SSH协议密钥认证

已于 2024-12-10 17:50:55 修改
阅读量1.6k 收藏 24
点赞数 29
文章标签: ssh 服务器 运维 测试工具 网络安全
于 2024-12-10 17:30:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangsen0/article/details/144376902
版权

 ssh密钥认证技术背景

         SSH协议密钥认证:SSH 协议支持使用密钥方式认证,正确的使用完全可以替代密码登录,达到既便捷又安全的目标。SSH 的密钥认证是基于非对称加密算法的认证方式,其使用数字签名校验替代密码比对实现用户认证,算法安全性由非对称加密算法本身决定,密钥一般随机生成长度远大于人工可以记忆或有限时间能够枚举的数据长度,从理论上难于被暴力破解。

 测试环境

        下面我将使用windows10系统和kali系统演示ssh协议密钥认证实现的过程。

        window 10(IP:192.168.56.1)系统作为客户端,

        kali(IP:192.168.56.3)系统作为ssh要连接的服务器。

        使用密钥认证登录 SSH 服务,首先要在客户端电脑上生成 SSH 密钥对。在 Linux、MacOS、BSD、Windows 10/11 主机上,我们使用 OpenSSH中的 ssh-keygen 工具完成这件工作。

进入windows电脑的.ssh目录,按住shift,同时鼠标右键打开"在此处打开powershell窗口。

生成密钥文件

输入ssh-keygen(会提示键值对保存的位置,密钥文件的密码123456,如果不设置密码可以实现免密登录):

查看已经生成了密钥对:id_ed25519(私钥)和id_ed25519.pub(公钥),采用加密算法为ED25519 。

        默认情况下,ssh-keygen 将为用户生成 RSA 算法的密钥对,长度为 3072 位。生成密钥时,会提示用户提供密码对私钥加密,不同于用户口令,这个密码仅在本地使用,用于防止私钥泄漏。当然,如果对自己电脑安全完全有信心,私钥也可以不加密存放(不建议)。工具ssh-keygen一般不需要添加参数运行,根据 Linux系统安全理念,成熟的发行版本应实现默认即安全,即用默认参数运行时就能获得安全的结果。需要注意的是,生成的密钥对中,~/.ssh/id_ed25519.pub 是公钥,无需保密;~/.ssh/id_ed25519 是私钥,要时刻保密,不能与他人分享。如果有多台电脑需要访问服务器,应该在每台电脑上使用上述过程生成自己的独立密钥对,而不是将私钥复制到每台电脑上。

        从文件名称可以看出,我们生成的是ed25519密钥,我们也可以选择其他算法,从而生成其他类型的密钥文件,但是我们在生成秘钥时并未指定算法类型,所以,默认生成了ED255129类型的密钥,现在大家都在版本2的ssh协议,在版本2的ssh协议中我们可以使用的密钥类型有: "dsa", "ecdsa", "ed25519", "rsa"。

如下:使用-t生成其他类型的密钥对:

ssh-keygen -t dsa

 将公钥文件导入到要连接的服务器

         我们已经拥有了自己的私钥与公钥,但是,我们并没有把公钥交给任何人,所以,其他人还无法利用我们的公钥对我们进行认证。 比如,我们需要在window10客户端(IP192.168.56.1)连接kali系统的root用户(IP192.168.56.3)。

        下一步是将生成的公钥使用ssh-copy-d命令发送到kali机器中,centos6中要在“”添加用户名主机名:

        (OpenSSH 服务器在默认情况下已经支持密钥登陆,只要我们将生成的公钥内容添加到服务器指定位置,即可开始使用密钥认证方式。上传公钥到服务器有两种方法,一种是使用 ssh-copy-id 命令自动完成(推荐),也可以手动添加。使用 ssh-copy-id 时,命令行参数与使用 ssh 命令登陆服务器完全相同,直接运行。)

windows命令行powershell中,无法使用ssh-copy-id解决方法(直接复制到powershell中运行:

function ssh-copy-id([string]$userAtMachine, $args){   
    $publicKey = "$ENV:USERPROFILE" + "/.ssh/id_rsa.pub"
    if (!(Test-Path "$publicKey")){
        Write-Error "ERROR: failed to open ID file '$publicKey': No such file"            
    }
    else {
        & cat "$publicKey" | ssh $args $userAtMachine "umask 077; test -d .ssh || mkdir .ssh ; cat >> .ssh/authorized_keys || exit 1"      
    }
}

kali中已经可以查看上传的公钥信息,在authorized.keys文件中。

使用密钥文件登录服务器

使用ssh root@192.168.56.3 -i id_rsa  登录到kali系统中,按照提示输入密钥文件的密码123456。

另外,也可以手工将公钥文件上传到要连接的服务器中:

cat ~/.ssh/id_rsa.pub | ssh username@server_address "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys && chmod -R go-rwx ~/.ssh"

