zoukankan      html  css  js  c++  java
  • 烂泥:学习ssh之ssh无密码登陆

    本文由秀依林枫提供友情赞助,首发于烂泥行天下

    最近一个月没有写过文章,主要是刚刚换的新工作。新公司服务器OS使用的是ubuntu server版,和以前熟悉的centos还是有很多不同的。

    刚好这几天有时间,也是工作需要,学习了下有关ssh密钥的知识。

    在平时的工作中,我们登陆服务器,一般是使用ssh密码的方式。其实还有一种方式,那就是通过ssh密钥登陆服务器。

    这两种方法都是ssh的安全验证方式,,根据验证方式的不同我们把其分为:基于密码的安全验证和基于密钥的安全验证。

    注意:在一些文章中提到的ssh证书,其实就是ssh密钥。

    一、ssh两种安全验证介绍

    通过以上介绍,我们知道了ssh有两种安全验证方式,下面我们一一介绍其工作原理。

    1.1 基于密码的安全验证

    这种方式,只需要知道远程服务器的帐号和密码,就可以登录到远程服务器。所有传输的数据都会被加密,但是不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器,也就是说这种方式的连接有可能会受到“中间人”这种方式的攻击。

    1.2 基于密钥的安全验证

    这种方式,需要依靠密钥,也就是说你必须为自己创建一对密钥对(公钥和私钥),并且把该公钥放到需要访问的服务器上。

    注意:不能在需要访问的服务器上创建密钥,否则无法通过该密钥连接该服务器,但是通过该密钥连接其他服务器是正常的。

    如果你要连接到ssh服务器,ssh客户端会向ssh服务器发出请求,请求用你的密钥进行安全验证。ssh服务器在收到该请求之后,会先在ssh服务器上,检查你登陆的用户的主目录下寻找对应的公钥,然后把它和你发送过来的公钥进行比较。如果两个公钥一致,ssh服务器就用公钥加密“质询”(challenge)并把它发送给ssh客户端。ssh客户端在收到“质询”之后就可以用你的私钥解密该“质询”,再把它发送给ssh服务器。

    这种安全验证方式,你必须知道自己密钥的加密口令。当然,自己的密钥也可以不加密,而且这种不加密密钥的方式,在平时工作中使用的也比较多。

    通过以上对比,我们可以很容易看出。与基于密码的安全验证相比,基于密钥的安全验证是不需要在网络上传输密码。除此之外,我们还可以看出,“中间人”这种攻击方式也是不可能的(因为他没有你的私钥)。

    二、测试ssh无密码登陆

    在第一章中我们介绍了,ssh的两种安全验证方式。要达到ssh无密码登陆服务器,我们就要使用ssh密钥验证这种方式。

    PS:本次试验OS为Ubuntu 14.04.02 64bit,如下:

    uname –a

    cat /etc/issue

    clip_image001[5]

    2.1创建ssh密钥

    通过第一章我们知道了,要使用ssh密钥验证。我们必须要创建一个ssh密钥对。

    ssh密钥的创建,我们可以有两种方式。第一就是在linux OS上通过ssh-kengen这个命令来创建,第二就是在windows下通过ssh客户端工具来创建。

    下面我们对其创建密钥的方法一一进行介绍,如下。

    2.1.1 通过ssh-kengen命令创建密钥

    使用ssh-kengen命令创建ssh密钥很简单,直接使用该命令创建即可。如下:

    ssh-keygen

    clip_image002[4]

    通过上图,我们可以很明显的看出刚刚新创建的密钥存放在/home/ilanni/.ssh目录下,而且私钥文件是id_rsa,公钥文件是id_rsa.pub

    除此之外,我们还需要注意ssh-kengen命令中:

    Enter passphrase (empty for no passphrase):

    Enter same passphrase again:

    这两行是表示设置私钥的加密密码,我们在此是没有设置私钥的加密密码。

    现在我们来查看密钥的文件属性,如下:

    ll .ssh/

    clip_image003[4]

    通过上图,我们可以很明显的看出:

    .ssh目录的用户权限是700,私钥id_rsa的权限是600,公钥id_rsa.pub的权限是644。

    注意:有关私钥id_rsa和公钥id_rsa.pub文件权限非常重要,如果权限没有设置对的话,在使用ssh密钥登陆时,系统还是会提示需要输入密码。

    ssh-keygen默认使用的密钥加密类型是rsa,这个我们可以通过查看公钥文件id_rsa.pub得知。如下:

    cat .ssh/id_rsa.pub

    clip_image004[4]

