最近一个月没有写过文章,主要是刚刚换的新工作。新公司服务器OS使用的是ubuntu server版,和以前熟悉的centos还是有很多不同的。
刚好这几天有时间,也是工作需要,学习了下有关ssh密钥的知识。
在平时的工作中,我们登陆服务器,一般是使用ssh密码的方式。其实还有一种方式,那就是通过ssh密钥登陆服务器。
这两种方法都是ssh的安全验证方式,,根据验证方式的不同我们把其分为:基于密码的安全验证和基于密钥的安全验证。
注意:在一些文章中提到的ssh证书,其实就是ssh密钥。
一、ssh两种安全验证介绍
通过以上介绍,我们知道了ssh有两种安全验证方式,下面我们一一介绍其工作原理。
1.1 基于密码的安全验证
这种方式,只需要知道远程服务器的帐号和密码,就可以登录到远程服务器。所有传输的数据都会被加密,但是不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器,也就是说这种方式的连接有可能会受到“中间人”这种方式的攻击。
1.2 基于密钥的安全验证
这种方式,需要依靠密钥,也就是说你必须为自己创建一对密钥对(公钥和私钥),并且把该公钥放到需要访问的服务器上。
注意:不能在需要访问的服务器上创建密钥,否则无法通过该密钥连接该服务器,但是通过该密钥连接其他服务器是正常的。
如果你要连接到ssh服务器,ssh客户端会向ssh服务器发出请求,请求用你的密钥进行安全验证。ssh服务器在收到该请求之后,会先在ssh服务器上,检查你登陆的用户的主目录下寻找对应的公钥,然后把它和你发送过来的公钥进行比较。如果两个公钥一致,ssh服务器就用公钥加密“质询”(challenge)并把它发送给ssh客户端。ssh客户端在收到“质询”之后就可以用你的私钥解密该“质询”,再把它发送给ssh服务器。
这种安全验证方式,你必须知道自己密钥的加密口令。当然,自己的密钥也可以不加密,而且这种不加密密钥的方式,在平时工作中使用的也比较多。
通过以上对比,我们可以很容易看出。与基于密码的安全验证相比,基于密钥的安全验证是不需要在网络上传输密码。除此之外,我们还可以看出,“中间人”这种攻击方式也是不可能的(因为他没有你的私钥)。
二、测试ssh无密码登陆
在第一章中我们介绍了,ssh的两种安全验证方式。要达到ssh无密码登陆服务器,我们就要使用ssh密钥验证这种方式。
PS:本次试验OS为Ubuntu 14.04.02 64bit,如下:
uname –a
cat /etc/issue
2.1创建ssh密钥
通过第一章我们知道了,要使用ssh密钥验证。我们必须要创建一个ssh密钥对。
ssh密钥的创建,我们可以有两种方式。第一就是在linux OS上通过ssh-kengen这个命令来创建,第二就是在windows下通过ssh客户端工具来创建。
下面我们对其创建密钥的方法一一进行介绍,如下。
2.1.1 通过ssh-kengen命令创建密钥
使用ssh-kengen命令创建ssh密钥很简单,直接使用该命令创建即可。如下:
ssh-keygen
通过上图,我们可以很明显的看出刚刚新创建的密钥存放在/home/ilanni/.ssh目录下,而且私钥文件是id_rsa,公钥文件是id_rsa.pub。
除此之外,我们还需要注意ssh-kengen命令中:
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
这两行是表示设置私钥的加密密码,我们在此是没有设置私钥的加密密码。
现在我们来查看密钥的文件属性,如下:
ll .ssh/
通过上图,我们可以很明显的看出:
.ssh目录的用户权限是700,私钥id_rsa的权限是600,公钥id_rsa.pub的权限是644。
注意:有关私钥id_rsa和公钥id_rsa.pub文件权限非常重要,如果权限没有设置对的话,在使用ssh密钥登陆时,系统还是会提示需要输入密码。
ssh-keygen默认使用的密钥加密类型是rsa,这个我们可以通过查看公钥文件id_rsa.pub得知。如下:
cat .ssh/id_rsa.pub
如果要使用其他类型的加密方式,我们可以通过ssh-keygen的-t参数来指定使用的加密类型。如下:
ssh-keygen -t dsa
cat .ssh/id_dsa.pub
有关ssh-kengen命令的详细使用方法,我们可以通过查看ssh-kengen的帮助命令获得。如下:
ssh-keygen --help
注意:该密钥是在192.168.1.8机器上生成的,如下:
hostname
ifconfig
2.1.2 通过xshell创建密钥
windows下ssh客户端的连接工具比较多,但是我使用最多的还是xshell这个工具。
下面我们就通过xshell工具,来创建ssh的密钥。
打开xshell,点击“工具”--“新建用户密钥生成向导”,如下:
下面这个界面,我们可以选择密钥的类型和密钥的长度,如下:
生成密钥对,如下:
输入密钥名称以及密钥的加密密码,如下:
注意:这个密钥的加密密码就是ssh私钥的加密密码,我们可以为空。
为了下面试验区分通过ssh-kengen生成的密钥id_rsa,在此密钥的名称我们命名为id_rsa_1024。
生成公钥,如下:
公钥生成后,我们需要把该公钥保存到一个文件中。如下:
公钥保存完毕后,xshell就会跳转到私钥的界面。如下:
通过上图,我们可以看到目前私钥的名称就是我们前面命名的id_rsa_1024,而且密钥的长度是1024字节。
现在我们来导出该私钥,如下:
这样我们就得到了一对ssh密钥,如下:
2.2 上传ssh公钥
在2.1章节中,我们已经创建好了ssh的公钥与私钥,现在我们开始把公钥上传到需要被访问的服务器上,即ssh服务器上。
在把公钥上传到ssh服务器上,我们还有几件事要做:
1)、确定要登陆ssh服务器的用户
2)、修改ssh服务器的ssh配置文件sshd_config
3)、创建authorized_keys文件
4)、上传公钥并把内容重定向到authorized_keys文件
注意:本章节是在192.168.1.7机器上操作,如下:
hostname
ifconfig
2.2.1 确定要登陆ssh服务器的用户
因为我们是要免密码登陆ssh服务器,所以我们必须要确定使用哪一个用户登陆ssh服务器。
注意:该用户一定要在ssh服务器存在,并且是可以登陆ssh服务器的。
在此我们使用的是ilanni这个用户登陆ssh服务器的。如下:
whoami
cat /etc/passwd |grep ilanni
2.2.2 修改ssh配置
ssh存放用户登陆的公钥是通过sshd_config文件配置的,但是默认该选项是没有启用的。需要我们通过修改sshd_config文件来启用,如下:
sudo vi /etc/ssh/sshd_config
我们只需要把#AuthorizedKeysFile %h/.ssh/authorized_keys行前的#去掉即可。如下:
AuthorizedKeysFile存放该用户可以用来登录的RSA/DSA公钥。该指令中%h表示用户的主目录,最后公钥会存放到主目录的.ssh/authorized_keys文件中。
注意:这个步骤不是必须的,因为通过ssh-copy-id命令进行配置时,就无需修改ssh配置文件。
2.2.3 创建authorized_keys文件
在上一章节中,我们知道了用户的公钥是存放在authorized_keys文件中的,现在我们来创建该文件。
先创建.ssh目录并修改其用户属性,如下:
mkdir .ssh
chmod 700 .ssh
.ssh目录创建完毕后,我们现在来创建authorized_keys文件。如下:
touch authorized_keys
2.2.4 把公钥内容重定向到authorized_keys文件
在2.1章节中,我们介绍了ssh密钥的生成方法。一是通过ssh-kengen命令生成,二是通过xshell生成。
我们现在把这两个公钥都上传到192.168.1.7机器上,然后重定向到authorized_keys文件中。如下:
把192.168.1.8公钥复制到192.168.1.7机器上,如下:
scp .ssh/id_rsa.pub ilanni@192.168.1.7:/home/ilanni
把xshell生成的公钥上传到192.168.1.7上,如下:
现在把两个公钥都重定向到authorized_keys文件,如下:
cat id_rsa.pub >.ssh/authorized_keys
cat id_rsa_1024.pub>>.ssh/authorized_keys
cat .ssh/authorized_keys
2.3 连接ssh服务器
公钥上传完毕后,我们来连接ssh服务器,也就是连接192.168.1.7机器。
连接192.168.1.7,我们也可以分为linux和windows,下面对其连接方法一一讲解。
2.3.1 在linux上连接ssh服务器
我们先在linux机器192.168.1.8上连接192.168.1.7,如下:
ssh ilanni@192.168.1.7
ifconfig eth0|grep "inet addr"|awk '{print $2}'|cut -d: -f2
通过上图,我们可以很明显的看出在192.168.1.8上连接192.168.1.7时,系统没有提示我们输入密码。
这也就实现了,我们免密码登陆ssh服务器的功能。
2.3.2 在windows上连接ssh服务器
我们现在切换到windows系统上,来连接192.168.1.7。 ssh客户端工具,我们使用的还是xshell,还是在生成密钥的那台windows机器上。如下:
ssh ilanni@192.168.1.7
注意:用户身份验证方法,在此我们需要选择的是Public Key也就是密钥验证方式,并且用户密钥就是我们前面生成时的密钥时的私钥id_rsa_1024。
通过上图,我们可以很明显的看到在windows客户端连接192.168.1.7,系统也没有要求我们输入密码,这也就实现了ssh的无密码登陆。
2.4 使用ssh-copy-id上传ssh公钥
看了第2.2章节有关上传ssh公钥,你是不是觉得很麻烦。其实ssh还给我们提供了另外一个命令ssh-copy-id,ssh-copy-id命令可以把上述的步骤一次性执行完毕。
注意:ssh-copy-id命令只存在于linux系统中,目前没有发现windows系统的ssh客户端工具有该命令。
ssh-copy-id命令使用方法,如下:
ifconfig eth0|grep "inet addr"|awk '{print $2}'|cut -d: -f2
ssh-copy-id -i .ssh/id_rsa.pub ilanni@192.168.1.9
cat .ssh/id_rsa.pub
登陆192.168.1.9,查看公钥。如下:
ifconfig eth0|grep "inet addr"|awk '{print $2}'|cut -d: -f2
ll --full-time .ssh/
cat .ssh/authorized_keys
通过以上两张截图,我们很明显的看出,使用ssh-copy-id命令可以直接在ssh服务器对应用户的家目录下创建.ssh目录,并且在该目录下创建authorized_keys文件。同时也会把公钥id_rsa.pub文件中的内容,复制到authorized_keys文件中。
查看ssh配置文件是否修改。如下:
cat /etc/ssh/sshd_config |grep authorized_keys
通过上图,我们可以很明显的看出ssh-copy-id没有修改ssh配置。
现在我们来连接192.168.1.9测试下,如下:
ifconfig eth0|grep "inet addr"|awk '{print $2}'|cut -d: -f2
ssh ilanni@192.168.1.9
通过上图,我们可以很明显的看到即使不修改ssh的配置文件,只要有authorized_keys文件,也能实现ssh的无密码登陆。
有关ssh-copy-id详细的使用方法,可以查看其帮助命令。如下:
ssh-copy-id -h
以上就是有关ssh无密码登陆的全部内容。