【Linux技术专题系列】「必备基础知识」一起探索(SSH体系下的公私密钥的介绍和使用技巧)

简介: 【Linux技术专题系列】「必备基础知识」一起探索(SSH体系下的公私密钥的介绍和使用技巧)

SSH下authorized_keys, id_rsa, id_rsa.pub, known_hosts作用


known_hosts


SSH会把你每个你访问过计算机的公钥(public key)都记录在~/.ssh/known_hosts。当下次访问相同计算机时,OpenSSH会核对公钥。如果公钥不同,OpenSSH会发出警告, 避免你受到DNS Hijack之类的攻击。我在上面列出的情况,就是这种情况



原因


一台主机上有多个Linux系统,会经常切换,那么这些系统使用同一ip,登录过一次后就会把ssh信息记录在本地的~/.ssh/known_hosts文件中,切换该系统后再用ssh访问这台主机就会出现冲突警告,需要手动删除修改known_hosts里面的内容



有以下两个解决方案:


  1. 手动删除修改known_hosts里面的内容;
  2. 修改配置文件“~/.ssh/config”,加上这两行,重启服务器。
StrictHostKeyChecking no
UserKnownHostsFile /dev/null
复制代码



优缺点


  1. 需要每次手动删除文件内容,一些自动化脚本的无法运行(在SSH登陆时失败),但是安全性高;
  2. SSH登陆时会忽略known_hosts的访问,但是安全性低;



id_rsa、id_rsa.pub


我们做对称加密或是非对称加密:都需要公钥和私钥。

  • 公钥其实就是:id_rsa.pub:我们的客户端公钥上传到服务器,然后再把这个客户端公钥添加到authorized_keys。
  • 添加公钥后,服务器就会认为你这个客户端为可信任。你则可以访问这个服务器了。但是必须要有私钥


获取id_rsa.pub


密钥形式登录的原理是:利用密钥生成器制作一对密钥——一只公钥和一只私钥。将公钥添加到服务器的某个账户上,然后在客户端利用私钥即可完成认证并登录。这样一来,没有私钥,任何人都无法通过SSH暴力破解你的密码来远程登录到系统。此外,如果将公钥复制到其他账户甚至主机,利用私钥也可以登录。


下面来讲解如何在Linux服务器上制作密钥对,将公钥添加给账户,设置SSH,最后通过客户端登录。



制作密钥对


首先在服务器上制作密钥对。首先用密码登录到你打算使用密钥登录的账户,然后执行以下命令:

[root@host ~]# ssh-keygen  <== 建立密钥对
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): <== 按 Enter
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase): <== 输入密钥锁码,或直接按 Enter 留空
Enter same passphrase again: <== 再输入一遍密钥锁码
Your identification has been saved in /root/.ssh/id_rsa. <== 私钥
Your public key has been saved in /root/.ssh/id_rsa.pub. <== 公钥
The key fingerprint is:
0f:d3:e7:1a:1c:bd:5c:03:f1:19:f1:22:df:9b:cc:08 root@host
复制代码


密钥锁码在使用私钥时必须输入,这样就可以保护私钥不被盗用。当然,也可以留空,实现无密码登录。


现在,在root用户的家目录中生成了一个.ssh的隐藏目录,内含两个密钥文件。id_rsa为私钥,id_rsa.pub为公钥。



在服务器上安装公钥


键入以下命令,在服务器上安装公钥:

[root@host ~]# cd .ssh
[root@host .ssh]# cat id_rsa.pub >> authorized_keys
复制代码


如此便完成了公钥的安装。为了确保连接成功,请保证以下文件权限正确:

[root@host .ssh]# chmod 600 authorized_keys
[root@host .ssh]# chmod 700 ~/.ssh
复制代码


  1. 设置SSH,打开密钥登录功能

编辑修改 /etc/ssh/sshd_config文件,进行如下设置:

cp /etc/ssh/sshd_config sshd_config_bk} #备份配置文件
sed -i 's@#Port 22@Port 22@' /etc/ssh/sshd_config #保证原来22端口可以
vi /etc/ssh/sshd_config
复制代码
RSAAuthentication yes
PubkeyAuthentication yes
复制代码



另外,请留意root用户能否通过SSH登录:

PermitRootLogin yes
复制代码

当你完成全部设置,并以密钥方式登录成功后,再禁用密码登录:

