烂泥:学习ssh之ssh无密码登陆

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:

最近一个月没有写过文章,主要是刚刚换的新工作。新公司服务器OS使用的是ubuntu server版,和以前熟悉的centos还是有很多不同的。

刚好这几天有时间,也是工作需要,学习了下有关ssh密钥的知识。

在平时的工作中,我们登陆服务器,一般是使用ssh密码的方式。其实还有一种方式,那就是通过ssh密钥登陆服务器。

这两种方法都是ssh的安全验证方式,,根据验证方式的不同我们把其分为:基于密码的安全验证和基于密钥的安全验证。

注意:在一些文章中提到的ssh证书,其实就是ssh密钥。

一、ssh两种安全验证介绍

通过以上介绍,我们知道了ssh有两种安全验证方式,下面我们一一介绍其工作原理。

1.1 基于密码的安全验证

这种方式,只需要知道远程服务器的帐号和密码,就可以登录到远程服务器。所有传输的数据都会被加密,但是不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器,也就是说这种方式的连接有可能会受到“中间人”这种方式的攻击。

1.2 基于密钥的安全验证

这种方式,需要依靠密钥,也就是说你必须为自己创建一对密钥对(公钥和私钥),并且把该公钥放到需要访问的服务器上。

注意:不能在需要访问的服务器上创建密钥,否则无法通过该密钥连接该服务器,但是通过该密钥连接其他服务器是正常的。

如果你要连接到ssh服务器,ssh客户端会向ssh服务器发出请求,请求用你的密钥进行安全验证。ssh服务器在收到该请求之后,会先在ssh服务器上,检查你登陆的用户的主目录下寻找对应的公钥,然后把它和你发送过来的公钥进行比较。如果两个公钥一致,ssh服务器就用公钥加密“质询”(challenge)并把它发送给ssh客户端。ssh客户端在收到“质询”之后就可以用你的私钥解密该“质询”,再把它发送给ssh服务器。

这种安全验证方式,你必须知道自己密钥的加密口令。当然,自己的密钥也可以不加密,而且这种不加密密钥的方式,在平时工作中使用的也比较多。

通过以上对比,我们可以很容易看出。与基于密码的安全验证相比,基于密钥的安全验证是不需要在网络上传输密码。除此之外,我们还可以看出,“中间人”这种攻击方式也是不可能的(因为他没有你的私钥)。

二、测试ssh无密码登陆

在第一章中我们介绍了,ssh的两种安全验证方式。要达到ssh无密码登陆服务器,我们就要使用ssh密钥验证这种方式。

PS:本次试验OS为Ubuntu 14.04.02 64bit,如下:

uname –a

cat /etc/issue

clip_image001[5]

2.1创建ssh密钥

通过第一章我们知道了,要使用ssh密钥验证。我们必须要创建一个ssh密钥对。

ssh密钥的创建,我们可以有两种方式。第一就是在linux OS上通过ssh-kengen这个命令来创建,第二就是在windows下通过ssh客户端工具来创建。

下面我们对其创建密钥的方法一一进行介绍,如下。

2.1.1 通过ssh-kengen命令创建密钥

使用ssh-kengen命令创建ssh密钥很简单,直接使用该命令创建即可。如下:

ssh-keygen

clip_image002[4]

通过上图,我们可以很明显的看出刚刚新创建的密钥存放在/home/ilanni/.ssh目录下,而且私钥文件是id_rsa,公钥文件是id_rsa.pub

除此之外,我们还需要注意ssh-kengen命令中:

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

这两行是表示设置私钥的加密密码,我们在此是没有设置私钥的加密密码。

现在我们来查看密钥的文件属性,如下:

ll .ssh/

clip_image003[4]

通过上图,我们可以很明显的看出:

.ssh目录的用户权限是700,私钥id_rsa的权限是600,公钥id_rsa.pub的权限是644。

注意:有关私钥id_rsa和公钥id_rsa.pub文件权限非常重要,如果权限没有设置对的话,在使用ssh密钥登陆时,系统还是会提示需要输入密码。

ssh-keygen默认使用的密钥加密类型是rsa,这个我们可以通过查看公钥文件id_rsa.pub得知。如下:

cat .ssh/id_rsa.pub

clip_image004[4]

如果要使用其他类型的加密方式,我们可以通过ssh-keygen的-t参数来指定使用的加密类型。如下:

ssh-keygen -t dsa

clip_image005[4]

cat .ssh/id_dsa.pub

clip_image006[4]

有关ssh-kengen命令的详细使用方法,我们可以通过查看ssh-kengen的帮助命令获得。如下:

ssh-keygen --help

clip_image007[4]

注意:该密钥是在192.168.1.8机器上生成的,如下:

hostname

ifconfig

clip_image008[4]

2.1.2 通过xshell创建密钥

windows下ssh客户端的连接工具比较多,但是我使用最多的还是xshell这个工具。

下面我们就通过xshell工具,来创建ssh的密钥。

打开xshell,点击“工具”--“新建用户密钥生成向导”,如下:

clip_image009[4]

下面这个界面,我们可以选择密钥的类型和密钥的长度,如下:

clip_image010[4]

