ssh使用

实践原理:

读者一定很好奇SSH认证的流程,这里给出一张粗陋的图简单解释一下:

img

如果我们事先在服务器中存储了USER1的公钥(后面会讲解如何做),则USER1发起SSH连接服务器的流程如下:

  • 1.USER1发起SSH请求
  • 2.服务器生成随机数R1发给USER1,USER1用私钥加密生成R2。
  • 3.USER1把R2回发给服务器,服务器用公钥解密并对比R1,相同则成功连接。

其实很简单,但是如果还不懂,没有关系,可以先做一遍,再会过头来看,让我们开始吧。

实践步骤1:生成密钥对

读者可能有两个疑惑:

第一,生成的密钥对应当放在何处?

因为密钥一定要牢牢把握在自己手中,不能让别人知道。所以我们一定要在自己的物理机上生成密钥对,千万不能在远程计算机上生成,否则就不符合密钥的定义了。

第二,如何生成密钥对?

  1. 在本机终端运行ssh-keygen命令, 即可生成一对默认的RSA密钥。使用 -t命令指定密钥类型, 使用-f 选项指定生成文件的文件名具体可以通过man ssh-keygen查看。我们用默认的RSA密钥即可: ssh-keygen -t rsa

  2. 然后自己输入保存的路径和文件名,推荐保存到home目录的.ssh文件夹下。

  3. 输入管理密码(不建议为空,并且需记住)。注意,这里的密码是防止别人用你的电脑SSH无密码登陆远程服务器,可以理解成开机密码,可防止别人乱动你的电脑。

例子:

生成ssh key的时候,可以通过 -f 选项指定生成文件的文件名,如下:

1
2
$ ssh-keygen -t rsa -f test   -C "test key"
                     ~~文件名   ~~~~ 备注

如果没有指定文件名,会询问你输入文件名:

1
2
3
$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/huqiu/.ssh/id_rsa):

你可以输入你想要的文件名,这里我们输入test

密码

之后,会询问你是否需要输入密码。输入密码之后,以后每次都要输入密码。请根据你的安全需要决定是否需要密码,如果不需要,直接回车:

1
2
3
4
$ ssh-keygen -t rsa -f test -C "test key"
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:

结果

如果文件名是test,结果是:

1
2
3
$ ll test*
-rw------- 1 username username 1675 Sep 15 13:24 test
-rw-r--r-- 1 username username  390 Sep 15 13:24 test.pub

备注

上面生成的命令中,-C选项是公钥文件中的备注:

1
2
3
4
$ cat test.pub
ssh-rsa
。。。。省略。。。。== test key
                 ~~~~备注

文件的权限

为了让私钥文件和公钥文件能够在认证中起作用,请确保权限正确。

对于.ssh 以及父文件夹,当前用户用户一定要有执行权限,其他用户最多只能有执行权限。

对于公钥和私钥文件也是: 当前用户一定要有执行权限,其他用户最多只能有执行权限。

对于利用公钥登录,对其他用户配置执行权限是没有问题的。但是对于git,公钥和私钥, 以及config等相关文件的权限,其他用户不可有任何权限。

实践步骤2:把公钥内容复制到服务器的认证列表中

这里读者可能又有三个问题。

第一,什么是服务器认证列表?

服务器认证列表是一个文件,可以理解为<存储用户SSH公钥的地方>,因为SSH是一个验证过程,所以服务器需要事先保存对方的公钥,这样管理员就可以指定哪些用户(准确说是密钥对)可以登录了。

第二,认证列表的路径是什么?

在服务器的配置文件/etc/ssh/sshd_config中记录的着认证列表的目录。

首先, 我们可以先进入服务器(若没有设置SSH登陆只能用密码登陆),然后进入此路径查看:

1
2
cd /etc/ssh
cat sshd_config

sshd_config文件示例:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
。。。省略

#LoginGraceTime 2m
# 登录宽限期
PermitRootLogin no
#PermitRootLogin值改为 prohibit-password 允许root登录,但是禁止root用密码登录。允许root登录,设为yes。不允许root登录,设为no。
#StrictModes yes
# 严格模式
#MaxAuthTries 6
# 最大验证次数
#MaxSessions 10
# 最大会话数

# PubkeyAuthentication yes
# 公钥认证

# The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2
# but this is overridden so installations will only check .ssh/authorized_keys
# 默认是同时检查 .ssh/authorized_keys 和 .ssh/authorized_keys2
# 但这是被覆盖的,所以安装只会检查 .ssh/authorized_keys


AuthorizedKeysFile      .ssh/authorized_keys # 注意这一句!!!(1


# To disable tunneled clear text passwords, change to no here!
# 要禁用明文密码,请在此处更改为 no!
PasswordAuthentication no
# no是禁止用户密码登陆
#PermitEmptyPasswords no
#yes允许空密码 no不允许空密码

。。。省略

(1)即~/.ssh/authorized_keys(注意,此文件不一定存在)

第三,如何把公钥复制进认证列表?

首先,认证列表文件不一定存在,所以我们要先在远程服务器上执行创建命令, 并设置权限:

1
2
3
4
mkdir .ssh  //创建文件夹
touch .ssh/authorized_keys  // 创建文件
chmod 700 .ssh      //设置权限
chmod 644 .ssh/auauthorized_keys  //设置权限

然后用nano编辑器打开:

1
nano ~/.ssh/authorized_keys

如果没设置过SSH的公钥,里面内容是为空的。如果设置过SSH公钥,则空行添加公钥。

最后把实践步骤1中生成的公钥内容复制粘贴到里面。可以采用文本打开复制,也可以用nano编辑器复制。这里演示方式为nano打开复制:

1
nano ~/.ssh/MyLinux.pub

运行后复制粘贴到远程服务器的认证列表中退出保存即可:

这样我们就可以用SSH登陆了。

实践步骤3:SSH远程连接Linux服务器

一切设置都已完成,我们如何连接到远程服务器呢?
命令格式如下:

1首先开启ssh systemctl start sshd开启sshd服务

2连接命令格式如下:

1
ssh student@127.0.0.1 -p 2222 -i ~/.ssh/MyLinux

img

  • 1表示ssh连接
  • 2表示服务器上的用户名
  • 3表示远程主机的host IP(这里是本机)
  • 4表示远程主机端口(默认22,vagrant采用2222, 本文不讨论)
  • 5表示用户私钥

然后输入该密钥对的管理密码即可连接服务器。

实践步骤4:设置只许SSH登录不可密码登陆

最终我们的目的是消除密码登陆这一留给黑客的安全隐患,而只采用用SSH登陆,故我们在服务器配置文件/etc/ssh/sshd_config里小小的设置一下即可。

1
nano /etc/ssh/sshd_config

把其中的PasswordAuthentication中的yes改成no就不可再用密码登陆了。

ssh配置文件

1
2
3
* ssh-server配置文件位于/etc/ssh/sshd_config,在这里可以定义SSH的服务端口,默认端口是22
* 作为服务端,~/.ssh/authorized_keys文件中
* ssh会把你每个你访问过计算机的公钥(public key)都记录在~/.ssh/known_hosts

  • home/.ssh/.config

    这个文件里可以管理ssh连接,不同的主机使用不同的密钥,例如:

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    # gitee
    Host gitee.com
    HostName gitee.com
    PreferredAuthentications publickey
    IdentityFile ~/.ssh/gitee_id_rsa
    # github
    Host github.com
    HostName github.com
    PreferredAuthentications publickey
    IdentityFile ~/.ssh/id_rsa

  • authorized_keys

我们需要本地机器ssh访问远程服务器时为了减少输入密码的步骤,基本上都会在本地机器生成ssh公钥,然后将本地ssh公钥复制到远程服务器的.ssh/authorized_keys中,这样就可以免密登录了。( 服务器之间访问同理)。
流程如下

本机生成 ssh公钥;
复制本机公钥到远程服务器.ssh/authorized_keys中,authorized_keys文件不存在则创建;
本机直接ssh连接远程;
结束
  • known_hosts

第一次连接远程数据库时我们可以发现我们本地的.ssh/目录下多了一个文件known_hosts,里面有我们刚刚连接的服务器的信息(如果以前就存在known_hosts,则会发现多了刚刚连接的服务器的信息)。
known_hosts文件每连接一个新的远程服务器都会产生一份数据,如下:

1
0.0.0.0 ecdsa-sha2-nistp256 AAAA...........=

包括远程机器ip、远程机器公钥
known_hosts有什么用?
手动修改一下远程机器A的密钥,然后再连接远程机器A,提示:

1
2
3
The authenticity of host '0.0.0.0 (0.0.0.0)' can't be established.
ECDSA key fingerprint is SHA256:xxxxxxxx.
Are you sure you want to continue connecting (yes/no)?

得到类似这种提示,大概意思就是登录远程机器A验证失败,然后向你确定是否需要继续连接。
known_hosts的作用就很明显了,known_hosts的作用就是记录你曾经远程连接过的机器信息。如果远程机器信息不变,则直接连接,如果改变了ssh就会问你一下,小子,你还连不连了?
如果你yes, 他就重新保存一份到known_hosts文件了。

  • 总结一下: 1. authorized_keys由本地主机生成,多用于放在远程主机实现免密登录 2. known_hosts放在本地主机,用来记录连接过的远程主机
linux
linux ssh

本博客所有文章除特别声明外,均采用 CC BY-SA 4.0 协议 ,转载请注明出处!