PasswordAuthentication no
复制代码

最后,重启SSH服务:

[root@host .ssh]# service sshd restart
复制代码




authorized_keys


就是为了让两个linux机器之间使用ssh不需要用户名和密码。采用了数字签名RSA或者DSA来完成这个操作



案例分析


  • A 服务器(192.168.10.11)为客户机器
  • B 服务器(192.168.20.10)为目标机


要达到的目的:


  • A机器ssh登录B机器无需输入密码;加密方式选 rsa|dsa均可以,默认dsa
  • 单向登陆的操作过程(能满足上边的目的):
  1. 登录A机器
  2. ssh-keygen -t [rsa|dsa],将会生成密钥文件和私钥文件 id_rsa,id_rsa.pub或id_dsa,id_dsa.pub
  3. 将 id_dsa.pub 文件复制到B机器的root或者home下面用户的.ssh目录, 并·cat id_dsa.pub >> ~/.ssh/authorized_keys·
  4. 大功告成,从A机器登录B机器的目标账户,不再需要密码了;(直接运行 #ssh 192.168.20.60 )



双向登陆的操作过程:


  1. ssh-keygen做密码验证可以使在向对方机器上ssh ,scp不用使用密码.具体方法如下:
  2. 两个节点都执行操作:#ssh-keygen -t rsa,然后全部回车,采用默认值.
  3. 这样生成了一对密钥,存放在用户目录的~/.ssh下。
  4. 将公钥考到对方机器的用户目录下,并将其复制到~/.ssh/authorized_keys中(操作命令:#cat id_dsa.pub >> ~/.ssh/authorized_keys)。




相关文章
|
1天前
|
安全 Linux KVM
Linux虚拟化技术:从Xen到KVM
Xen和KVM是Linux平台上两种主要的虚拟化技术,各有优缺点和适用场景。通过对比两者的架构、性能、安全性、管理复杂性和硬件依赖性,可以更好地理解它们的适用场景和选择依据。无论是高性能计算、企业虚拟化还是云计算平台,合理选择和配置虚拟化技术是实现高效、稳定和安全IT环境的关键。
21 8
|
3月前
|
安全 Linux 网络安全
Linux端的ssh如何升级?
Linux端的ssh如何升级?
351 59
|
1月前
|
监控 Ubuntu Linux
使用VSCode通过SSH远程登录阿里云Linux服务器异常崩溃
通过 VSCode 的 Remote - SSH 插件远程连接阿里云 Ubuntu 22 服务器时,会因高 CPU 使用率导致连接断开。经排查发现,VSCode 连接根目录 ".." 时会频繁调用"rg"(ripgrep)进行文件搜索,导致 CPU 负载过高。解决方法是将连接目录改为"root"(或其他具体的路径),避免不必要的文件检索,从而恢复正常连接。
|
2月前
|
Linux 虚拟化
Vmware 傻瓜式安装(不可不知道的Linux基础知识和技术 01)
本文介绍了VMware虚拟机的下载与安装步骤。首先,通过提供的网盘链接下载VMware安装包。接着,详细描述了安装流程,包括接受协议、选择安装路径(建议避免系统C盘)、取消更新选项等。最后,输入许可证密钥完成安装,并展示了打开虚拟机后的主界面。整个过程简单易懂,适合新手操作。
163 1
|
3月前
|
安全 Linux Android开发
Linux CFI (Control-flow integrity)技术相关资料汇总
Linux CFI (Control-flow integrity)技术相关资料汇总
|
4月前
|
机器学习/深度学习 存储 Linux
【机器学习 Azure Machine Learning】使用VS Code登录到Linux VM上 (Remote-SSH), 及可直接通过VS Code编辑VM中的文件
【机器学习 Azure Machine Learning】使用VS Code登录到Linux VM上 (Remote-SSH), 及可直接通过VS Code编辑VM中的文件
|
4月前
|
安全 网络协议 Linux
在Linux中,什么是SSH,并且如何使用它?
在Linux中,什么是SSH,并且如何使用它?
|
4月前
|
存储 监控 Linux
在Linux中,如何进行虚拟化技术的应用?
在Linux中,如何进行虚拟化技术的应用?
|
4月前
|
监控 安全 Ubuntu
在Linux中,如何进行SSH服务配置?
在Linux中,如何进行SSH服务配置?
|
4月前
|
Linux 网络安全
Linux开启ssh
Linux开启ssh
46 0