SSH免密登录详解
Posted yizhiweiyan
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SSH免密登录详解相关的知识,希望对你有一定的参考价值。
SSH免密登录详解
SSH(Security Shell)安全外壳协议,是较为可靠的,专为远程登录会话和其他网络服务提供安全保证的协议。
? 对于传统的网络服务程序(例如,FTP,Telnet等)来说,其本质上并不是安全的,主要原因在于,这些网络应用程序在网络上都是直接使用明文传输口令和数据的,对于别有用心的人来说,这些口令和数据是很容易被截获的。另外,这些网络服务程序的安全验证方式也是存在弱点的,非常容易受到中间人(Man-In-The-Middle)这种方式的攻击,简而言之,就是中间人冒充真正的服务器接收你传输的数据,然后,再将数据转发给真正的服务器,通过这种方式中间人就可以神不知鬼不觉地拿到你所有数据。
? 通过使用SSH,则可以将所有传输的数据及口令进行加密,从而防止中间人攻击,还可以防止DNS和IP欺骗,另外,使用SSH还有加快传输速度的好处,原因在于,SSH是可以对数据进行压缩的。
SSH安装详解
SSH是安全外壳协议,而open-ssh
则是SSH的开源实现,CentOS通常是默认安装了open-ssh
的。
整个SSH服务是包含SSH服务端(openssh-server
)和SSH客户端(openssh-clients
)的,常用的ssh命令就是客户端一部分。
SSH服务端与SSH客户端之间的关系:节点A想要控制节点B,则节点A上需要安装SSH客户端,而节点B上需要安装相应的SSH服务端,这样,节点A才能向节点B发送控制命令和数据。
# 安装openssh-server
[root@cos1 ~]# yum install -y openssh-server
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
* base: mirrors.ustc.edu.cn
* extras: mirrors.ustc.edu.cn
* updates: mirrors.ustc.edu.cn
Package openssh-server-7.4p1-21.el7.x86_64 already installed and latest version
# 启动openssh-server
[root@cos1 ~]# systemctl start sshd.service
# 安装openssh-clients
[root@cos1 ~]# yum install -y openssh-clients
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
* base: mirrors.ustc.edu.cn
* extras: mirrors.ustc.edu.cn
* updates: mirrors.ustc.edu.cn
Package openssh-clients-7.4p1-21.el7.x86_64 already installed and latest version
openssh
服务的主配置文件路径:/etc/ssh/sshd_config
。
# SSH-Server常见的配置项
# 如果SSH连接提示端口不可用,可以在改文件中查看SSH端口,端口没问题,就要考虑SSH服务是否正常启动了
# SSH客户端与服务端连接的默认端口号
Port 22
默认情况下,SSH服务提供了以下两个非常有用的功能:
1、类似Telnet远程连接服务器功能,即SSH服务(安全可靠的远程登录会话服务)
# 远程连接服务
ssh user@hostname/ip
2、类似FTP的sftp-server
服务,借助SSH协议来传输数据,提供更安全的SFTP
服务(vsftp, proftp
).
# 文件拷贝服务
scp files user@hostname:/path/
SSH免密登录配置
? 对于分布式环境组件(例如,Hadoop,HBase等)来说,组件的主/从节点通常需要远程登录到集群中其他节点并执行Shell命令,如果不使用SSH,则集群安全就无法保证,使用SSH服务的话,又需要用户输入目标服务器的免密,而主/从节点何时访问其他节点是不可控的,而且,频繁的需要用户输入密码也是不可行的,这时候,免密登录就非常重要的。
主机A通过SSH实现免密登录主机B所需的配置过程大致可以分为以下两步:
1、主机A在本地通过加密算法生成公钥和私钥
通过rsa
算法生成公钥和私钥key对,默认情况下,身份验证信息(也就是私钥)保存在/user/.ssh/id_rsa
文件下,而公钥信息则保存在/user/.ssh/id_rsa.pub
文件中。
[root@cos1 .ssh]# pwd
/root/.ssh
[root@cos1 .ssh]# ll
total 8
-rw-------. 1 root root 1679 Jun 22 00:04 id_rsa
-rw-r--r--. 1 root root 391 Jun 22 00:04 id_rsa.pub
2、将主机A的公钥拷贝到主机B的授权文件(authorized_keys
)中
# 通过ssh-copy-id命令将本地服务器公钥上传到指定服务器
[root@cos1 ~]# ssh-copy-id root@cos
... ... ... ... ... ...
Number of key(s) added: 1
Now try logging into the machine, with: "ssh ‘root@cos‘"
and check to make sure that only the key(s) you wanted were added.
# 现在,可以通过ssh root@cos访问主机cos了
[root@cos1 ~]# ssh root@cos
Last login: Thu Jun 18 06:38:25 2020 from 192.168.58.1
[root@cos ~]#
为了安全起见,通常将保存具体哪些主机可以免密访问当前主机的授权文件authorized_keys
文件设置为及root具有查看和修改的权限,用户组及其他人无权访问。
通过ssh-copy-id
将主机A的公钥拷贝到主机B之后,本质上,是在主机B的授权文件中添加了主机A的公钥。
[root@cos .ssh]# ll
total 8
-rw-------. 1 root root 781 Jun 22 00:16 authorized_keys
-rw-r--r--. 1 root root 176 Jun 18 07:34 known_hosts
注意:
1、免密登录,是用户对用户的,切换为其他用户时,仍需要输入密码
2、免密登录是单向的,也就是说,主机A将公钥拷贝到主机B后,主机A可以免密登录主机A,而主机B登录主机A时仍然需要输入密码
图解SSH免密登录原理
通过上面一顿操作,主机A就可以免密登录到主机A了,感觉有点神奇,那么,免密登录到底是怎么实现的呢?也就是说,SSH协议又到底是什么样子呢?且看下图分解~
上图便是整个SSH免密登录的配置及原理图:
1、ServerA生成公钥并上传到ServerB上
2、Step 1: ServerA发送链接请求到ServerB
3、Step 2: ServerB在authorized_key中检索ServerA的公钥,随机生成字符串,随后利用公钥对字符串进行加密,并发送给ServerA
4、Step 3: ServerA接收到密文后,利用私钥进行解密,并将内容以明文的形式发送给ServerB
以上是关于SSH免密登录详解的主要内容,如果未能解决你的问题,请参考以下文章
万字详解SSH(SSH登录原理+SSH配置+模拟实现SSH免密登录)