- 1互联网大厂ssp面经,数据结构part3
- 2使用scroll-view实现tabs(增加动画过渡效果)_yui-tabs里面可以用scroll-view包起来
- 3递归和内存分配(可视化)
- 4数学建模十大常用软件(转)_数学建模软件
- 5云 MongoDB 优化让 LBS 服务性能提升十倍
- 6uniapp 页面滚动到指定位置的方法_uniapp 滚动到指定位置
- 7深入理解Android 卷I 第五章---深入理解常用类_我们的“三板斧”,其实就是三个例子。相信这三板斧劈下去,你会很容易理解它们。
- 8Redis监控命令和指标介绍_redis健康检查命令
- 9BUUCTF_Web题目题解记录1_buuctf web
- 10项目实战——创建maven项目无src目录问题_创建maven工程没有src文件夹
ssh中的密码登录和密钥登录_ssh 密码
赞
踩
一、ssh中的加密
1、对称加密
这种加密方式是大家都知道的,发送方和接收方都是一样的。
加解密的钥匙都是同一把,怎么样安全的保存这个密钥,这个密钥在需要加密的机器之前都是共享?很难保证这个密钥不被泄漏。
2、非对称加密
生成一对公私钥,私钥自己保管,公钥可以给其他人。
公私钥对是成对存在的,这连个密钥互不相同,两个密钥可以互相加密和解密。
一个用于加密,一个用于解密。具体哪个为私钥,哪个为公钥就看使用者自己管理。
注意:
①使用公钥进行加密,私钥解密,基本用于数据加密(相当于一对钥匙,对公钥加密,私钥需要对公钥解密)(解密时一个人知道)
使用私钥加密公钥解密:用于数据认证(验证)解密时多个人知道,数据安全性不高。
ssh都是基于公钥加密。
公私钥都是客户端生成,要连接服务器,就要把公钥给服务器,就能免密登录。存放在家目录下面的.ssh下,没有的话需要自己进行创建。
密钥认证:公钥和私钥是一对文件,文件里面是一段字符串,告诉加密算法加密的时候,使用的参数:salt 盐值
public key 公开
private key 私有的
- [root@nginx-kafka01 ssh]# cd ~/.ssh
- [root@nginx-kafka01 .ssh]# ls
- authorized_keys config id_rsa id_rsa.pub known_hosts
- [root@nginx-kafka01 .ssh]# pwd
- /root/.ssh
know_hosts是存放客户机使用ssh第一次连接服务器时产生公钥存放的位置,它会将服务器上sshd守护进程的公钥复制到本地存放到本地,每行存放一台服务器的公钥,用来验证服务器的身份。如果出现多个用户登录冲突的话,可以将该文件删除。然后重新进行连接,就会重新生成这个文件。存放一个ip地址的公钥(当默认yes时会写入)保存在本地,可以有多个(有授权的情况下),没有授权就只有一个,第一次手动输入yes就可以保存,第二次发送的时候会对比是不是一样的,不一样的话就直接挂掉中间人。
二、ssh常见的两种登陆方式:
1、密码登陆
2、密钥登陆(免密码登录)
1、密码登录
1.1 密码登录认证流程(原理)
密码登录认证原理:
client客户机向server发送登录请求,server服务器将自己的公钥发送给client(客户机)。
client使用这个公钥,将公钥进行加密,然后再发送给server。
server用私钥解密登录密码,验证合法性。
server返回验证结果为client。
这个流程中存有的一个问题,怎么保证收到的公钥就是目标server的公钥?
密码登录时需要注意:中间人攻击,所以如果一个攻击者中途拦截了client的登录请求,发送自己的公钥给client,client端就会用攻击者的公钥进行数据加密,攻击者接收到信息之后,用自己的私钥就可以进行解密了,这就窃取了client的登录信息了。
为了解决这个问题,client端第一次登录的时候,会进行一个登录公钥确认。
如果服务器重启了,就会删掉know_hosts:rm -rf know_hosts
查看公钥指纹:
ssh-keygen-if /etc/ssh/ssh_host_rsa_key.pubserver主机的pubkey保存在/etc/ssh目录下,默认使用ssh_host_ecdsa_key.pub
- [root@mysql-rpm ssh]# cd /etc/ssh
- [root@mysql-rpm ssh]# ls
- moduli sshd_config ssh_host_ecdsa_key.pub ssh_host_ed25519_key.pub ssh_host_rsa_key.pub
- ssh_config ssh_host_ecdsa_key ssh_host_ed25519_key ssh_host_rsa_key
2、公钥认证,免密码登录
公钥认证流程中,为什么要进行免密码登录:为了能对被连接的机器进行批量化处理。
2.1 公钥认证,免密码登录原理
登录原理详解:
client端生成秘钥对,将公钥追加在server端的~/.ssh/authorized_keys
客户端发送登陆请求,server收到请求之后,生成随机字符串发送给client
client用自己的私钥对字符串进行加密,发送给server。
server收到加密字符串之后用公钥解密,比较解密出的字符串和之前生成的字符串事发后一致。
返回结果给client(一致就允许登录,不一致就不允许)。
确认server服务端这个host主机摘要,确认成功之后(yes)就会将server端的pubkey保存在
~/.ssh/known_hosts里面,以后每次连接都会验证这个know_host里的key和收到的pubkey是否保持一致的。
2.2 公钥认证,免密码登录流程
使用公钥认证,免密码登录这种方式:windows连接到Linux,Linux连接到Linux上都是适用的。
ssh的公钥认证流程图:
首先需要准备两台机器:
A : 192.168.2.152 客户机
B:192.168.2.132 服务机
A机器的root用户 -》连接到B机器的root用户
密钥:公钥和私钥是一对文件,文件里面是一段字符串,告诉加密算法加密的时候,使用的参数。
public key 公开
private key 自己
1、在A客户机机器上生成密钥对
在192.168.2.152上使用root用户生成秘钥对,客户机的公钥会存放在用户的家目录下的.ssh/文件下的authorized_keys(/root/.ssh/authorized_keys)。
ssh-keygen:是生成公钥和私钥对的命令。
- #生成公钥,中间一直敲回车
- [root@nginx-kafka01 ssh]# ssh-keygen -t rsa
- Generating public/private rsa key pair.