生成密钥对,如下:

clip_image011[4]

输入密钥名称以及密钥的加密密码,如下:

clip_image012[4]

注意:这个密钥的加密密码就是ssh私钥的加密密码,我们可以为空。

为了下面试验区分通过ssh-kengen生成的密钥id_rsa,在此密钥的名称我们命名为id_rsa_1024。

生成公钥,如下:

clip_image013[4]

公钥生成后,我们需要把该公钥保存到一个文件中。如下:

clip_image014[4]

公钥保存完毕后,xshell就会跳转到私钥的界面。如下:

clip_image015[4]

通过上图,我们可以看到目前私钥的名称就是我们前面命名的id_rsa_1024,而且密钥的长度是1024字节。

现在我们来导出该私钥,如下:

clip_image016[4]

这样我们就得到了一对ssh密钥,如下:

clip_image017[4]

2.2 上传ssh公钥

在2.1章节中,我们已经创建好了ssh的公钥与私钥,现在我们开始把公钥上传到需要被访问的服务器上,即ssh服务器上。

在把公钥上传到ssh服务器上,我们还有几件事要做:

1)、确定要登陆ssh服务器的用户

2)、修改ssh服务器的ssh配置文件sshd_config

3)、创建authorized_keys文件

4)、上传公钥并把内容重定向到authorized_keys文件

注意:本章节是在192.168.1.7机器上操作,如下:

hostname

ifconfig

clip_image018[4]

2.2.1 确定要登陆ssh服务器的用户

因为我们是要免密码登陆ssh服务器,所以我们必须要确定使用哪一个用户登陆ssh服务器。

注意:该用户一定要在ssh服务器存在,并且是可以登陆ssh服务器的。

在此我们使用的是ilanni这个用户登陆ssh服务器的。如下:

whoami

cat /etc/passwd |grep ilanni

clip_image019[4]

2.2.2 修改ssh配置

ssh存放用户登陆的公钥是通过sshd_config文件配置的,但是默认该选项是没有启用的。需要我们通过修改sshd_config文件来启用,如下:

sudo vi /etc/ssh/sshd_config

clip_image020[4]

我们只需要把#AuthorizedKeysFile %h/.ssh/authorized_keys行前的#去掉即可。如下:

clip_image021[4]

AuthorizedKeysFile存放该用户可以用来登录的RSA/DSA公钥。该指令中%h表示用户的主目录,最后公钥会存放到主目录的.ssh/authorized_keys文件中。

注意:这个步骤不是必须的,因为通过ssh-copy-id命令进行配置时,就无需修改ssh配置文件。

2.2.3 创建authorized_keys文件

在上一章节中,我们知道了用户的公钥是存放在authorized_keys文件中的,现在我们来创建该文件。

先创建.ssh目录并修改其用户属性,如下:

mkdir .ssh

chmod 700 .ssh

clip_image022[4]

.ssh目录创建完毕后,我们现在来创建authorized_keys文件。如下:

touch authorized_keys

clip_image023[4]

2.2.4 把公钥内容重定向到authorized_keys文件

在2.1章节中,我们介绍了ssh密钥的生成方法。一是通过ssh-kengen命令生成,二是通过xshell生成。

我们现在把这两个公钥都上传到192.168.1.7机器上,然后重定向到authorized_keys文件中。如下:

clip_image024[4]

把192.168.1.8公钥复制到192.168.1.7机器上,如下:

scp .ssh/id_rsa.pub ilanni@192.168.1.7:/home/ilanni

clip_image025[4]

把xshell生成的公钥上传到192.168.1.7上,如下:

clip_image026[4]

现在把两个公钥都重定向到authorized_keys文件,如下:

cat id_rsa.pub >.ssh/authorized_keys

cat id_rsa_1024.pub>>.ssh/authorized_keys

cat .ssh/authorized_keys

clip_image027[4]

2.3 连接ssh服务器

公钥上传完毕后,我们来连接ssh服务器,也就是连接192.168.1.7机器。

连接192.168.1.7,我们也可以分为linux和windows,下面对其连接方法一一讲解。

2.3.1 在linux上连接ssh服务器

我们先在linux机器192.168.1.8上连接192.168.1.7,如下:

ssh ilanni@192.168.1.7

ifconfig eth0|grep "inet addr"|awk '{print $2}'|cut -d: -f2

clip_image028[4]

通过上图,我们可以很明显的看出在192.168.1.8上连接192.168.1.7时,系统没有提示我们输入密码。

这也就实现了,我们免密码登陆ssh服务器的功能。

2.3.2 在windows上连接ssh服务器

我们现在切换到windows系统上,来连接192.168.1.7。 ssh客户端工具,我们使用的还是xshell,还是在生成密钥的那台windows机器上。如下:

ssh ilanni@192.168.1.7

clip_image029[4]

注意:用户身份验证方法,在此我们需要选择的是Public Key也就是密钥验证方式,并且用户密钥就是我们前面生成时的密钥时的私钥id_rsa_1024。

clip_image030[4]

