Openssh介绍

  • OpenSSH 是 SSH (Secure Shell) 协议的免费开源实现。SSH协议族可以用来进行远程控制, 或在计算机之间传送文件。而实现此功能的传统方式,如telnet(终端仿真协议)、 rcp ftp、 rlogin、rsh都是极为不安全的,并且会使用明文传送密码。OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控件和文件传输过程中的数据,并由此来代替原来的类似服务。

SSH工作原理

    

  • 1.服务器建立公钥: 每一次启动 sshd 服务时,该服务会主动去找 /etc/ssh/ssh_host* 的文件,若系统刚刚安装完成时,由于没有这些公钥,因此 sshd 会主动去计算出这些需要的公钥,同时也会计算出服务器自己需要的私钥。
  • 2.客户端主动联机请求: 若客户端想要联机到 ssh 服务器,则需要使用适当的客户端程序来联机,包括 ssh, putty 等客户端程序连接。
  • 3.服务器传送公钥给客户端: 接收到客户端的要求后,服务器便将第一个步骤取得的公钥传送给客户端使用 (此时应是明码传送,反正公钥本来就是给大家使用的)。
  • 4.客户端记录并比对服务器的公钥数据及随机计算自己的公私钥: 若客户端第一次连接到此服务器,则会将服务器的公钥记录到客户端的用户家目录内的 ~/.ssh/known_hosts 。若是已经记录过该服务器的公钥,则客户端会去比对此次接收到的与之前的记录是否有差异。若接受此公钥, 则开始计算客户端自己的公私钥。
  • 5.回传客户端的公钥到服务器端: 用户将自己的公钥传送给服务器。此时服务器:具有服务器的私钥与客户端的公钥,而客户端则是: 具有服务器的公钥以及客户端自己的私钥,你会看到,在此次联机的服务器与客户端的密钥系统 (公钥+私钥) 并不一样,所以才称为非对称加密系统。
  • 6.开始双向加解密:
    • (1)服务器到客户端:服务器传送数据时,拿用户的公钥加密后送出。客户端接收后,用自己的私钥解密。
    • (2)客户端到服务器:客户端传送数据时,拿服务器的公钥加密后送出。服务器接收后,用服务器的私钥解密,这样就能保证通信安全。

环境准备:

属性 跳板机 服务器-01 服务器-02
节点 wenCheng Server-01 Server-02
系统 CentOS Linux release 7.5.1804 (Minimal) CentOS Linux release 7.5.1804 (Minimal) CentOS Linux release 7.5.1804 (Minimal)
内核 3.10.0-862.el7.x86_64 3.10.0-862.el7.x86_64 3.10.0-862.el7.x86_64
SELinux setenforce 0 | disabled setenforce 0 | disabled setenforce 0 | disabled
Firewlld systemctl stop/disabled firewalld systemctl stop/disabled firewalld systemctl stop/disabled firewalld
IP地址 172.16.70.182 172.16.70.186 172.16.70.187

检查sshd相关设置信息,以跳板机为例。

# 是否已安装
[root@wenCheng ~]# rpm -qa | grep ssh
libssh2-1.4.3-10.el7_2.1.x86_64
openssh-clients-7.4p1-16.el7.x86_64
openssh-7.4p1-16.el7.x86_64
openssh-server-7.4p1-16.el7.x86_64
# 是否已监听端口
[root@wenCheng ~]# netstat -untpl | grep ssh
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 882/sshd
tcp6 0 0 :::22 :::* LISTEN 882/sshd
# 查看ssh版本
[root@wenCheng ~]# ssh -V
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017
# 是否开机启动
[root@wenCheng ~]# systemctl is-enabled sshd.service
enabled # 默认3对以不同方式加密的hostkey和配置文件config
[root@wenCheng ~]# ls -l /etc/ssh/ssh*
-rw-r--r--. 1 root root 2276 Apr 11 2018 /etc/ssh/ssh_config
-rw-------. 1 root root 3907 Apr 11 2018 /etc/ssh/sshd_config
-rw-r-----. 1 root ssh_keys 227 Dec 4 2020 /etc/ssh/ssh_host_ecdsa_key
-rw-r--r--. 1 root root 162 Dec 4 2020 /etc/ssh/ssh_host_ecdsa_key.pub
-rw-r-----. 1 root ssh_keys 387 Dec 4 2020 /etc/ssh/ssh_host_ed25519_key
-rw-r--r--. 1 root root 82 Dec 4 2020 /etc/ssh/ssh_host_ed25519_key.pub
-rw-r-----. 1 root ssh_keys 1679 Dec 4 2020 /etc/ssh/ssh_host_rsa_key
-rw-r--r--. 1 root root 382 Dec 4 2020 /etc/ssh/ssh_host_rsa_key.pub