        命令执行成功时,除了服务器用户认证时输入密码的提示,不会有其它提示。
        在服务器上,授权的用户公钥保存于~/.ssh/authorized_keys文件中,上述命令做了三件事 ,一是如果~/.ssh 目录不存在,则创建它;二是将公钥保存在~/.ssh/authorized_keys 文件中;三是修正存放密钥的目录的权限,确保用户以外无人可以访问其中内容。这也是ssh-copy-id 实际完成的工作。

        在centos6与centos7中,使用ssh-copy-id指定sshd服务器端口的方法略有不同,假设对方sshd服务器端口号为22222,示例如下

当前系统为centos6:

ssh-copy-id -i ~/.ssh/id_rsa.pub "zsy@192.168.0.221 -p 22222"

当前系统为centos7:

ssh-copy-id -i ~/.ssh/id_rsa.pub zsy@192.168.0.221 -p 22222

关闭密码登录功能:

        密钥登陆设置成功后,我们建议关闭密码登陆方式,防止外部暴力破解攻击。关闭密码登陆可以通过编辑 SSH 服务端配置文件完成。使用常用编辑器打开/etc/ssh/sshd_config 文件(需要管理员 root权限)。

vi /etc/ssh/sshd_config
#PasswordAuthentication yes
改为
PasswordAuthentication no

#重启ssh服务
 systemctl reload sshd
#或者
service sshd reload

相关命令总结:

ssh-keygen
#上述命令表示在完全交互的模式下生成密钥对

ssh-keygen -f /testdir/test/id_rsa
#上述命令表示在/testdir/test目录下生成私钥id_rsa以及对应的公钥,-f选项表示直接指定密钥生成位置以及密钥的名称,但是还是会交互式的提示用户为私钥设置密码,自定义密钥生成位置与名称后,在使用ssh命令连接到对应主机时,可以使用-i选项指定对应的密钥,比如:
ssh -i /testdir/id_rsa_zsy_testkey zsy@192.168.50.50

ssh-keygen -P '123456' -f /testdir/test/id_rsa
#上述命令表示在/testdir/test目录下生成私钥id_rsa以及对应的公钥,并且为将私钥的密码设置为123456,-P (大写P)表示指定私钥的密码,上述命令不会进入交互模式,所以用户不用输入任何信息即可生成密钥对,如果想要生成没有密码的私钥,只需要将 -P '123456' 改为 -P '' 即可。

ssh-keygen -f /testdir/test/id_rsa -p
#上述命令表示为私钥设置新密码,-p(小写p)表示为私钥设置新密码,无论私钥原来是否有密码,都可以使用此命令对私钥设置新密码,输入上述命令后,会进入交互模式,如果原来私钥没有密码,则会直接提示输入新密码,即为私钥添加密码,如果私钥原来就有密码,则会提示先输入老密码,再提示输入新密码,即为修改私钥密码,如果私钥原来就有密码,现在想要取消原来的密码,只需要在提示输入新密码时直接回车即可。

ssh-keygen -t dsa -P '' -f /testdir/test/id_dsa
#上述命令表示生成dsa类型的密钥对,-t选项表示指定密钥的类型,即指定算法,版本2的ssh协议可以指定的密钥类型有 "dsa", "ecdsa", "ed25519", "rsa"

ssh-keygen -t rsa -b 1024 -P '' -f /testdir/test/id_rsa
#上述命令表示生成1024位长的密钥,-b用于指定密钥的位数。

ssh-keygen -f /testdir/test/id_rsa -y
#上述命令表示根据私钥生成对应的公钥,-y选项表示根据私钥生成对应的公钥,生成的公钥会打印在屏幕中,我们可以使用重定向生成公钥文件。
ssh-keygen -f /testdir/test/id_rsa -y > id_rsa.pub
#如果私钥有密码,则需要在生成公钥是提供密码,用户需要在交互式模式中输入密码,如果不想使用交互式输入密码,可以使用-P选项(大写P)提供密码。

ssh-copy-id -i ~/.ssh/id_rsa.pub zsy@10.1.0.3
#将公钥加入到指定账户的认证文件中
#当ssh服务器未使用默认端口号时,使用如下命令
centos6中:ssh-copy-id -i ~/.ssh/id_rsa.pub "zsy@10.1.0.3 -p 22222"
centos7中:ssh-copy-id -i ~/.ssh/id_rsa.pub zsy@10.1.0.3 -p 22222

