Linux系统中SSH服务基于key认证实践的过程

  众所周知ssh是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议,它默认工作在tcp的22号端口,具体实现的软件有:openssh(centos默认安装的),dropbear。ssh协议目前有两个版本v1和v2,v1基于CRC-32做MAC,不安全。v2基于DH算法做密钥交换,基于RSA或DSA实现身份认证。所以目前大多流行的Linux都是使用的V2版本。

  简单了解了下ssh,我们再来说说它的两种用户登录认证方式,第一种基于用户名口令的方式,这种认证方式想必大家都应该知道,就是我们要想登录远端Linux系统,我们必须要输入相应的用户名口令才可以登录到远程Linux系统,这种方式是交互式方式登录。第二种就是我们今天要说的基于key的认证方式。

  首先我们来了解下ssh加密通讯的过程

  从上图可以看到,客户端上必须存在一对密钥对,我们都知道密钥是成对出现,况且用A的公钥加密只有A的私钥才可以解密。正是因为非对称加密的这个特性,我们不难理解ssh通信也是利用这个特性来确定数据安全的。在服务端也有一对公钥和私钥,它存在的目的也是为了加密和解密数据。ssh加密通讯的流程大致上这样的,客户端要和服务端加密通信,首先客户端需要拿到服务端的公钥,拿到服务端的公钥后,就可以用服务端的公钥对要发送到数据加密,然后发送到服务端,服务端收到这个密文的数据,它会用自己的私钥去解密,从而实现了客户端到服务端的数据加密。同理服务端要把数据发送给客户端也是一样的过程,拿到客户端的公钥用客户端的公钥加密,然后发给客户端,客户端用自己的私钥解密,从而实现了你来我往的加密通讯。

  我们想一下,服务端和客户端通讯都是用对方的公钥来加密数据,那么客户端是怎么拿到服务端的公钥的呢?服务端又是怎么样拿到客户端的公钥的呢?

  来看一下服务端和客户端在第一次连接的时候,公钥交换的过程

  首先客户端向服务端发送ssh连接请求,服务端收到请求后,会把自己的公钥和会话ID 一并发送给客户端,客户端收到服务器发来的公钥后,它又把自己的公钥和服务器发送过来的会话ID 做异或运算,把得到的结果用服务端的公钥来加密,然后把加密后的密文通过网络发送给服务端,服务端收到客户端发送过来的密文后,它会用自己的私钥去解密,然后把得到的结果和之前的会话ID做异或计算,最终得到客户端的公钥。这样的一个过程后,客户端就拥有了服务端的公钥,服务端也拥有了客户端的公钥,有了对方的公钥后,后续就可以用对方的公钥来加密数据。

  使用过Linux的人都知道,在我们第一次和服务器建立ssh远程连接的时候,会有一个确认,问我们是否继续连接,我们输入yes后才能输入密码,这是我为什么呢?其实在服务端发送自己的公钥到客户端的时候,因为客户端没有办法确认它收到的公钥是不是对方服务器发送过来的,它就会把收到的公钥做md5和sha256,提取出公钥的指纹,然后提示我们说我收到了一份md5为xxx的公钥,请问你确认这个公钥吗?如果我们确认,就表示相信这个公钥是服务器发送过来的,这样一来才可以有下面的,把自己的公钥和会话ID做异或运算,把结果用刚才收到的公钥加密。我们想象,如果不是服务器发过来的公钥,而是黑客发送过来的公钥,如果我们确认了,后续的密文黑客拿到后,黑客就以用自己的私钥来解密,得到客户端的公钥和数据,然后他得到真正的数据后,黑客可以任意改动,然后再用服务器的公钥加密,发送给服务端,这样一来服务端得到的数据就是黑客修改后的数据,不是真正客户端发送的数据。这就是所谓的中间人攻击,它是利用自己的公钥来回冒充服务端和客户端角色。