默认/etc/ssh/sshd_config解析。

[root@Server-01 ~]# cat /etc/ssh/sshd_config
......
# default value.
#Port 22            # 默认ssh端口;可去掉"#"自定义数字,例 Port 2211
#AddressFamily any      # 默认any:IPv4,IPv6
#ListenAddress 0.0.0.0    # 默认监听所有IP地址;可去掉"#"自定义方式,例 ListenAddress host|IPv4|IPv4_addr:port
#ListenAddress :: # 私钥保存位置
HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key # Ciphers and keying        # 密码和密钥
#RekeyLimit default none # Logging             # 日志
#SyslogFacility AUTH       # #当有人使用SSH登录系统的时候,SSH会记录信息
SyslogFacility AUTHPRIV
#LogLevel INFO          # 设置日志等级 # Authentication:         # 身份认证 #LoginGraceTime 2m         # 限制登录时间不输入密码两分钟自动退出
#PermitRootLogin yes        # 是否允许root直接登录;建议设置为no
#StrictModes yes          # 是否检查.ssh/文件的所有者,权限
#MaxAuthTries 6           # 最大认证次数6;一般设为3
#MaxSessions 10           # 克隆会话最大连接 #PubkeyAuthentication yes     # 是否支持公钥验证(一般开启公钥验证关闭用户登录) # The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2
# but this is overridden so installations will only check .ssh/authorized_keys
AuthorizedKeysFile .ssh/authorized_keys      # 基于公钥认证机制时,来自客户端的公钥的存放位置 #AuthorizedPrincipalsFile none #AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody # For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes # To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes      
#PermitEmptyPasswords no        # 是否允许空密码,如果使用密码验证,这里最好设置no
PasswordAuthentication yes       # 是否使用密码验证,如果使用密钥对验证可以改为no # Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
ChallengeResponseAuthentication no    # 是否禁用s/key密码 # Kerberos options      # 与Kerberos 有关的参数设定,不用设定
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no
#KerberosUseKuserok yes # GSSAPI options
GSSAPIAuthentication yes     # 是否开启GSSAOI身份认证机制;建议设置no,加快ssh连接
GSSAPICleanupCredentials no
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no
#GSSAPIEnablek5users no # Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
# WARNING: 'UsePAM no' is not supported in Red Hat Enterprise Linux and may cause several
# problems.
UsePAM yes         # 是否启用PAM身份认证 #AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no      # 是否允许被远程主机所设置的本地转发端口绑定在非环回地址上
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PermitTTY yes
#PrintMotd yes       # 登入后是否显示设定的信息;建议设为no
#PrintLastLog yes      # 是否显示上次登入的信息
#TCPKeepAlive yes
#UseLogin no        # 是否接受login 这个程序的登入
#UsePrivilegeSeparation sandbox
#PermitUserEnvironment no  # 是否允许用户将环境选项呈现给ssh守护进程
#Compression delayed
#ClientAliveInterval 0   # 设置了ssh服务器端向其客户端发送请求消息(alive消息)的间隔时间,以检测客户端是否还存在,0表示不发送
#ClientAliveCountMax 3   # 允许客户端在接收到服务端的alive消息未响应的最大超时次数,如果客户端在最大超时次数内均未响应,ssh服务会自动终止与客户端的会话。
#ShowPatchLevel no
#UseDNS yes        # 是否将客户端主机名解析为IP,以检查此主机名是否与其IP地址真实对应;建议去到"#"设为no
#PidFile /var/run/sshd.pid   # sshd的PID路径文件
#MaxStartups 10:30:100  # 当连接数超过10会以30%的失败率拒绝用户登录(达到100,100%拒绝)
#PermitTunnel no
#ChrootDirectory none
#VersionAddendum none # no default banner path
#Banner none    # ssh登录提示信息,可去掉"#"自定义,指定全路径文件即可 # Accept locale-related environment variables
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS ## ===== 以下可自行添加到配置文件 =====
# AllowUsers wen    允许的用户登录(包括root)白名单
# DenyUsers cheng   拒绝的用户登录,黑名单(优先级高)
# AllowGroups XX    允许的用户组登录 
# DenyGroups XXX    拒绝的用户组登录
## ================================================
# override default of no subsystems
Subsystem sftp /usr/libexec/openssh/sftp-server # Example of overriding settings on a per-user basis
#Match User anoncvs
# X11Forwarding no
# AllowTcpForwarding no
# PermitTTY no
# ForceCommand cvs server