通过上图,我们可以很明显的看到在windows客户端连接192.168.1.7,系统也没有要求我们输入密码,这也就实现了ssh的无密码登陆。

2.4 使用ssh-copy-id上传ssh公钥

看了第2.2章节有关上传ssh公钥,你是不是觉得很麻烦。其实ssh还给我们提供了另外一个命令ssh-copy-id,ssh-copy-id命令可以把上述的步骤一次性执行完毕。

注意:ssh-copy-id命令只存在于linux系统中,目前没有发现windows系统的ssh客户端工具有该命令。

ssh-copy-id命令使用方法,如下:

ifconfig eth0|grep "inet addr"|awk '{print $2}'|cut -d: -f2

ssh-copy-id -i .ssh/id_rsa.pub ilanni@192.168.1.9

clip_image031[4]

cat .ssh/id_rsa.pub

clip_image032[4]

登陆192.168.1.9,查看公钥。如下:

ifconfig eth0|grep "inet addr"|awk '{print $2}'|cut -d: -f2

ll --full-time .ssh/

clip_image033[4]

cat .ssh/authorized_keys

clip_image034[4]

通过以上两张截图,我们很明显的看出,使用ssh-copy-id命令可以直接在ssh服务器对应用户的家目录下创建.ssh目录,并且在该目录下创建authorized_keys文件。同时也会把公钥id_rsa.pub文件中的内容,复制到authorized_keys文件中。

查看ssh配置文件是否修改。如下:

cat /etc/ssh/sshd_config |grep authorized_keys

clip_image035[4]

通过上图,我们可以很明显的看出ssh-copy-id没有修改ssh配置。

现在我们来连接192.168.1.9测试下,如下:

ifconfig eth0|grep "inet addr"|awk '{print $2}'|cut -d: -f2

ssh ilanni@192.168.1.9

clip_image036[4]

通过上图,我们可以很明显的看到即使不修改ssh的配置文件,只要有authorized_keys文件,也能实现ssh的无密码登陆。

有关ssh-copy-id详细的使用方法,可以查看其帮助命令。如下:

ssh-copy-id -h

clip_image037[4]

以上就是有关ssh无密码登陆的全部内容。


本文转自 烂泥行天下 51CTO博客,原文链接:http://blog.51cto.com/ilanni/1651103

相关文章
|
7月前
|
消息中间件 安全 Unix
SSH配置多台服务器之间的免密登陆以及登陆别名
SSH配置多台服务器之间的免密登陆以及登陆别名
216 1
|
7月前
|
弹性计算 算法 安全
SSH学习(一)- 概念了解
整体上对SSH协议进行一个概括了解。
372 3
|
7月前
|
Linux 网络安全
CentOS7服务器SSH登陆时自动显示服务器基础信息
CentOS7服务器SSH登陆时自动显示服务器基础信息
172 0
|
2月前
|
安全 Shell Linux
ssh密码忘记了怎么办
通过上述措施,不仅能够有效应对SSH密码遗忘的挑战,还能全方位加固SSH连接的安全,确保数据传输的无忧。
76 2
|
4月前
|
安全 Shell 网络安全
告别繁琐密码,一键解锁GitHub高效秘籍!SSH配置大揭秘,让你的代码托管之旅飞起来!
【8月更文挑战第4天】在使用GitHub时,频繁输入账号密码颇为不便。采用SSH协议可提升安全性并简化流程。本文以问答形式指导你快速配置GitHub SSH:了解SSH优势、学会生成与添加SSH密钥及测试连接。通过简单的步骤,即可实现无缝代码推送与拉取,享受高效、安全的开发体验。记得保护好私钥并根据需要设置多个密钥对。
74 7
|
4月前
|
安全 Linux Shell
Linux系统之间实现免密码登录(SSH无密码登录
【8月更文挑战第21天】要在Linux系统间实现SSH免密码登录,需先在源机器生成SSH密钥对,然后将公钥复制到目标机器的`.ssh/authorized_keys`文件中。可通过`ssh-keygen`命令生成密钥,并使用`ssh-copy-id`命令传输公钥。最后测试SSH连接,确保能无密码登录。若目标机器缺少相关目录或文件,需手动创建并设置适当权限。完成这些步骤后,即可实现安全便捷的免密码登录。
199 0
|
6月前
|
安全 Linux Shell
SSH服务器拒绝密码登录的解决方法
SSH服务器拒绝密码登录的解决方法
1533 1
|
5月前
|
网络安全 数据安全/隐私保护
服务器密码登录出现了:SSH connection failed: connect ECONNREFUSEDxxxxxxxx:22 * Xshell提示 SSH connection fa
服务器密码登录出现了:SSH connection failed: connect ECONNREFUSEDxxxxxxxx:22 * Xshell提示 SSH connection fa
|
5月前
|
安全 Linux 网络安全
ssh中的密码登录和密钥登录
ssh中的密码登录和密钥登录
|
5月前
|
Linux 网络安全 数据安全/隐私保护
如何在Linux中设置SSH无密码登录
这样,你就设置了SSH无密码登录。但请注意,这种方式虽然方便,但如果你的私钥落入他人手中,他们就能访问你的服务器,所以要妥善保管你的私钥。
85 0