  了解了ssh加密通讯的过程和密钥交换的过程,我们再来看看,ssh基于用户名口令和密钥登录验证的过程。

  基于用户名口令登录是这样的流程:首先客户端发起ssh连接请求,服务端会把自己的公钥发送给客户端,客户端收到服务端的公钥后,把密码经过服务端的公钥加密后发送给服务端,服务端收到加密后的密码用自己的私钥进行解密,得到客户端发送过来的密码,然后它会拿这个密码进行验证,把验证的的结果用客户端的公钥加密并发送给客户端,客户端收到结果后,用自己的私钥解密,从而实现了验证过程,如果验证通过,那么客户端就登录成功,反之客户端登录失败。

  基于密钥登录验证的过程是:首先客户端要生成一对密钥对(这个密钥对是针对的是用户,不是主机的公钥私钥,前面说到的都是主机的公钥和私钥),并手动的将生成的公钥添加到服务器(默认添加到服务器的某个用户家目录的.ssh/authorized_keys,我们要用那个用户连接服务器,就把公钥添加到那个用户的家目录的.ssh/authorized_keys文件中去),服务端有了客户端用户的公钥后,在客户端发起ssh连接请求的时候,服务端会生成一串随机字符,用相应的客户端用户的公钥加密此随机字符串,然后发送给客户端,客户端收到了服务端发送过来的加密的随机字符后,客户端就会用自己的私钥来解密,然后把解密后的随机字符发送给服务端,服务端收到客户端发送过来的随机字符后,它就会进行对比,如果和之前发送的随机字符相同,那么服务端就允许免密码登录。

  通过上面的介绍,不难发现我们要基于key验证登录,必须要在客户端生成一对用户密钥对,并且要将生成的用户公钥放在服务端的某一个用户的家目录的.ssh/authorized_keys文件中,这个用户就是我们将来用于key验证登录服务器的用户。接下来我们来试验试验。

  1、在客户端生成用户密钥对

[qiuhom@docker ~]$ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/qiuhom/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/qiuhom/.ssh/id_rsa.
Your public key has been saved in /home/qiuhom/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:CbICoBfN3670ucEBjhDR/ltyYoe/jJMIWCkCK5Lt5eA qiuhom@docker
The key's randomart image is:
+---[RSA 2048]----+
|. += |
|+ o+ |
|++oo..o. |
|Bo=.o=.o.. |
|+*.+o..oS |
|. E.. B.=. |
| . + %o. |
| . =o+. |
| ..+o |
+----[SHA256]-----+
[qiuhom@docker ~]$ll .ssh/
总用量 8
-rw------- 1 qiuhom qiuhom 1675 11月 2 16:54 id_rsa
-rw-r--r-- 1 qiuhom qiuhom 395 11月 2 16:54 id_rsa.pub
[qiuhom@docker ~]$

  说明:在Linux里我们用ssh-keygen命令来生成用户密钥对,-t 选项表示以那种加密算法来生产密钥。生成好的密钥对,默认放在当前用户的家目录下.ssh/目录下,分别叫id_rsa 和id_rsa.pub,从名字上我们就可以知道id_rsa是私钥id_rsa.pub是公钥。心细的你一定看到,我们用ssh-keygen来生成密钥,它会问我们需要把密钥文件存放在什么地方默认是当前用户的家目录下的.ssh目录下,当然我们也可以用-f选项来指定存放的位置,除此之外它还让我们输入密码,这里的密码表示加密私钥的密码,我们都知道拿到对方的私钥是很危险,所以系统默认会提示我们,如果按回车就表示生成的私钥不加密,当然我们也可以用 -P(大写)选项来指定加密私钥的密码。

  2.把用户生成的公钥放到服务器的用户家目录里的.ssh/authorized_keys,我们可以用scp命令放到服务端去,也可以通过U盘拷贝过去,但是这样太麻烦。这里我们用专门的工具,ssh-copy-id来把用户公钥文件信息拷贝到服务端对应的用户家目录

[qiuhom@docker ~]$ssh-copy-id -i .ssh/id_rsa.pub root@192.168.0.151
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: ".ssh/id_rsa.pub"
The authenticity of host '192.168.0.151 (192.168.0.151)' can't be established.
RSA key fingerprint is SHA256:GuKvtBmWnYyxogf1nyNvp02ccon/doAKhVdF7Qy7PvA.
RSA key fingerprint is MD5:88:cf:f9:df:37:16:d7:e2:c4:99:a4:97:ab:49:f0:8e.
Are you sure you want to continue connecting (yes/no)? yes
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@192.168.0.151's password:

Number of key(s) added: 1

Now try logging into the machine, with: "ssh 'root@192.168.0.151'"
and check to make sure that only the key(s) you wanted were added.

[qiuhom@docker ~]$

  说明:-i选项指定公钥文件的存放位置,默认是从当前用户的家目录下的.ssh/公钥文件名称。 因为我们拷贝公钥之前,服务端是没有客户端用户的公钥,所以我们拷贝用户公钥的时候,还需要输入密码进行验证。这里需要说明一点,我们上述实验服务端的sshd服务是默认工作在22端口,如果没有工作在默认端口需要用-p(小写)选项来指定端口。

到此我们就做好了ssh基于key免密码登录验证。

  在上面的密钥生成和发放都是基于人工去做的,这样一台两台服务器没有什么问题,但是服务器多了,怎么办呢?如果我们需要管理很多台服务器,我们这里就需要写脚本去完成了,以下提供本人写的脚本,实现的功能是自动生成密钥,并自动发送到指定的主机。

[qiuhom@docker ~]$cat ssh_keygen.sh
#!/bin/bash

remote_host_ip=$1
remote_host_user=$2
remote_host_port=$3
remote_host_passwd=$4
local_rsa_file=~/.ssh/id_rsa
local_rsa_pub_file=~/.ssh/id_rsa.pub

[ $# -ne 4 ] && echo "Usage: sh $0 RemotehostIp RemotehostUser RemotehostPort RemotehostPasswd" && exit 5

[ ! -e ${local_rsa_file} ] && ssh-keygen -t rsa -P '' -f ${local_rsa_file} >/dev/null 2>&1

expect << EOF
set timeout 10
spawn ssh-copy-id -i ${local_rsa_pub_file} $remote_host_user@$remote_host_ip -p $remote_host_port
expect {
 "(yes/no)?" {send "yes\n";exp_continue}
 "password: " {send "$remote_host_passwd\n"}
}
expect eof
EOF

  说明:本脚本需要自己传远程服务器ip ,远程主机用户,远程主机ssh端口以及密码,这个脚本实现了自动生成密钥,并发送给指定的服务器,若需要发送到更多的服务器上,可以另外写脚本调用此脚本,实现批量创建和分发密钥文件的功能。

  测试:

用脚本生成密钥文件,并发送到指定服务器上去

 

[qiuhom@docker ~]$ll .ssh/
总用量 0
[qiuhom@docker ~]$ssh root@192.168.0.151
The authenticity of host '192.168.0.151 (192.168.0.151)' can't be established.
RSA key fingerprint is SHA256:GuKvtBmWnYyxogf1nyNvp02ccon/doAKhVdF7Qy7PvA.
RSA key fingerprint is MD5:88:cf:f9:df:37:16:d7:e2:c4:99:a4:97:ab:49:f0:8e.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.0.151' (RSA) to the list of known hosts.
root@192.168.0.151's password:
[root@test ~]#ll .ssh/
总用量 4
-rw------- 1 root root 0 11月 2 17:43 authorized_keys
-rw-r--r-- 1 root root 1202 10月 31 21:25 known_hosts
[root@test ~]#rm -rf .ssh/*
[root@test ~]#ll .ssh/
总用量 0
[root@test ~]#exit
logout
Connection to 192.168.0.151 closed.
[qiuhom@docker ~]$rm -rf .ssh/*
[qiuhom@docker ~]$sh ssh_keygen.sh 192.168.0.151 root 22 admin
spawn ssh-copy-id -i /home/qiuhom/.ssh/id_rsa.pub root@192.168.0.151 -p 22
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/home/qiuhom/.ssh/id_rsa.pub"
The authenticity of host '192.168.0.151 (192.168.0.151)' can't be established.
RSA key fingerprint is SHA256:GuKvtBmWnYyxogf1nyNvp02ccon/doAKhVdF7Qy7PvA.
RSA key fingerprint is MD5:88:cf:f9:df:37:16:d7:e2:c4:99:a4:97:ab:49:f0:8e.
Are you sure you want to continue connecting (yes/no)? yes
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@192.168.0.151's password:

Number of key(s) added: 1

Now try logging into the machine, with: "ssh -p '22' 'root@192.168.0.151'"
and check to make sure that only the key(s) you wanted were added.

[qiuhom@docker ~]$ll .ssh/
总用量 12
-rw------- 1 qiuhom qiuhom 1675 11月 2 17:53 id_rsa
-rw-r--r-- 1 qiuhom qiuhom 395 11月 2 17:53 id_rsa.pub
-rw-r--r-- 1 qiuhom qiuhom 395 11月 2 17:53 known_hosts
[qiuhom@docker ~]$ssh root@192.168.0.151
[root@test ~]#ll .ssh/
总用量 4
-rw------- 1 root root 395 11月 2 17:53 authorized_keys
[root@test ~]#cat .ssh/authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC6yfNtYfGtwyZLKuffYgFoMZfEnKhpsp1pH3Mky1UGBsUNRGHIhNZzbtVNERWkAV/NndasfHss/vEnDSHVOXRScRfH7pPCNdVdy887WlSgshG6U5UIsQnlxlkUxf0ciVlc9VEw/IIg8eXrlOmcuezadxGc32yHB7o+zkEcg7UBYClDtjp5xqzrHyLDMd5OhGqMPJO+d+OFKqhOOYAUYsUi00aM1qNbf+KHFhYbQQj96UbWRTNQYFnqIJltvDPxqq7W5GGVl0xma6PSgGYMFNwIy9PhJJ8Lxaiaw3FjC8iCWrjzRONbnaqMPqrS8wQXs95vRDi2M0egKUuRlzFjGAGB qiuhom@docker
[root@test ~]#exit
logout
Connection to 192.168.0.151 closed.
[qiuhom@docker ~]$cat .ssh/id_rsa.pub
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC6yfNtYfGtwyZLKuffYgFoMZfEnKhpsp1pH3Mky1UGBsUNRGHIhNZzbtVNERWkAV/NndasfHss/vEnDSHVOXRScRfH7pPCNdVdy887WlSgshG6U5UIsQnlxlkUxf0ciVlc9VEw/IIg8eXrlOmcuezadxGc32yHB7o+zkEcg7UBYClDtjp5xqzrHyLDMd5OhGqMPJO+d+OFKqhOOYAUYsUi00aM1qNbf+KHFhYbQQj96UbWRTNQYFnqIJltvDPxqq7W5GGVl0xma6PSgGYMFNwIy9PhJJ8Lxaiaw3FjC8iCWrjzRONbnaqMPqrS8wQXs95vRDi2M0egKUuRlzFjGAGB qiuhom@docker
[qiuhom@docker ~]$

 说明:可以看到我们脚本没有运行之前登录服务器需要手动输入密码,我们执行了脚本后,用户密钥文件创建了,并且也将用户公钥文件发送到相应的服务器上去了。

总结:ssh基于key验证有如下好处

1、更加安全方便。我们不用去记繁琐的用户密码,也不担心密码泄露。(我们可以把sshd服务配置成只允许基于KEY验证登录)

2、基于key验证实现免密登录,可以实现远程批量操作服务器,方便脚本编写,使得我们在执行远程操作命令时就好像在本地执行命令简单(如scp,ssh)

3、有效防止暴力猜口令的威胁。

总结

以上所述是小编给大家介绍的Linux系统中SSH服务基于key认证实践的过程,希望对大家有所帮助!

时间: 2020-02-14

Linux 配置SSH免密登录 “ssh-keygen”的基本用法

1 什么是SSH 引用百度百科的说明: SSH 为 Secure Shell的缩写,由 IETF 的网络小组(Network Working Group)所制定:它是建立在应用层基础上的安全协议. SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议.利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题. SSH最初是UNIX系统上的一个程序,后来又迅速扩展到其他操作平台. 为了在不同平台/网络主机之间的通信安全, 很多时候我们都要通过ssh进行认证. ssh认证方式主要有

Windwos下使用winscp和批处理实现通过SSH端口上传文件到Linux服务器上

Windwos下使用winscp和批处理实现通过SSH端口上传文件到Linux服务器上 今天同事想在windows上使用winscp上传文件到linux服务器上,又想偷懒想使用批处理来进行上传,还好只固定上传一个php文件,多了还真不好搞. 1.下载winscp 大家可以去网上自己找,我把winscp安装在c:下的 2.把要执行的命令保存到文件winscp.bat里,这个winscp.bat可以自己创建,我是放在d:下的. winscp.bat脚本内容: 复制代码 代码如下: option co

python下paramiko模块实现ssh连接登录Linux服务器

本文实例讲述了python下paramiko模块实现ssh连接登录Linux服务器的方法.分享给大家供大家参考.具体分析如下: python下有个paramiko模块,这个模块可以实现ssh登录linux服务器,下面贴出代码,注意,我在centos5.6下,python2.6.5,paramiko-1.7的版本下测试成功. #!/usr/bin/env python import paramiko hostname='172.28.102.249' username='root' passwor

在PHP中运行Linux命令并启动SSH服务的例子

升级 VPS 后,由于 Ubuntu 的 upstart 与 OpenVZ 的兼容问题,导致 sshd 服务不自动启动了,在尝试了 vePortal 的 console 与 file manager 及提交技术支持后都不能解决问题之后. 只能靠自己了,大概的思路是在 PHP 中进行 su 命令以执行 sshd 服务,因为 WordPress 还活着,并且可以在后台直接编辑主题相关的 PHP 脚本.只要把准备好的代码片断插入到 header.php 中,并在浏览器中访问一下主页即可. 相关的代码逻

linux ssh 使用深度解析(key登录详解)

SSH全称Secure SHell,顾名思义就是非常安全的shell的意思,SSH协议是IETF(Internet Engineering Task Force)的Network Working Group所制定的一种协议.SSH的主要目的是用来取代传统的telnet和R系列命令(rlogin,rsh,rexec等)远程登陆和远程执行命令的工具,实现对远程登陆和远程执行命令加密.防止由于网络监听而出现的密码泄漏,对系统构成威胁. ssh协议目前有SSH1和SSH2,SSH2协议兼容SSH1.目前

查看linux ssh服务信息及运行状态方法

关于ssh服务端配置有不少文章,例如 Linux下ssh服务配置,这里仅列举出一些查看ssh服务相关信息的常用命令. 1 安装 apt-get install openssh-server 2 完成后,检查ssh server是否启动: ps -e | grep ssh 如果只是有: ssh-agent 说明没有启动server 可以手动启动: sudo /etc/init.d/ssh start 或者重启ubuntu 3 现在就可以使用putty连接了 rpm -qa | grep ssh 可

查看linux文件系统块大小的实现方法

在linux系统上,可以用命令tune2fs ,测试如下 [root@localhost test10g]# tune2fs -help tune2fs 1.35 (28-Feb-2004) tune2fs: invalid option -- h Usage: tune2fs [-c max-mounts-count] [-e errors-behavior] [-g group] [-i interval[d|m|w]] [-j] [-J journal-options] [-l] [-s

6种查看Linux进程占用端口号的方法详解

对于 Linux 系统管理员来说,清楚某个服务是否正确地绑定或监听某个端口,是至关重要的.如果你需要处理端口相关的问题,这篇文章可能会对你有用. 端口是 Linux 系统上特定进程之间逻辑连接的标识,包括物理端口和软件端口.由于 Linux 操作系统是一个软件,因此本文只讨论软件端口.软件端口始终与主机的 IP 地址和相关的通信协议相关联,因此端口常用于区分应用程序.大部分涉及到网络的服务都必须打开一个套接字来监听传入的网络请求,而每个服务都使用一个独立的套接字. 套接字是和 IP 地址.软件端

Linux SSH 安全策略 限制 IP 登录方法

方法一: 首先需要限制登录的ip(或者如果需要自己本地登录,查看最后登录ip即可) Vim /etc/hosts.allow 输入 sshd:114.80.100.159:allow vim /etc/hosts.deny 输入(表示除了上面允许的,其他的ip   都拒绝登陆ssh)    sshd:ALL 最后sshd重启 service sshd restart 方法二: 比如说你只允许114.80.100.159这个IP进入,其它都禁止: vim   /etc/ssh/sshd_confi

linux停止和查看启动服务的命令使用方法

1. 查看Linux启动的服务 复制代码 代码如下: chkconfig --list 查询出所有当前运行的服务chkconfig --list atd  查询atd服务的当前状态 2.停止所有服务并且在下次系统启动时不再启动,如下所示: 复制代码 代码如下: chkconfig --levels 12345 NetworkManager off 如果想查看当前处于运行状态的服务,用如下语句过滤即可 复制代码 代码如下: chkconfig --list |grep on 3.如果只是想当前的设

Ubuntu下查看ssh服务是否安装或启动的方法

查看ssh是否启动,有sshd说明已经启动 sudo ps -e |grep ssh 启动ssh服务 sudo service ssh start 下图是没有安装ssh服务时,运行的效果 安装ssh服务 sudo apt-get install openssh-server 总结 以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作能带来一定的帮助,如果有疑问大家可以留言交流.

创建支持SSH服务的Docker镜像的方法

摘要:通常Linux系统管理员通过SSH服务来管理OS,但Docker的很多镜像是不带SSH服务的,可以通过attach(遇到假死的现象)或者exec(目前测试ok)的方法进入容器来管理,但是这些命令都无法解决远程管理容器的问题,因此,当需要远程登陆到容器内进行一些操作的时候,就需要SSH的支持了.本文记录如何使用docker commit创建一个带有SSH服务的ubuntu镜像. (1) 首先以交互的方式运行我们本地的ubuntu容器 docker run -it ubuntu:14.04 /

linux网站服务Apache的安装与配置方法详解

这篇文章介绍下linux网站服务apache的安装与配置方法,包括挂载光盘,安装http服务,管理httpd服务,httpd的配置文件几大部分.具体详情可以参考下文. 1.挂载光盘 自己习惯将光盘挂载在/media/cdrom目录,在做本地yum源的时候此目录为默认目录之一 [root@localhost /]# mount /dev/cdrom /media/cdrom/ 2.安装httpd服务(如果本地yum源已经搭建好就直接进行这一步,没有的话需要搭建,前面的文章有提到yum源的搭建) [

查看Linux系统是32位还是64位的方法总结

方法1:getconf LONG_BIT 查看 如下例子所示: 32位Linux系统显示32, 64位Linux系统显示64.最简单.快捷的方法. [root@DB-Server ~]# getconf LONG_BIT 32 [root@gettestlnx01 ~]# getconf LONG_BIT 64  方法2:uname命令查看 如下例子所示,x86_64表示64位系统, i686 i386表示32位系统.i686 只是i386的一个子集,支持的cpu从Pentium 2 (686)

linux操作系统下配置ssh/sftp和权限设置方法

基于 ssh 的 sftp 服务相比 ftp 有更好的安全性(非明文帐号密码传输)和方便的权限管理(限制用户的活动目录). 1.开通 sftp 帐号,使用户只能 sftp 操作文件, 而不能 ssh 到服务器 2.限定用户的活动目录,使用户只能在指定的目录下活动,使用 sftp 的 ChrootDirectory 配置 确定版本 #确保 ssh 的版本高于 4.8p1 否则升级一下 一般都高于这个版本 ssh -V 新建用户和用户组 #添加用户组 sftp groupadd sftp #添加用户