#-i 选项用于指定公钥文件
#- p 选项用于指定ssh服务器的端口号

zhangsen0
关注
SSH免密登录(秘钥)验证
dsq_MaDing的博客
01-30 1058
远程服务器SSH免密登录
ssh服务器--密钥认证
weixin_46595570的博客
09-28 446
使用client的xiaoming用户基于秘钥认证方式通过端口2000使用ssh登录server端的xiaoming用户和xiaohei用户,server端的其他用户都不可被远程登录。 准备 挂载,配置yum源,关闭防火墙,selinux(服务端) 安装ssh包 yum install -y openssh-server 安装此包 配置 server端 [root@server ~]# useradd xiaoming 创建用户 [root@server ~]# use..
ssh 秘钥登录步骤及原理
qq_41917355的博客
10-19 2255
SSH 密钥登录通过公钥加密算法实现安全的身份认证,消除了使用密码的安全风险。密钥对中的公钥存储在服务器上,而私钥则保存在客户端,并在每次登录时用于完成加密认证过程。
配置SSH密钥
最新发布
zUstinianx的博客
03-20 902
SSH 密钥基于非对称加密技术,它使用一对密钥:公钥和私钥。公钥可以公开分享,而私钥必须严格保密,只有拥有相应私钥的用户才能解密并成功通过验证,从而建立安全连接。:用于生成、管理和转换 SSH 认证密钥的工具。通常用于创建新的SSH密钥对或修改现有的密钥。(2)打开Git Bash,在home目录下,创建一个克隆代码文件的地址。RSA是一种常用的非对称加密算法,广泛应用于SSH密钥认证。(3)运行命令,显示已打开,说明密钥配置成功。参数指定了要创建的密钥类型,而。第八步:配置全局的用户名和邮箱。
在Windows系统上生成SSH秘钥
m0_65520060的博客
08-01 3952
ssh-keygen -t rsa -b 4096 -C "你自己的邮箱"
SSH密钥认证
m0_75203390的博客
12-26 535
密钥认证:也叫免密码登录,也叫双向互信。锁头:公钥:id_dsa.pub。钥匙:私钥:id_dsa。
Ssh秘钥认证
Li3385211249的博客
12-03 1065
Ssh秘钥认证注:秘钥是由双方主机的用户级来认证的1.客户端/服务端使用命令ssh-keygen -trsa创建密钥对2.使用ssh-copy-id 目标主机可登录用户@目标主机IP3. 连接访问验证注:只有创建密钥对的用户和接受秘钥对的用户可以使用秘钥验证,其他用户仍是正常的密码认证 ssh命令——远程安全登录·格式:ssh[-f] user@host【远端指令】scp命令——远程安全复制·格式1 : scp user@host:file1 file2将目标主机文件复制到本地·格式2 : scp f
【如何使用SSH密钥验证提升服务器安全性及操作效率】(优雅的连接到自己的linux服务器
热门推荐
qq_41308872的博客
04-29 1万+
本文介绍了如何通过SSH密钥验证提升服务器安全性,以及操作步骤和技巧。从生成密钥对到配置服务器,再到登录操作,逐步讲解,旨在帮助读者理解密钥验证原理,提升系统安全性,同时提高操作效率
SSH密钥认证登陆流程(Vscode连接到远程)
简简单单的学习笔记,致力于帮助更多前进路上的朋友~
02-18 3385
SSH密钥认证登陆流程,并采用Vscode连接到远程。
SSH密钥认证登录.doc
03-09
SSH密钥认证SSH安全机制的一种,它利用非对称加密技术来验证客户端的身份,从而无需每次登录时输入密码。 在SSH密钥认证过程中,涉及到两把密钥:公钥(public key)和私钥(private key)。公钥是可以公开的部分...
SSH基于密钥认证的原理
yihuoZhou的博客
05-08 4204
SSH的体系结构图如下:     传输层协议(The Transport Layer Protocol)提供服务器认证,数据机密性,信息完整性 等的支持;     用户认证协议(The User Authentication Protocol) 则为服务器提供客户端的身份鉴别;     连接协议(The Connection Protocol) 将加密的信息隧道复用成若干个逻辑通道,提
SSH密钥登录
04-29
因此,一种更为安全且便捷的认证方式——SSH密钥认证应运而生。本文将详细介绍如何设置SSH密钥登录,并提供一个实用的配置实例。 #### 二、SSH密钥登录原理 SSH密钥登录基于公钥加密技术实现。具体来说,用户首先...
如何在Linux中配置基于密钥认证SSH(转载)1
08-03
为了在Linux上配置基于密钥认证SSH,首先你需要生成SSH密钥对。在本地系统上,可以运行`ssh-keygen`命令来生成默认为2048位的RSA密钥对。在执行该命令时,系统可能会提示输入一个密码或passphrase,这有助于增加...
上位机知识篇---SSH&SCP&密钥密钥
道阻且长,行则将至。
02-12 1271
以上就是今天要讲的内容,本文仅仅简单介绍了SCP、SSH密钥密钥对。SCP:用于安全地复制文件,支持目录和压缩传输。SSH:用于安全地远程登录和执行命令,支持端口转发和密钥认证。两者都基于SSH协议,确保数据传输的安全性。密钥对:由公钥和私钥组成,用于非对称加密。生成密钥对:使用ssh-keygen 生成RSA或ED25519密钥对。使用密钥对:将公钥添加到远程主机,使用私钥进行SSH登录或Git操作。密钥管理:备份、更改密码、删除或替换密钥对。通过密钥认证,可以提高。
SSH 协议基于秘钥认证过程
Walker-C
01-08 1161
文章目录SSH 协议基于秘钥认证过程一、总述二、认证过程 SSH 协议基于秘钥认证过程 一、总述 SSH是 Secure SHell protocol 的简写,它是一种在不安全网络上提供安全远程登录及其它安全网络服务的协议。 二、认证过程 如:下图展示了SSH基于秘钥认证的配置过程(黑色字体)和工作过程(绿色字体)。其中配置过程可以参考这篇博客配置过程部分的步骤1,2,4,下面阐述使用SSH基于秘钥登录的工作过程: 主机A向主机B发送登录请求; 主机B检查自己的./ssh/authorized_key
设置SSH密钥认证
m0_64142366的博客
10-26 344
执行该命令后,它会提示您输入保存密钥的位置和密码(这里可以选择回车跳过设置密码)。默认情况下,公钥会被保存在。如果这是您第一次运行此命令,系统可能会提示您输入远程用户的密码。成功后,下次再从连接到。如果一切正常,您应该能够立即登录而无需输入密码。这一步骤会将您的公钥添加到远程主机上的。时就不需要输入密码了。
SSH密钥验证
banzhi2663的博客
02-14 171
基于密钥验证 1. 在客户端生成密钥对 可以先进入用户的.ssh 目录 cd ~/.ssh ssh-keygen -t rsa [-P '' ] [-f "~/.ssh/id_rsa"] 2 . 把公钥文件传输至远程服务器对应用户的家目录 ssh-copy-id [ -i [identity_file]] [user@]host_ip //第一次传输需要输入远...
SSH的key认证
weixin_43189623的博客
10-10 946
准备工作 下面我们先修改一端的ip为172.25.254.1 另一端类似,可自行配置,注意地址的最后一段须不同。在这里我们地址尾数为1的主机命名为1,地址尾数为2的主机命名为2 为了方便自己确认自己所处的位置,建议修改主机名以做辨别命令为: hostname set-hostname xxx   执行命令后重启shell即可看见改后的主机名。 ssh远程连接 ssh u...
ssh密钥认证
kittyicd的博客
12-21 480
ips="10.110.13.45" #ip 列表 两个IP间用空格。action "$ip 公钥分发 失败" /bin/false。action "$ip 公钥分发 成功" /bin/true。action "密钥创建失败" /bin/false。action "密钥创建成功" /bin/true。#1.5 加入判断sshpass命令是否存在,如果不存在则安装。#desc: 一键创建秘钥对 分发秘钥对。echo "正在创建秘钥对...."echo "已经创建过秘钥对"#3.通过循环发送公钥。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值