私钥、公钥
私钥、公钥
一、SSH远程管理
•SSH(SecureShell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。
•SSH协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令。因此SSH协议具有很好的安全性。
•SSH客户端: Putty、Xshell、CRT
•SSH服务端: OpenSSH
✎OpenSSH 是实现SSH协议的开源软件项目,适用于各种UNIX、Linux操作系统
✎Centos7系统默认已安装openssh相关软件包,并已将sshd服务添加为开机自启动
✎执行“systemctl start sshd”命令即可启动sshd服务
✎sshd服务默认使用的是TCP的22端口
✎sshd服务的默认配置文件是/etc/ssh/sshd_config
ssh_config和sshd_config都是ssh服务器的配置文件,二者区别在于前者是针对客户端的配置文件,后者则是针对服务端的配置文件。
二、OpenSSH服务器
SSH(Secure Shell)协议
•是一种安全通道协议
•对通信数据进行了加密处理,用于远程管理
OpenSSH
•服务名称: sshd
•服务端主程序: /usr/sbin/sshd
•服务端配置文件: /etc/ssh/sshd_config
三、配置OpenSSH服务器
sshd_config配置文件的常用选项设置
vim /etc/ssh/sshd_config Port 22 #监听端口为22 ListenAddress 0.0.0.0 #监听地址为任意网段,也可以指定OpenSSH服务器的具体IP LoginGraceTime 2m #登录验证时间为2分钟 PermitRootLogin no #禁止root 用户登录 MaxAuthTries 6 #最大重试次数为6 PermitEmptyPasswords no #禁止空密码用户登录 UseDNS no #禁用DNS反向解析,以提高服务器的响应速度 #只允许zhangsan、lisi、 wangwu用户登录,且其中wangwu用户仅能够从IP地址为61.23.24.25的主机远程登录 AllowUsers zhangsan lisi wangwu@61.23.24.25 #多个用户以空格分隔 #禁止某些用户登录,用法于AllowUsers类似( 注意不要同时使用) DenyUsers zhangsan
四、sshd 服务支持两种验证方式
①密码验证
对服务器中本地系统用户的登录名称、密码进行验证。简便,但可能会被暴力破解
②密钥对验证
要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一对密钥文件(公钥、私钥),然后将公钥文件放到服
务器中的指定位置。远程登录时,系统将使用公钥、私钥进行加密/解密关联验证。能增强安全性,且可以免交互登录
③公钥和私钥的关系
•公钥和私钥是成对生成的,这两个密钥互不相同,可以互相加密和解密
•不能根据一个密钥来推算出另一一个密钥
•公钥对外公开,私钥只有私钥的持有人才知道
当密码验证、密钥对验证都启用时,服务器将优先使用密钥对验证。可根据实际情况设置验证方式
vim /etc/ssh/sshd_config PasswordAuthentication yes #启用密码验证 PubkeyAuthentication yes #启用密钥对验证 Authori zedKeysFile .ssh/ authorized_keys #指定公钥库文件
五、使用SSH客户端程序
①ssh远程登录
ssh [选项] zhangsan@192.168.30.12
当用户第一次登录SSH服务器时,必须接受服务器发来的ECDSA密钥(根据提示输入“yes”)后才能继续验证。接收的密钥信息将保存到~/.ssh/known_hosts文件中。密码验证成功以后,即可登录目标服务器的命令行环境中了
-p:指定非默认的端口号,缺省时默认使用22端口 ssh -p 2345 zhangsan@192.168.30.12
②scp远程复制
下行复制
scp root@192.168.80.11:/etc/passwd /root/passwd10. txt #将远程主机中的/etc/passwd文件复制到本机
上行复制
scp -r /etc/ssh/root@192.168.80.10:/opt #将本机的/etc/ssh目录复制到远程主机
③sftp 安全FTP
由于使用了加密/解密技术,所以传输效率比普通的FTP要低,但安全性更高。操作语法sftp与ftp几乎一样
sftp zhangsan@192.168.30.10 Connecting to 192.168.30.10... tsengyia@172.16.16.22's password: #输入密码 sftp> ls sftp> get文件名 #下载文件到ftp目录 sftp> put文件名 #上传文件到ftp目录 sftp> quit #退出
六、配置密钥对验证
①在客户端创建密钥对
通过ssh-keygeni工具为当前用户创建密钥对文件。可用的加密算法为RSA、ECDSA或DSA等 ( ssh-keygen命令的“-t”选项用于指定算法类型)
useradd 123 echo "zxc123"| passwd --stdin 123 Su - 123 ssh-keygen -t rsa Generating public/private ecdsa key pair . Enter file in which to save the key (/home/admin/.ssh/id_ecdsa) : #指定私钥位置,直接回车使用默认位置 Created directory '/home/ admin/.ssh'. #生成的私钥、公钥文件默认存放在宿主目录中的隐藏目录.ssh/下 Enter passphrase (empty for no passphrase) : #设置私钥的密码 Enter same passphrase again: #确认输入 1s -1 ~/.ssh/id_ ecdsa* #id_ ecdsa是私钥文件,权限默认为600; id_ ecdsa.pub是公钥文件,用来提供给SSH服务器
②将公钥文件.上传至服务器
scp ~/.ssh/ id_ecdsa.pub root@192.168.30.13:/opt 或 #此方法可直接在服务器的/home/root/.ssh/目录中导入公钥文本. cd ~/.ssh/ ssh-copy-id -i id_ecdsa.pub root@192.168.30.13
③在服务器中导入公钥文本
mkdir /home/123/. ssh/
cat /opt/id_ecdsa.pub >> /home/123/.ssh/authorized_keys
cat /home/123/. ssh/authorized_keys
④在客户端使用密钥对验证
ssh root@192.168.30.13 Enter passphrase for key '/home/admin/.ssh/id_ecdsa': #输入私钥的密码
⑤在客户机设置ssh代理功能,实现免交互登录
ssh-agent bash ssh-add Enter passphrase for /home/admin/.ssh/id_ecdsa: #输入私钥的密码 ssh root@192.168.80.12
例:
配置密钥对验证
将公钥文件上传至服务器
到服务器opt目录中查看,并导入公钥文本
在客户端使用密钥对验证
使用第二种方法上传公钥文件
到服务器查看一下
导入公钥文本并使用密钥对验证
在客户机设置ssh代理功能,实现免交互登录