默认/etc/ssh/ssh_config解析。

[root@wenCheng ~]# cat /etc/ssh/ssh_config
.......
# Host *               # 选项“Host”只对能够匹配后面字串的计算机有效。“*”表示所有的计算机
# ForwardAgent no        # 连接是否经过验证代理(如果存在)转发给远程计算机
# ForwardX11 no         # X11连接是否被自动重定向到安全的通道和显示集
# RhostsRSAAuthentication no  # 是否使用用RSA算法的基于rhosts的安全验证
# RSAAuthentication yes     # 是否使用RSA算法进行安全验证
# PasswordAuthentication yes  # 是否使用口令验证
# HostbasedAuthentication no  # 是否启用基于主机的身份认证机制
# GSSAPIAuthentication no
# GSSAPIDelegateCredentials no
# GSSAPIKeyExchange no
# GSSAPITrustDNS no
# BatchMode no          # 是否在这台计算机上使用“rlogin/rsh”
# CheckHostIP yes        # 是否查看连接到服务器的主机的IP地址以防止DNS欺骗。建议设置为“yes”
# AddressFamily any      
# ConnectTimeout 0
# StrictHostKeyChecking ask   # 自动把计算机的密匙加入“$HOME/.ssh/known_hosts”文件;ask(默认)新的主机密钥将添加到用户知道的主机文件
# IdentityFile ~/.ssh/identity  # 从哪个文件读取用户的RSA安全验证标识
# IdentityFile ~/.ssh/id_rsa
# IdentityFile ~/.ssh/id_dsa
# IdentityFile ~/.ssh/id_ecdsa
# IdentityFile ~/.ssh/id_ed25519
# Port 22            # 连接到远程主机的端口
# Protocol 2
# Cipher 3des          # 加密用的算法
# Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
# MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
# EscapeChar ~         # 设置escape字符
# Tunnel no
# TunnelDevice any:any
# PermitLocalCommand no
# VisualHostKey no
# ProxyCommand ssh -q -W %h:%p gateway.example.com
# RekeyLimit 1G 1h
#
# Uncomment this if you want to use .local domain
# Host *.local
# CheckHostIP no Host *
GSSAPIAuthentication yes
# If this option is set to yes then remote X11 clients will have full access
# to the original X11 display. As virtually no X11 client supports the untrusted
# mode correctly we set this to yes.
ForwardX11Trusted yes
# Send locale-related environment variables
SendEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
SendEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
SendEnv LC_IDENTIFICATION LC_ALL LANGUAGE
SendEnv XMODIFIERS

SSH认证过程分两种:

1.基于口令认证。

  • SSH命令基本用法。
openssh套件中的客户端连接工具
ssh [options] [user@]hostname [command]
  -1:强制使用ssh协议版本1;
  -2:强制使用ssh协议版本2;
  -4:强制使用IPv4地址;
  -6:强制使用IPv6地址;
  -A:开启认证代理连接转发功能;
  -a:关闭认证代理连接转发功能;
  -b:使用本机指定地址作为对应连接的源ip地址;
  -C:请求压缩所有数据;
  -F:指定ssh指令的配置文件;
  -f:后台执行ssh指令;
  -g:允许远程主机连接主机的转发端口;
  -i:指定身份文件;
  -l:指定连接远程服务器登录用户名;
  -N:不执行远程指令;
  -o:指定配置选项;
  -p:指定远程服务器上的端口;
  -q:静默模式;
  -v:详细模式,将输出debug消息,可用于调试。"-vvv"可更详细。
  -V:显示版本号并退出。
  -o:指定额外选项,选项非常多。
user@hostname :指定ssh以远程主机hostname上的用户user连接到的远程主机上,若省略user部分,则表示使用本地当前用户。
:如果在hostname上不存在user用户,则连接将失败(将不断进行身份验证)。
command :要在远程主机上执行的命令。指定该参数时,ssh的行为将不再是登录,而是执行命令,命令执行完毕时ssh连接就关闭。 例:远程主机IP:172.16.70.186 用户:Wen 端口:2221
shell> ssh -l Wen 172.16.70.186 -p2221
shell> ssh Wen@172.16.70.186 -p2221
shell> ssh Wen@172.16.70.186 -p2221 'hostname'
  • # 跳板机首次远程连接服务器-01过程
[root@wenCheng ~]# ssh root@172.16.70.186
The authenticity of host '172.16.70.186 (172.16.70.186)' can't be established.
ECDSA key fingerprint is SHA256:ZGZdN+a+izupZH7iY2/2VLQhB60QNKvIBLiAJHmf4o4.
ECDSA key fingerprint is MD5:e4:2b:df:ac:73:b7:0b:95:a4:7e:4c:97:ba:6e:30:1a.
Are you sure you want to continue connecting (yes/no)? yes        ## 主机验证
# 这段话的意思是,无法确认host主机的真实性,只知道它的公钥指纹,问你还想继续连接吗?
# 所谓"公钥指纹",是指公钥长度较长很难比对,所以对其进行MD5计算,将它变成一个128位的指纹。上例中是e4:2b:df:ac:73:b7:0b:95:a4:7e:4c:97:ba:6e:30:1a,再进行比较,就容易多了。
# 那么用户怎么知道远程主机的公钥指纹应该是多少?回答是没有好办法,远程主机必须在自己的网站上贴出公钥指纹,以便用户自行核对。
Warning: Permanently added '172.16.70.186' (ECDSA) to the list of known hosts.
root@172.16.70.186's password:      ## 用户验证
Last login: Fri Jun 18 08:19:10 2021 from 172.16.70.182
# 当远程主机的公钥被接受以后,它就会被保存在文件$HOME/.ssh/known_hosts之中。下次再连接这台主机,系统就会认出它的公钥已经保存在本地了,从而跳过警告部分,直接提示输入密码。 [root@Server-01 ~]# ls -l /etc/ssh/ssh_host*
-rw-r-----. 1 root ssh_keys 227 Jun 17 15:59 /etc/ssh/ssh_host_ecdsa_key
-rw-r--r--. 1 root root 162 Jun 17 15:59 /etc/ssh/ssh_host_ecdsa_key.pub
-rw-r-----. 1 root ssh_keys 387 Jun 17 15:59 /etc/ssh/ssh_host_ed25519_key
-rw-r--r--. 1 root root 82 Jun 17 15:59 /etc/ssh/ssh_host_ed25519_key.pub
-rw-r-----. 1 root ssh_keys 1679 Jun 17 15:59 /etc/ssh/ssh_host_rsa_key
-rw-r--r--. 1 root root 382 Jun 17 15:59 /etc/ssh/ssh_host_rsa_key.pub # 查看服务器-01上的ecdsa_key.pub
[root@Server-01 ~]# cat /etc/ssh/ssh_host_ecdsa_key.pub
ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBDiaBpVrOEa+c82sjAXHl7TiQ9RJaPh9U4YLCinNAh3LH2ZX5ykkgEr7gA4Rq1Syd1S6/P3cUHQ5AbgkKiTOpcw=
[root@Server-01 ~]#
[root@Server-01 ~]# ssh-keygen -l -f /etc/ssh/ssh_host_ecdsa_key
256 SHA256:ZGZdN+a+izupZH7iY2/2VLQhB60QNKvIBLiAJHmf4o4 /etc/ssh/ssh_host_ecdsa_key.pub (ECDSA) [root@Server-01 ~]# logout    # Ctrl + d 退出;返回到跳板机
Connection to 172.16.70.186 closed.
# 查看跳板机上的known_hosts,对应服务器-01的ecdsa_key.pub
[root@wenCheng ~]# cat .ssh/known_hosts
172.16.70.186 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBDiaBpVrOEa+c82sjAXHl7TiQ9RJaPh9U4YLCinNAh3LH2ZX5ykkgEr7gA4Rq1Syd1S6/P3cUHQ5AbgkKiTOpcw=
[root@wenCheng ~]#
[root@wenCheng ~]# ssh-keygen -l -f .ssh/known_hosts
256 SHA256:ZGZdN+a+izupZH7iY2/2VLQhB60QNKvIBLiAJHmf4o4 172.16.70.186 (ECDSA)

2.基于公钥认证。

  • 使用口令认证,每次都必须输入密码,非常麻烦。好在SSH还提供了公钥登录,可以省去输入密码的步骤。
  • 所谓"公钥认证",原理很简单,就是用户将自己的公钥储存在远程主机上。登录的时候,远程主机会向用户发送一段随机字符串,用户用自己的私钥加密后,再发回来。远程主机用事先储存的公钥进行解密,如果成功,就证明用户是可信的,直接允许登录shell,不再要求密码。
     
  • ssh-keygen命令基本用法。
为ssh生成、管理和转换认证密钥
ssh-keygen [options] [command]
  -b:指定密钥长度;对于RSA密钥,最小要求768位,默认是2048位。DSA密钥必须恰好是1024位
  -e:读取openssh的私钥或者公钥文件;
  -c:修改私钥和公钥文件中的注释。
  -C:添加注释;
  -f:指定用来保存密钥的文件名;
  -i:读取未加密的ssh-v2兼容的私钥/公钥文件,然后在标准输出设备上显示openssh兼容的私钥/公钥;
  -l:显示公钥文件的指纹数据;
  -N:提供一个新密语;
  -P:提供(旧)密语;
  -q:静默模式;
  -t:指定要创建的密钥类型,dsa | ecdsa | ed25519 | rsa | rsa1。
  -v:详细模式。ssh-keygen 将会输出处理过程的详细调试信息。常用于调试模数的产生过程。 例:在服务器上生成rsa,4096位,使用者为Wen的密钥对。
shell> ssh-keygen -t rsa -b 4096 -C Wen
  • ssh-copy-id命令基本用法。
可以把本地主机的公钥复制到远程主机的authorized_keys文件上
ssh-copy-id [option] [user@]hostname
  -i 指定认证文件(公钥)
  -f 强制模式
  -n 测试,不实际替换
  -p port 指定端口
  -o option 指定其他 ssh 参数 例:将跳板机的/root/.ssh/id_rsa.pub公钥发送到远程服务器172.16.0.1的Wen用户上。
shell> ssh-copy-id -i /root/.ssh/id_rsa.pub Wen@172.16.0.1
  • # 跳板机首次远程连接服务器-02过程
# 在跳板机wenCheng操作
例1:交互式生成密钥对
[root@wenCheng ~]# ssh-keygen                    # 可自定义参数 -t rsa -b 4096 -C WenCheng
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):    # 回车,默认key保存路径/root/.ssh/id_rsa;可自定义,如/root/.ssh/WenCheng_rsa
Enter passphrase (empty for no passphrase):            # 回车,默认key不设置密码;建议设置密码
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:zyMrRak1AcDZf9SzJKKXLGwJwNjJfsdztHzF08t+URI root@wenCheng
The key's randomart image is:
+---[RSA 2048]----+
| =.+.+.. o .E. |
|. = + . + o B o .|
| . + B B + = o.|
| . . X & o . o. |
| . o OS+ . .|
| . .o . .|
| .. + . |
| . o . |
| .. |
+----[SHA256]-----+ [root@wenCheng ~]# ssh-keygen -l -f .ssh/id_rsa.pub    # 查看生成公钥指纹
2048 SHA256:zyMrRak1AcDZf9SzJKKXLGwJwNjJfsdztHzF08t+URI root@wenCheng (RSA) [root@wenCheng ~]# ls -l .ssh/
-rw-------. 1 root root 1679 Jun 18 17:23 id_rsa
-rw-r--r--. 1 root root 395 Jun 18 17:23 id_rsa.pub [root@wenCheng ~]# ssh-copy-id -i .ssh/id_rsa.pub root@172.16.70.187    # 将生成的公钥保存至172.16.70.187的root用户的/root/.ssh/authorized_keys
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: ".ssh/id_rsa.pub"
The authenticity of host '172.16.70.187 (172.16.70.187)' can't be established.
ECDSA key fingerprint is SHA256:c/5+RMbf79VeNEzwtdtk9cvRoWIDDRg890ew82Hfj+g.
ECDSA key fingerprint is MD5:41:ce:da:7c:7d:ce:93:ed:6f:c3:1d:81:6d:02:18:3b.
Are you sure you want to continue connecting (yes/no)? yes
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@172.16.70.187's password:    # root@172.16.70.187登入密码 Number of key(s) added: 1 Now try logging into the machine, with: "ssh 'root@172.16.70.187'"
and check to make sure that only the key(s) you wanted were added. # 在Server-02操作
[root@Server-02 ~]# ssh-keygen -l -f .ssh/authorized_keys
2048 SHA256:zyMrRak1AcDZf9SzJKKXLGwJwNjJfsdztHzF08t+URI root@wenCheng (RSA) ===================================================================================
例2:非交互式生成密钥对
[root@wenCheng ~]# ssh-keygen -f .ssh/id_rsa -N ''
Generating public/private rsa key pair.
Your identification has been saved in .ssh/id_rsa.
Your public key has been saved in .ssh/id_rsa.pub.
The key fingerprint is:
SHA256:/fbMSIjWa4wzqiuBs8y7bbvTk4DK4Qc3BB37rf4JGn0 root@wenCheng
The key's randomart image is:
+---[RSA 2048]----+
| ... |
| . .. |
| .. |
| .. . . |
| .o . .S . |
|o+.+. . o o |
|*o+o++.Eooo + |
|o=o+++o.= o+ = |
| o=**+++ +. . + |
+----[SHA256]-----+ [root@wenCheng ~]# ls -l .ssh/
-rw-------. 1 root root 1679 Jun 18 17:47 id_rsa
-rw-r--r--. 1 root root 395 Jun 18 17:47 id_rsa.pub [root@wenCheng ~]# ssh-keygen -l -f .ssh/id_rsa.pub
2048 SHA256:/fbMSIjWa4wzqiuBs8y7bbvTk4DK4Qc3BB37rf4JGn0 root@wenCheng (RSA) [root@Server-02 ~]# ls -l .ssh/
-rw-------. 1 root root 395 Jun 18 17:49 authorized_keys
[root@Server-02 ~]#
[root@Server-02 ~]# ssh-keygen -l -f .ssh/authorized_keys
2048 SHA256:/fbMSIjWa4wzqiuBs8y7bbvTk4DK4Qc3BB37rf4JGn0 root@wenCheng (RSA)
  • 跳板机批量实现非交互式双机互信
#跳板机root@172.16.70.182需要和root@172.16.70.186~root@172.16.70.190配置双机互信
[root@wenCheng ~]# cat ~/sshKey.sh
#!/bin/bash
# 创建密钥对
ssh-keygen -t rsa -b 4096 -C WenCheng -f ~/.ssh/wencheng_rsa -P "123456" &>/dev/null # 是否安装sshpass
rpm -q sshpass &>/dev/null || yum -y install sshpass &>/dev/null #批量分发公钥
for ip in `grep Server all_hosts | awk '{print $2}'`
do
echo "==== hsot $ip ===="
# ssh-keyscan $ip >> ~/.ssh/known_hosts 2 > /dev/null
sshpass -p 'centos' ssh-copy-id -i /root/.ssh/wencheng_rsa.pub -o StrictHostKeyChecking=no root@$ip &>/dev/null
REVAL=$?
if [ $REVAL -eq 0 ]
then
echo -e "\033[32m Send publickey to host $ip success!!!\033[0m"
echo
else
echo -e "\033[41;37m Send publickey to host $ip fail!!! \033[0m"
echo
fi
done [root@wenCheng ~]# cat ~/all_hosts
hostname ip
Server-01 172.16.70.186
Server-02 172.16.70.187
Server-03 172.16.70.188
Server-04 172.16.70.189
Server-05 172.16.70.190 [root@wenCheng ~]# ls .ssh/
id_rsa id_rsa.pub known_hosts wencheng_rsa wencheng_rsa.pub [root@wenCheng ~]# ssh -i .ssh/wencheng_rsa 172.16.70.186
Enter passphrase for key '.ssh/wencheng_rsa':        # 私钥密码 123456
Last login: Mon Jun 21 15:58:06 2021 from 172.16.70.182
[root@Server-01 ~]# hostname -I
172.16.70.186

虽然上面脚本实现了批量互信,但每次指定私钥的时候还得输入这个passphrase密码,此时该如何解决?

  • ssh-agent可以通过ssh-add命令向ssh-agent注册本机的私钥,ssh-agent会自动推导出这个私钥的指纹(实际上是ssh-add计算的)保存在自己的小本本里(内存),以后只要ssh连接某主机(某用户),将自动转发给ssh-agent,ssh-agent将自动从它的小本本里查找私钥的指纹并将其发送给服务端(sshd端)。如此一来,ssh客户端就无需再指定使用哪个私钥文件去连接。
  • 总的看上去,ssh-agent的角色就是帮忙存储、查找并发送对应的指纹而已,也就是说它是一个连接的转发人,扮演的是一个代理的角色。
  • ssh-agent命令基本用法。
ssh-agent就是一个密钥管理器,运行ssh-agent以后,使用ssh-add将私钥交给ssh-agent保管,其他程序需要身份验证的时候可以将验证申请交给ssh-agent来完成整个认证过程。
ssh-agent [options] [command [arg ...]
  -a bind_address:bind the agent to the UNIX-domain socket bind_address.
  -c:生成C-shell风格的命令输出。
  -d:调试模式。
  -k:把ssh-agent进程杀掉。
  -s:生成Bourne shell 风格的命令输出。
  -t life:设置默认值添加到代理人的身份最大寿命。 例:运行ssh-agent
shell> eval `ssh-agent`
shell> eval "$(ssh-agent)"
  • ssh-add命令基本用法。
把专用密钥添加到ssh-agent的高速缓存中
ssh-add [options] [file ...]
  -D:删除ssh-agent中的所有密钥.
  -d:从ssh-agent中的删除密钥
  -e pkcs11:删除PKCS#11共享库pkcs1提供的钥匙。
  -s pkcs11:添加PKCS#11共享库pkcs1提供的钥匙。
  -L:显示ssh-agent中的公钥
  -l:显示ssh-agent中的密钥
  -t life:对加载的密钥设置超时时间,超时ssh-agent将自动卸载密钥
  -X:对ssh-agent进行解锁
  -x:对ssh-agent进行加锁