    如果要使用其他类型的加密方式,我们可以通过ssh-keygen的-t参数来指定使用的加密类型。如下:

    ssh-keygen -t dsa

    clip_image005[4]

    cat .ssh/id_dsa.pub

    clip_image006[4]

    有关ssh-kengen命令的详细使用方法,我们可以通过查看ssh-kengen的帮助命令获得。如下:

    ssh-keygen --help

    clip_image007[4]

    注意:该密钥是在192.168.1.8机器上生成的,如下:

    hostname

    ifconfig

    clip_image008[4]

    2.1.2 通过xshell创建密钥

    windows下ssh客户端的连接工具比较多,但是我使用最多的还是xshell这个工具。

    下面我们就通过xshell工具,来创建ssh的密钥。

    打开xshell,点击“工具”--“新建用户密钥生成向导”,如下:

    clip_image009[4]

    下面这个界面,我们可以选择密钥的类型和密钥的长度,如下:

    clip_image010[4]

    生成密钥对,如下:

    clip_image011[4]

    输入密钥名称以及密钥的加密密码,如下:

    clip_image012[4]

    注意:这个密钥的加密密码就是ssh私钥的加密密码,我们可以为空。

    为了下面试验区分通过ssh-kengen生成的密钥id_rsa,在此密钥的名称我们命名为id_rsa_1024。

    生成公钥,如下:

    clip_image013[4]

    公钥生成后,我们需要把该公钥保存到一个文件中。如下:

    clip_image014[4]

    公钥保存完毕后,xshell就会跳转到私钥的界面。如下:

    clip_image015[4]

    通过上图,我们可以看到目前私钥的名称就是我们前面命名的id_rsa_1024,而且密钥的长度是1024字节。

    现在我们来导出该私钥,如下:

    clip_image016[4]

    这样我们就得到了一对ssh密钥,如下:

    clip_image017[4]

    2.2 上传ssh公钥

    在2.1章节中,我们已经创建好了ssh的公钥与私钥,现在我们开始把公钥上传到需要被访问的服务器上,即ssh服务器上。

    在把公钥上传到ssh服务器上,我们还有几件事要做:

    1)、确定要登陆ssh服务器的用户

    2)、修改ssh服务器的ssh配置文件sshd_config

    3)、创建authorized_keys文件

    4)、上传公钥并把内容重定向到authorized_keys文件

    注意:本章节是在192.168.1.7机器上操作,如下:

    hostname

    ifconfig

    clip_image018[4]

    2.2.1 确定要登陆ssh服务器的用户

    因为我们是要免密码登陆ssh服务器,所以我们必须要确定使用哪一个用户登陆ssh服务器。

    注意:该用户一定要在ssh服务器存在,并且是可以登陆ssh服务器的。

    在此我们使用的是ilanni这个用户登陆ssh服务器的。如下:

    whoami

    cat /etc/passwd |grep ilanni

    clip_image019[4]

    2.2.2 修改ssh配置

    ssh存放用户登陆的公钥是通过sshd_config文件配置的,但是默认该选项是没有启用的。需要我们通过修改sshd_config文件来启用,如下:

    sudo vi /etc/ssh/sshd_config

    clip_image020[4]

    我们只需要把#AuthorizedKeysFile %h/.ssh/authorized_keys行前的#去掉即可。如下:

    clip_image021[4]

    AuthorizedKeysFile存放该用户可以用来登录的RSA/DSA公钥。该指令中%h表示用户的主目录,最后公钥会存放到主目录的.ssh/authorized_keys文件中。

    注意:这个步骤不是必须的,因为通过ssh-copy-id命令进行配置时,就无需修改ssh配置文件。

    2.2.3 创建authorized_keys文件

    在上一章节中,我们知道了用户的公钥是存放在authorized_keys文件中的,现在我们来创建该文件。

    先创建.ssh目录并修改其用户属性,如下:

    mkdir .ssh

    chmod 700 .ssh

    clip_image022[4]

    .ssh目录创建完毕后,我们现在来创建authorized_keys文件。如下:

    touch authorized_keys

    clip_image023[4]

    2.2.4 把公钥内容重定向到authorized_keys文件

    在2.1章节中,我们介绍了ssh密钥的生成方法。一是通过ssh-kengen命令生成,二是通过xshell生成。

    我们现在把这两个公钥都上传到192.168.1.7机器上,然后重定向到authorized_keys文件中。如下:

    clip_image024[4]

