注意,文档中的ip和指纹已经替换为了ip.ip.ip.ip 和aa:... ,以免引起不必要的误会。
icode@test:~/lab/dir/sadf$ ssh remote_name@ip.ip.ip.ip
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa.
Please contact your system administrator.
Add correct host key in /home/hicode/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /home/hicode/.ssh/known_hosts:28
remove with: ssh-keygen -f "/home/hicode/.ssh/known_hosts" -R ip.ip.ip.ip
ECDSA host key for ip.ip.ip.ip has changed and you have requested strict checking.
Host key verification failed.
之前使用提示中的
remove with: ssh-keygen -f "/home/hicode/.ssh/known_hosts" -R ip.ip.ip.ip删除了也就ok了。只是今天说是
/home/hicode/.ssh/known_hosts is not a valid known_hosts file.
Not replacing existing known_hosts file because of errors
我也不知道为什么。要下功夫想想原因了。
解决方式:然而登录时候的报错,当中有一句
Offending ECDSA key in /home/hicode/.ssh/known_hosts:28删除掉文档中第28 行就可以
sed -i '28d' /home/hicode/.ssh/know_hosts此时再登录就和第一次ssh登录就一致了。
why?
大学时候password学学的不好,大概是私钥加密。公钥解密。 私钥和公钥之间有全映射关系。因此即使想要伪造公钥的同一时候,也得提供出来伪造的公钥相应的私钥。
阮一峰老师翻译的一篇博客非常通俗易懂,这里附上链接数字签名是什么?
以我的推測,本次问题能够反映出来例如以下运行过程。
第一次连接时,server将已经生成的公钥(已存放在本地)发送给连接方,连接方没有相应的私钥。
server重装之后,生成的公钥发生了变化。连接方存放的还是曾经的公钥。
因此公钥不匹配。即认同为server身份已变。
(这样的严格验证host方式能够能够在server/etc/ssh/sshd.conf 文件里改变。SSH下know_hosts的作用(转))
解决方法是将原来的公钥给删除了,也就是一切重头再来。又開始了第一次的工作。
ssh登陆凭证
hicode@test:~/.ssh$ tree -h
.
├── [1.9K] known_hosts 自己的私钥+其它已连接的server公钥存放
└── [ 393] known_hosts.pub 公钥存放
0 directories, 2 files
我没有找到对known_hosts 的一些看法。由于大家都在说里面存放了公钥,可是我查看的时候好像档案开头有private key 的存在,怀疑这个文件里还夹杂了自己私钥内容。
两个文件部分内容已用... 来代替
file_content: known_hosts
-----BEGIN RSA PRIVATE KEY-----
MIIEpgIBAAKCAQEA64x5NuQz1PY3tLHwwu/hdr3f2o5BDcw5u7l/493iEKR3Mbpa
......
-----END RSA PRIVATE KEY-----
|1|KdYUlhdX3x97z38/nKEQQyvBv9k=|ZTzOP8JPfk+kAOQzbnVA9GVmCCs= ecdsa-sha2-nistp256 A...
|1|TNRQAp+HHSztEPGOlckiWCJFxQ8=|+XkgfL/fd/v4cHMgmB47dQiHTgU= ecdsa-sha2-nistp256 AA...
为了试验分别连接了两台设备,果然是自己的私钥 +已加入信任的公钥集合。
file_content:know_hosts.pub 存放了自己的公钥
ssh-rsa AAAAB3NzaC1yc2....p hicode@test
相同能够測试一下。发现带有已连接server公钥文件的know_hosts文件修改了两次,而自己的公钥文件一直没有修改。
hicode@test:~/.ssh$ ls -lh known_hosts*
-rw-r--r-- 1 hicode hicode 2.1K Jul 1 05:26 known_hosts
-rw-r--r-- 1 hicode hicode 393 Jun 23 16:16 known_hosts.pub
hicode@test:~/.ssh$ date
Wed Jul 1 05:58:58 CST 2015
免password登陆的过程:
免password登陆是说,server相信就是真实的客户机。
那么肯定server上要有关于真实的定义,这里的真实是指server上存放了关于客户机的公钥(server上肯定不会存放人家的私钥)。仅仅要验证对方的公钥和server上的一致就可以。
步骤例如以下:
- server发送字符串str(应该是未加密明文吧)给客户机。
- 客户机将str用自己的私钥加密后的结果发送给server。
- server用待验证的客户机公钥解密后发现一致。
说明白实是对方。通过。
以上步骤的实现,须要用户事先将自己的公钥发送给server留作记录。网上有ssh-keygen 方式生成后传给server的,非常easy。
可是。我不明白的是know_host.pub 中的公钥不是已经存在了嘛,为什么还要必须生成另外一个公钥id_rsa.pub 呢。
。莫非免登陆的时候。协议中规定用的不是know_hosts.pub 中的公钥?
最后附上另外一篇阮老师的文章。非常清楚的讲了ssh登陆 过程,就是没有解答我的困惑。
SSH原理与运用(一):远程登录