使用ssh-agent和ssh-add命令完美解决。

# 跳板机使用指定公钥远程连接服务器
[root@wenCheng ~]# ls .ssh/
id_rsa id_rsa.pub known_hosts wencheng_rsa wencheng_rsa.pub [root@wenCheng ~]# eval `ssh-agent`
Agent pid 16800
[root@wenCheng ~]# ssh-add .ssh/wencheng_rsa
Enter passphrase for .ssh/wencheng_rsa:      # 只在这里输入私钥一次密码
Identity added: .ssh/wencheng_rsa (.ssh/wencheng_rsa)
[root@wenCheng ~]# ssh-add -l
4096 SHA256:m9Og2cC65AIfkT6/jXa/L09BUzBsyOV4V9t0XEmNK/0 .ssh/wencheng_rsa (RSA) [root@wenCheng ~]# ssh 172.16.70.186    # 无需再输私钥密码
Last failed login: Mon Jun 21 16:11:53 CST 2021 from 172.16.70.182 on ssh:notty
There were 2 failed login attempts since the last successful login.
Last login: Mon Jun 21 15:59:50 2021 from 172.16.70.182
[root@Server-01 ~]# hostname -I
172.16.70.186
[root@Server-01 ~]# logout
Connection to 172.16.70.186 closed. [root@wenCheng ~]# ssh 172.16.70.187    # 无需再输私钥密码
Last login: Mon Jun 21 15:58:10 2021 from 172.16.70.182
[root@Server-02 ~]# hostname -I
172.16.70.187
  • 查询ssh-agent PID 并结束进程
[root@wenCheng ~]# pgrep -l -f ssh-agent
16797 ssh-agent
16800 ssh-agent
[root@wenCheng ~]# ps -ef | grep ssh-agent
root 16797 1 0 16:13 ? 00:00:00 ssh-agent
root 16800 1 0 16:13 ? 00:00:00 ssh-agent [root@wenCheng ~]# ssh-agent -k
[root@wenCheng ~]# pkill ssh-agent
  • SSH 别名设置,此方法配合ssh 免密码登录 密钥登录可以快速登录服务器。
[root@wenCheng ~]# cat .ssh/config
Host Server-01
HostName 172.16.70.186
User root
Port 22
IdentityFile ~/.ssh/wencheng_rsa Host Server-02
Hostname 172.16.70.187
User root
Port 22
IdentityFile ~/.ssh/wencheng_rsa 解析:
Host:别名
HostName:指定登录的主机名或IP地址
Port:指定登录的端口号
User:登录用户名
IdentityFile:登录的私钥文件 [root@wenCheng ~]# eval `ssh-agent`
Agent pid 18137
[root@wenCheng ~]# ssh-add .ssh/wencheng_rsa
Enter passphrase for .ssh/wencheng_rsa:      # 前面已设置的密码 123456
Identity added: .ssh/wencheng_rsa (.ssh/wencheng_rsa) [root@wenCheng ~]# ssh-add -l
4096 SHA256:m9Og2cC65AIfkT6/jXa/L09BUzBsyOV4V9t0XEmNK/0 .ssh/wencheng_rsa (RSA) # 使用别名远程登录172.16.70.186,172.16.70.187 也已无需反复输入key密码
[root@wenCheng ~]# ssh Server-01
Last login: Tue Jun 22 16:14:04 2021 from 172.16.70.182
[root@Server-01 ~]# hostname -I
172.16.70.186
[root@Server-01 ~]# logout
Connection to 172.16.70.186 closed. [root@wenCheng ~]# ssh Server-02
Last login: Tue Jun 22 16:13:51 2021 from 172.16.70.182
[root@Server-02 ~]# hostname -I
172.16.70.187

附:ssh排查问题

1.判断物理链路是否通ping   本身是icmp协议

2.判断服务是否正常
telnet 172.16.70.186 3.Linux防火墙
systemctl status firewalld   4.打开ssh的调测进行观察
ssh -vvv Wen@172.16.70.186
 
 
 
 
 
 
 
 

Linux下的SSH,你知道多少?的更多相关文章

  1. linux下开启SSH,并且允许root用户远程登录,允许无密码登录

    参考:http://blog.csdn.net/jia0511/article/details/8237698 1. 允许root用户远程登录 修改ssh服务配置文件 sudo vi /etc/ssh ...

