Linux下配置SSH免密通訊 – 「ssh-keygen」的基本用法

時間 2019-11-09

標籤 linux 配置 ssh 通訊 keygen 基本用法欄目 Linux 简体版

原文原文鏈接

導讀	利用 SSH 協議能夠有效防止遠程管理過程當中的信息泄露問題。SSH最初是UNIX系統上的一個程序，後來又迅速擴展到其餘操做平臺。

1 什麼是SSHhtml

引用百度百科的說明:
SSH 爲 Secure Shell的縮寫，由 IETF 的網絡小組（Network Working Group）所制定；它是創建在應用層基礎上的安全協議。
SSH 是目前較可靠，專爲遠程登陸會話和其餘網絡服務提供安全性的協議。利用 SSH 協議能夠有效防止遠程管理過程當中的信息泄露問題。
SSH最初是UNIX系統上的一個程序，後來又迅速擴展到其餘操做平臺。linux

爲了在不一樣平臺/網絡主機之間的通訊安全, 不少時候咱們都要經過ssh進行認證. ssh認證方式主要有2種:git

① 基於口令的安全認證: 每次登陸的時候都要輸入用戶名和密碼, 因爲要在網絡上傳輸密碼, 可能存在中間人攻擊的風險;
② 基於密鑰的安全認證: 配置完成後就能夠實現免密登陸, 這種方式更加安全 —— 不須要在網絡上傳遞口令, 只須要傳輸一次公鑰. 常見的git的ssh方式就是經過公鑰進行認證的.vim

2 配置SSH免密登陸安全

說明: 這裏演示所用的服務器操做系統是Cent OS 7. 咱們的目標是:服務器

A服務器(172.16.22.131) 能免密登陸 B服務器 (172.16.22.132).網絡

注意: ssh鏈接是單向的, A能免密登陸B, 並不能同時實現B能免密登陸A.less

2.1 安裝必需的軟件dom

在操做以前, 先確保所須要的軟件已經正常安裝.ssh

這裏咱們須要安裝ssh-keygen和ssh-copy-id, 安裝方式以下:
# 安裝ssh-keygen, 須要確保服務器能夠聯網. 博主這裏已經安裝完成, 因此沒有作任何事.

[root@localhost ~]# yum install -y ssh-keygen
Loaded plugins: fastestmirror, langpacks
base                                                         | 3.6 kB  00:00:00     
epel                                                         | 3.6 kB  00:00:00     
extras                                                       | 2.9 kB  00:00:00     
updates                                                      | 2.9 kB  00:00:00     
Loading mirror speeds from cached hostfile
No package ssh-keygen available.
Error: Nothing to do

# 安裝ssh-copy-id
[root@localhost ~]# yum install -y ssh-copy-id 
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
No package ssh-copy-id available.
Error: Nothing to do

2.2 ssh-keygen建立公鑰-私鑰對

(1) 在指定目錄下生成rsa密鑰, 並指定註釋爲「shoufeng」, 實現示例:

[root@localhost ~]# ssh-keygen  -t rsa    -f ~/.ssh/id_rsa   -C "shoufeng"
#                               ~密鑰類型  ~密鑰文件路徑及名稱  ~ 備註信息
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase):  # 輸入密碼, 若不輸入則直接回車
Enter same passphrase again: # 再次確認密碼, 若不輸入則直接回車
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
9a:e3:94:b9:69:c8:e9:68:4b:dc:fa:43:25:7f:53:f1 shoufeng
The key's randomart image is:
+--[ RSA 2048]----+
|                 |
|          .      |
|           o     |
|    . .   . E    |
|     +  S.       |
| . .. .=o        |
|  oo.oB. .       |
| ..o=o.+         |
| .++oo+          |
+-----------------+

注意: 密鑰的文件名稱必須是id_xxx, 這裏的xxx就是-t參數指定的密鑰類型. 好比密鑰類型是rsa, 那麼密鑰文件名就必須是id_rsa.

(2) ssh-keygen經常使用參數說明:

-t: 密鑰類型, 能夠選擇 dsa | ecdsa | ed25519 | rsa;

-f: 密鑰目錄位置, 默認爲當前用戶home路徑下的.ssh隱藏目錄, 也就是~/.ssh/, 同時默認密鑰文件名以id_rsa開頭. 若是是root用戶, 則在/root/.ssh/id_rsa, 若爲其餘用戶, 則在/home/username/.ssh/id_rsa;

-C: 指定此密鑰的備註信息, 須要配置多個免密登陸時, 建議攜帶;

-N: 指定此密鑰對的密碼, 若是指定此參數, 則命令執行過程當中就不會出現交互確認密碼的信息了.

