想:     对信息的加密和解密采用不同的key,这对key分别称作private key和public key,其中,public key存放在欲登录的服务器
github使用ssh密钥的好处与原因
ChenLI's blog
08-22 1万+
一直不明白为啥github要使用ssh密钥(可能是)
Mac下如何生成SSH Key-使用GitLab
weixin_30701521的博客
12-10 434
步骤1.检查是否已经存在SSH Key 打开电脑终端,输入以下命令: ls -al ~/.ssh 会出现两种情况 步骤2. 生成/设置SSH Key 继续上一步可能出现的情况 (1)情况一:终端出现文件id_rsa.pub 或 id_dsa.pub,则表示该电脑已经存在SSH Key,此时可继续输入命令: //将公钥放到剪切板 pbcopy < ~/.ssh...
SSH 秘钥Key的简介以及生成和使用
hsd2012的专栏
03-07 3万+
一、简介一、SSH key简介 要了解SSH key简介,首先得熟悉SSH,关于ssh可以参考“SSH的初步使用详解”。SSH 密钥对可以让您方便的登录到 SSH 服务器,而无需输入密码。SSH 密钥对总是成双出现的,一把公钥,一把私钥。公钥可以自由的放在您所需要连接的 SSH 服务器上,而私钥必须的保管好。1、什么是公钥登录公钥登录,很多时候也说public key认证,公钥登录的原理:首先用户
ssh登录提示RSA Host key认证失败的解决方法
热门推荐
守着阳光守着你的专栏
07-11 3万+
【问题描述】 今天用ssh命令登录一台此前连接过的服务器,失败,出现下面的错误提示 【问题分析】 从提示看,很明显,是RSA key不匹配。 根据提示查看本机/home/user/.ssh/目录下,查看有如下3只文件: id_rsa id_rsa.pub known_hosts 从文件名及查看文件内容可以看出: 1,前两个是用ssh-key
SSH服务基于key验证
海阔天空
05-22 1493
SSH  目前较可靠,专为远程登陆会话和其他网络服务提供安全性的协议。利用 SSH协议可以有效防止远程管理过程中的信息泄露问题。端口号是22。ssh客户端配置文件/etc/ssh/ssh_config。ssh服务端配置文件/etc/ssh/sshd_config。一、SSH客户端            允许实现对远程系统经验证地加密安全访问;当用户远程连接ssh服务器时,会复制ssh服务器/etc...
如何使用 ssh key 认证方式连接服务器
05-30
使用 SSH key 认证方式连接服务器,可以免去每次输入密码的麻烦,提高连接的安全性。下面是具体的步骤: 1. 生成 SSH key 首先,在本地计算机上生成 SSH key。打开终端,输入以下命令: ``` ssh-keygen -t rsa -b...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值