- Enter file in which to save the key (/root/.ssh/id_rsa): y
- y already exists.
- Overwrite (y/n)? y
- Enter passphrase (empty for no passphrase): 敲回车
- Enter same passphrase again: 敲回车
- Your identification has been saved in y.
- Your public key has been saved in y.pub.
- The key fingerprint is:
- SHA256:lkDtYmNyA9pV93YhNzv+M0VWgIgXVbANDZgDOF5jDCM root@nginx-kafka01
- The key's randomart image is:
- +---[RSA 2048]----+
- | E +*ooo****..|
- | .o+.B.*..*.+.|
- | o +.= o .+ = o|
- | . o O... . o + |
- | = +S . .|
- | . ..|
- | o.|
- | o|
- | |
- +----[SHA256]-----+
进入用户的家目录下(cd /root/.ssh)
查看公钥:cat id_rsa.pub:
- [root@nginx-kafka01 .ssh]# ls
- authorized_keys config id_rsa (私钥) id_rsa.pub (公钥) known_hosts
-
- 查看公钥
- [root@nginx-kafka01 .ssh]# cat id_rsa.pub
- ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDTWqYxhTLaNCHIoF3NxrarhuDr9BQ5V48DkTFMuqQbTtJoQvtRyN7Ly9Fxq18BfNsm5U17RT+xAi1+ojVj2ZSCiIUlzaH3gR1JjpLzG54JjUq6TWSibLsYfvvkVCWYxXF584Ke8Bs7CBQZz3g9fnfi6KHoPvSXlNtrkldAwFgmG7uHqjRVsu6EGPKWqcrrDxdrZnIxvuF52Q/erPHew7aAqaAgWzsIl18AYTgiYmaafqdQ8ZteO+atfdRCw1/QczmoSeYAeNofPk98oW19uSDib/7D5BUVfpb0WjnmtrMpYkSpNQbATY6fOHn1ONvqCYhxi776ivziUxgAhUxd8ctf root@localhost.localdomain
信用关系:
双向信任
单向信任
2、上传公钥到对方的服务器(B服务机器上)
将公钥上传到对方,要求对方的服务器运行时使用root用户登录。公钥的最后一行有指明需要服务器使用本机机器的root用户来登录:root@localhost.localdomain
如果想要单向通信通道:就直接在A机器上执行这条命令,那么它连接B机器就不需要密码登录。
双向通道:在两个机器上都执行这条命令,B机器上也执行这条命令,但是ip要改为A机器的(ssh-copy-id -p 22 -i id_rsa.pub root@192.168.2.152),登录双方机器的时候都不需要输入密码,方便进行各种操作(执行对方机器上的文件等)。
ssh-copy-id 复制 -i:指定端口文件 -p:port 指定端口号
- [root@nginx-kafka01 .ssh]# ssh-copy-id -p 22 -i id_rsa.pub root@192.168.2.132
- /usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "id_rsa.pub"
- /usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
- /usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
- #首先在这里第一次上传公钥的时候是需要输入对方机器的密码,后面执行的时候就不需要输入了
- root@192.168.2.132's password:
- Number of key(s) added: 1
- Now try logging into the machine, with: "ssh -p '22' 'root@192.168.2.132'"
- and check to make sure that only the key(s) you wanted were added
3、验证登录是否需要密码
在这里执行登录B服务机的时候就不需要输入密码了。
- [root@nginx-kafka01 .ssh]# ssh -p '22' 'root@192.168.2.132'
- Last login: Wed Jul 27 17:00:06 2022 from 192.168.2.118
此时会在对方的机器上生成一个文件authorized_key;里面存放的是对方的公钥,存放用来进行合法身份验证。证明是Linux。
- root@nginx-kafka02 .ssh]# ls
- authorized_keys known_hosts
小结:公钥(public key)和私钥(private key)
公钥和私钥是成对存在的,这两个密钥互不相同,两个密钥可以互相加密和解密。
不能根据一个密钥而推算出另外一个密钥。
公钥对外公开,私钥只有私钥的持有者才知道。
私钥应该由密钥持有者进行妥善保管
根据实现的功能不同,可以分为数据加密和数字签名。
三、公钥认证排错
1、确保公钥正确
2、确保~/.ssh/文件权限为600
3、确保家目录以及.ssh目录权限为755以下权限,即属组和其他人没有7的权限
ssh 192.168.119.137 -l sc -p 22 其中的 -l :指定用户名 ,-p:指定端口。
需要注意的是:登录是会默认会去寻找家目录下的~/.ssh/id_rsa去进行验证,所以尽量不要在生成key 的时候将它的默认路径更改。
当前客户机上的sc用户将生成的公钥放到服务器机上的家目录下,放在~/.ssh/know_hosts文件中
ssh命令登录:
-l:指定登录的用户名
-p:指定server的端口
-i:指定私钥文件,默认会在~/.ssh/去找私钥
-o:接特定设置选项
不接用户名的话,当前是什么用户,就会登录到对方的什么用户,比如当前是root用户,如果不指定的话,就会登录到对方的root用户。
无需输入yes,自动保存hostkey:
ssh -o StrictHostKeyChecking=no 192.168.0.132 -p 223