舉例說明: 同時指定目錄位置、密碼、註釋信息, 就不須要輸入回車鍵便可完成建立:

ssh-keygen -t rsa -f ~/.ssh/id_rsa -N shoufeng -C shoufeng

(3) 前往~/.ssh/目錄下查看生成的文件:

# 生成的文件以test_rsa開頭, test_rsa是私鑰, test_rsa.pub是公鑰:
[root@localhost .ssh]# ls
test_rsa  test_rsa.pub

# 經過cat命令查看公鑰文件: 
[root@localhost .ssh]# cat id_rsa.pub 
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC2JpLMqgeg9jB9ZztOCw0WMS8hdVpFxthqG1vOQTOji/cp0+8RUZl3P6NtzqfHbs0iTcY0ypIJGgx4eXyipfLvilV2bSxRINCVV73VnydVYl5gLHsrgOx+372Wovlanq7Mxq06qAONjuRD0c64xqdJFKb1OvS/nyKaOr9D8yq/FxfwKqK7TzJM0cVBAG7+YR8lc9tJTCypmNXNngiSlipzjBcnfT+5VtcFSENfuJd60dmZDzrQTxGFSS2J34CuczTQSsItmYF3DyhqmrXL+cJ2vjZWVZRU6IY7BpqJFWwfYY9m8KaL0PZ+JJuaU7ESVBXf6HJcQhYPp2bTUyff+vdV shoufeng
# 能夠看到最後有一個註釋內容shoufeng

2.3 ssh-copy-id把A的公鑰發送給B

默認用法是: ssh-copy-id root@172.16.22.132, ssh-copy-id命令鏈接遠程服務器時的默認端口是22, 固然能夠指定文件、遠程主機的IP、用戶和端口:

# 指定要拷貝的本地文件、遠程主機的IP+用戶名+端口號:
[root@localhost .ssh]# ssh-copy-id -i ~/.ssh/id_rsa.pub -p 22 root@172.16.22.132
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@172.16.22.132's password:  # 輸入密碼後, 將拷貝公鑰

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh -p '22' 'root@172.16.22.132'"
and check to make sure that only the key(s) you wanted were added.

2.4 在A服務器上免密登陸B服務器

[root@localhost .ssh]# ssh root@172.16.22.132
Last login: Fri Jun 14 08:46:04 2019 from 192.168.34.16    # 登陸成功😄

3 擴展說明

3.1 其餘方式發送公鑰文件

上述2.3步驟是經過ssh-copy-id工具發送公鑰文件的, 固然咱們也能夠經過其餘方式實現:

(1) 將A的公鑰文件發給B:

經過scp命令將A服務器的公鑰文件發送到B服務器的用戶目錄下, 由於尚未配置成功免密登陸, 因此期間須要輸入B服務器對應用戶的密碼:

[root@localhost .ssh]# scp id_rsa.pub root@172.16.22.132:/root/.ssh 
root@172.16.22.132's password: 
id_rsa.pub                                           100%  390     0.4KB/s   00:00

(2) 在B上建立authorized_keys文件:

[root@localhost .ssh]# cd /root/.ssh/
[root@localhost .ssh]# ls
id_rsa.pub
# 經過A服務器的公鑰生成"authorized_keys"文件:
[root@localhost .ssh]# cat id_rsa.pub >> authorized_keys
[root@localhost .ssh]# cat authorized_keys 
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC2JpLMqgeg9jB9ZztOCw0WMS8hdVpFxthqG1vOQTOji/cp0+8RUZl3P6NtzqfHbs0iTcY0ypIJGgx4eXyipfLvilV2bSxRINCVV73VnydVYl5gLHsrgOx+372Wovlanq7Mxq06qAONjuRD0c64xqdJFKb1OvS/nyKaOr9D8yq/FxfwKqK7TzJM0cVBAG7+YR8lc9tJTCypmNXNngiSlipzjBcnfT+5VtcFSENfuJd60dmZDzrQTxGFSS2J34CuczTQSsItmYF3DyhqmrXL+cJ2vjZWVZRU6IY7BpqJFWwfYY9m8KaL0PZ+JJuaU7ESVBXf6HJcQhYPp2bTUyff+vdV shoufeng

注意: 上述重定向時使用>>進行追加, 不要用>, 那會清空原有內容.

3.2 文件權限

爲了讓私鑰文件和公鑰文件可以在認證中起做用, 須要確保權限的正確性:

① 對於.ssh目錄以及其內部的公鑰、私鑰文件, 當前用戶至少要有執行權限, 其餘用戶最多隻能有執行權限.

② 不要圖省事設置成777權限: 太大的權限不安全, 並且數字簽名也不支持這種權限策略.

③ 對普通用戶, 建議設置成600權限: chmod 600 authorized_keys id_rsa id_rsa.pub;

④ 對root用戶, 建議設置成644權限: chmod 644 authorized_keys id_rsa id_rsa.pub.

3.3 文件的編輯和查看

在Liunx環境下, 若是要查看、複製私鑰、公鑰, 以及authorized_keys等文件, 不要使用vim等編輯器打開, 由於它會產生沒必要要的回車;

應該經過cat、more、less等查看命令把內容打印到終端上, 再做查看、複製等操做.

4 常見問題及解決

(1) 問題描述:

經過ssh-copy-id命令拷貝公鑰文件以後, 嘗試免密登陸另外一臺服務器時發生錯誤:

權限錯誤致使免密登陸失敗

[root@localhost ~]# ssh root@172.16.22.131
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0644 for '/root/.ssh/id_rsa' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
bad permissions: ignore key: /root/.ssh/id_rsa
root@172.16.22.131's password:

(2) 問題緣由:

提示信息說明密鑰文件不受保護, 具體是說這裏的密鑰文件權限是0644, 而數字簽名機制要求密鑰文件不能被其餘用戶訪問(讀取), 因此該密鑰文件被強制忽略處理了.

(3) 問題解決:

只要修改該密鑰文件的權限便可: