SSH详解-3.密钥登陆

Posted 2023-04-01

参考技术A

SSH详解-1.ssh基础知识
SSH详解-2.ssh基本用法
SSH详解-3.密钥登陆
SSH详解-4.多个ssh公钥

在上一篇中我们了解到了ssh基本用法，ssh通过密码进行登录。密码登录存在很多问题。密码太简单，又不安全。密码太复杂，不容易记，而且每次登录都要输入很麻烦。于是就有了密钥登陆。

什么是密钥(key)？

ssh密钥登录采用的是 非对称加密 。

非对称密钥加密系统，又称公钥密钥加密。它需要使用不同的密钥来分别完成加密和解密操作，一个公开发布，即公开密钥（public key）和，另一个由用户自己秘密保存，即私用密钥（private key）。
如果数据使用公钥加密，那么只有使用对应的私钥才能解密，其他密钥都不行；反过来，如果使用私钥加密（这个过程一般称为“签名”），也只有使用对应的公钥解密。

了解完密钥后，接下来看看密钥登录的过程，SSH 密钥登录分为以下的步骤。

第零步，准备步骤客户端通过 ssh-keygen 生成自己的公钥和私钥，并将公钥放入远程服务器的指定位置。

第一步，用户客户端向服务器发起SSH登录的请求。

第二步，服务器收到用户SSH登录的请求，服务器生成一些随机数据发送给客户端。

第三步，客户端接收到服务器发过来的数据，客户端使用私钥对数据进行签名后再返回给服务器。

第四步，服务器收到客户端加密后的数据，使用对应公钥进行解密。然后判断解密后的数据是否与原始数据一致，如果一致就允许用户登录。

ssh-keygen 是OpenSSH提供的一个命令行工具，用于生成密钥登录所需的公钥和私钥。

在上面的例子中，我使用了-t参数来指定加密算法，一遍会选择rsa或者dsa。
第一个问题，问我要保存在哪？（直接Enter默认会保存在~/.ssh/id_rsa中）因为我之前已经生成过密钥了，我就保存在tenxun里面。

第二个问题，询问是否要为私钥文件设定密码保护（passphrase）。这样的话，即使入侵者拿到私钥，还是需要破解密码。如果为了方便，不想设定密码保护，可以直接按回车键，密码就会为空。

最后，就会生成私钥和公钥，屏幕上还会给出公钥的指纹，以及当前的用户名和主机名作为注释，用来识别密钥的来源。

从上面的公钥中我们可以看到末尾的公钥注释 23696@DESKTOP-GKRBCVI
公钥注释可以用来识别不同的公钥，表示这是哪台主机（DESKTOP-GKRBCVI）的哪个用户（username）的公钥。

注意 ，公钥只有一行。因为它太长了，显示的时候可能自动换行了。

OpenSSH 规定，用户公钥保存在服务器的 ~/.ssh/authorized_keys 文件。你要以哪个用户的身份登录到服务器，密钥就必须保存在该用户主目录的~/.ssh/authorized_keys文件。只要把公钥添加到这个文件之中，就相当于公钥上传到服务器了。每个公钥占据一行。如果该文件不存在，可以手动创建。

-i 指定要上传公钥（公钥文件可以不指定路径和 .pub 后缀名），user是所要登录的用户名，hostname是主机名，这两个参数与ssh 登录命令是一致。

特别注意 ，不是把公钥上传上去就行了，还需要把 authorized_keys 文件的权限要设为644，即只有文件所有者才能写。如果权限设置不对，SSH服务器可能会拒绝读取该文件，导致密钥登录失效，登录的时候还需要输入密码。

提到输入密码，如果再生成公钥和私钥的时候设置了密码，使用密钥登录的时候也需要输入私钥的密码，这样可以防止他人非法窃取了私钥。

私钥设置了密码以后，每次使用都必须输入私钥密码，这个问题可以使用 ssh-agent 命令解决。

百度百科-密钥
Git - 生成 SSH 公钥 (git-scm.com)
ssh(1) - OpenBSD manual pages

SSH之密钥登陆

SSH之密钥登陆

 1.背景介绍

 平时我们都是通过输入账号和密码的方式登陆远程终端，那有没有其他的玩法呢？答案是：当然有！下面就介绍一种通过密钥的方式登陆ssh。

  工具准备：一台电脑(推荐win10)，一台虚拟机(推荐vmware workstation11)，ssh登陆工具(xshell,securecrt,putty，推荐xshell)，linux系统(redhat，centos，debian，ubuntu，推荐centos7.3)。

  下面开始动手操作。

 2.实验步骤

 假设你已经通过ssh工具登陆上了linux终端。

 (1)生成公钥和私钥

ssh-keygen -t rsa

Enter file in which to save the key (/root/.ssh/id_rsa): ##直接回车使用默认路径

Created directory ‘/root/.ssh‘.

Enter passphrase (empty for no passphrase): ##输入密码

Enter same passphrase again: ##重复密码

在/root/.ssh/目录下会生成两个文件，id_rsa为私钥，id_rsa.pub为公钥。私钥自己下载到本地电脑妥善保存，公钥则可以任意公开。

 (2)下载私钥到windows

sz /root/.ssh/id_rsa 

    如果没有请安装软件包lrzsz(yum install -y lrzsz)

 (3)导入公钥

     cat /root/.ssh/id_rsa.pub >> /root/.ssh/authorized_keys

 (4)更改SSH配置文件

    修改SSH 的配置文件/etc/ssh/sshd_config，找到下面3行：

    #RSAAuthentication yes

    #PubkeyAuthentication yes

    #AuthorizedKeysFile .ssh/authorized_keys

    将前面的#去掉后保存。重启SSH 服务，运行命令：systemctl restart sshd

 (5)xshell配置（看图）

  1.新建一个会话

  2.选择身份验证方式

  3.导入私钥

  4.输入自己设定的密码

  5.确定用户密钥

  6.输入密码

 7.选择相应的会话

  8.成功登陆

 (6)关闭SSH密码登陆

    修改SSH的配置文件/etc/ssh/sshd_config，找到下面1 行：

    PasswordAuthentication yes

    修改为：

    PasswordAuthentication no

    重启SSH服务，并运行命令：

    systemctl restart sshd 

     

本文出自 “有趣灵魂” 博客，请务必保留此出处http://powermichael.blog.51cto.com/12450987/1939536