    把192.168.1.8公钥复制到192.168.1.7机器上,如下:

    scp .ssh/id_rsa.pub ilanni@192.168.1.7:/home/ilanni

    clip_image025[4]

    把xshell生成的公钥上传到192.168.1.7上,如下:

    clip_image026[4]

    现在把两个公钥都重定向到authorized_keys文件,如下:

    cat id_rsa.pub >.ssh/authorized_keys

    cat id_rsa_1024.pub>>.ssh/authorized_keys

    cat .ssh/authorized_keys

    clip_image027[4]

    2.3 连接ssh服务器

    公钥上传完毕后,我们来连接ssh服务器,也就是连接192.168.1.7机器。

    连接192.168.1.7,我们也可以分为linux和windows,下面对其连接方法一一讲解。

    2.3.1 在linux上连接ssh服务器

    我们先在linux机器192.168.1.8上连接192.168.1.7,如下:

    ssh ilanni@192.168.1.7

    ifconfig eth0|grep "inet addr"|awk '{print $2}'|cut -d: -f2

    clip_image028[4]

    通过上图,我们可以很明显的看出在192.168.1.8上连接192.168.1.7时,系统没有提示我们输入密码。

    这也就实现了,我们免密码登陆ssh服务器的功能。

    2.3.2 在windows上连接ssh服务器

    我们现在切换到windows系统上,来连接192.168.1.7。 ssh客户端工具,我们使用的还是xshell,还是在生成密钥的那台windows机器上。如下:

    ssh ilanni@192.168.1.7

    clip_image029[4]

    注意:用户身份验证方法,在此我们需要选择的是Public Key也就是密钥验证方式,并且用户密钥就是我们前面生成时的密钥时的私钥id_rsa_1024。

    clip_image030[4]

    通过上图,我们可以很明显的看到在windows客户端连接192.168.1.7,系统也没有要求我们输入密码,这也就实现了ssh的无密码登陆。

    2.4 使用ssh-copy-id上传ssh公钥

    看了第2.2章节有关上传ssh公钥,你是不是觉得很麻烦。其实ssh还给我们提供了另外一个命令ssh-copy-id,ssh-copy-id命令可以把上述的步骤一次性执行完毕。

    注意:ssh-copy-id命令只存在于linux系统中,目前没有发现windows系统的ssh客户端工具有该命令。

    ssh-copy-id命令使用方法,如下:

    ifconfig eth0|grep "inet addr"|awk '{print $2}'|cut -d: -f2

    ssh-copy-id -i .ssh/id_rsa.pub ilanni@192.168.1.9

    clip_image031[4]

    cat .ssh/id_rsa.pub

    clip_image032[4]

    登陆192.168.1.9,查看公钥。如下:

    ifconfig eth0|grep "inet addr"|awk '{print $2}'|cut -d: -f2

    ll --full-time .ssh/

    clip_image033[4]

    cat .ssh/authorized_keys

    clip_image034[4]

    通过以上两张截图,我们很明显的看出,使用ssh-copy-id命令可以直接在ssh服务器对应用户的家目录下创建.ssh目录,并且在该目录下创建authorized_keys文件。同时也会把公钥id_rsa.pub文件中的内容,复制到authorized_keys文件中。

    查看ssh配置文件是否修改。如下:

    cat /etc/ssh/sshd_config |grep authorized_keys

    clip_image035[4]

    通过上图,我们可以很明显的看出ssh-copy-id没有修改ssh配置。

    现在我们来连接192.168.1.9测试下,如下:

    ifconfig eth0|grep "inet addr"|awk '{print $2}'|cut -d: -f2

    ssh ilanni@192.168.1.9

    clip_image036[4]

    通过上图,我们可以很明显的看到即使不修改ssh的配置文件,只要有authorized_keys文件,也能实现ssh的无密码登陆。

    有关ssh-copy-id详细的使用方法,可以查看其帮助命令。如下:

    ssh-copy-id -h

    clip_image037[4]

    以上就是有关ssh无密码登陆的全部内容。

  • 相关阅读:
    asp.net套打
    如何使用哪个asp生成一个excel报表
    自定义打印纸张 c# gdi+ 精确位置打印 套打
    Java调用.dll文件
    [转载].NET实现之(套打解决方案(支持B/S和C/S))
    C#套打
    三十而立,从零开始学ios开发(一):准备起航
    DOTNETBAR的使用方法
    大型网站,要考虑的问题
    AppScan安全漏洞报告
  • 原文地址:https://www.cnblogs.com/ilanni/p/4501768.html
Copyright © 2011-2022 走看看