  2. ssh-keygen+ssh-copy-id 在linux下实现ssh无密码登录访问(转)

    转自:http://blog.csdn.net/pennyliang/article/details/8556662 ssh-keygen+ssh-copy-id 在linux下实现ssh无密码登录访 ...

  3. linux 下的ssh免密登陆设置

    一,原理 说明: A为linux服务器a B为linux服务器b 每台linux都有ssh的服务端和客户端,linux下的ssh命令就是一个客户端 我们常用ssh协议来进行登陆或者是文件的拷贝,都需要 ...

  4. Linux 下使用 ssh 登录局域网其他电脑的方法

    Linux 下使用 ssh 登录局域网其他电脑的方法 首先查看电脑是否安装 ssh 客户端,如果没有执行下面命令安装客户端. sudo apt-get install openssh-client s ...

  5. Linux下使用SSH、Crontab、Rsync三工具实现数据自动备份

    Linux下使用SSH.Crontab.Rsync三工具实现数据自动备份 作为网管人员大概都无一例外的经历过系统备份,尤其是重要系统的备份.重要数据库系统的备份工作.由于备份是个频繁而琐碎的工作,如何 ...

  6. linux下的.ssh文件夹路径等

    1.linux下的.ssh文件夹在~下,直接cd ~/.ssh即可 2.tp经过gd类处理过的水印图片格式为png 3.前端扒下别人家的网站如果自己本地打开有出现相同的代码段则有可能是js动态添加的, ...

  7. linux下的ssh工具之,本地上传到linux服务器and Linux服务器文件另存为本地。非sftp工具。

    首先,当你只有一个ssh工具可以连接linux,但你有想把文件在 linux 和windows(本地)直接的切换.其实可以的: 本文参考 1.将本地的文件,放到ssh远程的linux服务器上: 首先要 ...

  8. 【转】linux下安装ssh服务器端及ssh的安全配置

    一.在服务器上安装ssh的服务器端. $ sudo apt-get install openssh-server 2. 启动ssh-server. $ /etc/init.d/sshrestart 3 ...

  9. Linux下设置SSH端口

    SSH 为 Secure Shell的缩写,由 IETF 的网络小组(Network Working Group)所制定:SSH 为建立在应用层基础上的安全协议.SSH 是目前较可靠,专为远程登录会话 ...

  10. Linux下利用ssh远程文件传输 传输命令 scp

    在linux下一般用scp这个命令来通过ssh传输文件. 一.scp是什么? scp是secure copy的简写,用于在Linux下进行远程拷贝文件的命令,和它类似的命令有cp,不过cp只是在本机进 ...

随机推荐

  1. 华为eNSP模拟器— telnet实验

    华为eNSP模拟器-telnet实验 一.实验一 路由交换之间实现telnet登陆 实验拓扑 实验目的: 路由器作为 telnet 服务器 交换机作为客户端去连接路由器 实验步骤: 路由器配置 < ...

  2. stm32 向W25Q256FLASH中通过 FATFS文件系统写入数据 写多了之后出现错误,之前存储的全都找不到了

    stm32 像W25Q256FLASH中通过  FATFS文件系统写入数据  写多了之后出现错误,之前存储的全都找不到了 http://firebbs.cn/thread-23490-1-1.html ...

  3. Linux系统编程【5】——stty的学习

    从文件的角度看设备 之前几篇文章介绍的编程是基于文件的.数据可以保存在文件中,也可以从文件中取出来做处理,再存回去.不仅如此,Linux操作系统还专门为这个东西建立了一套规则,就是前期介绍的" ...

  4. unity inputfield 过滤emoji输入

    unity版本:unity2017.1.5f1 复现步骤:InputField在安卓手机InputField连续输入两个emoji会报错 报错内容: 2020-01-08 19:56:38.366 2 ...

  5. macOS Big Sur 11.4 (20F71) 正式版(DMG、ISO、IPSW),百度网盘下载

    本站提供的 macOS Big Sur 软件包,既可以拖拽到 Applications(应用程序)下直接安装,也可以制作启动 U 盘安装,或者在虚拟机中启动安装. 请访问原文链接:https://sy ...

  6. 浅谈,seata在使用feign-url通过域名调用时分布式事务不生效的问题及解决

    浅谈,seata在使用feign-url通过域名调用时分布式事务不生效的问题及解决 ​ 在前几个月时,我们项目出现了分布式事务的问题,那么什么是分布式事务问题呢,简单的说,我们有俩服务A和B,它们对应 ...

  7. VUE3后台管理系统【路由鉴权】

    前言: 在"VUE3后台管理系统[模板构建]"文章中,详细的介绍了我使用vue3.0和vite2.0构建的后台管理系统,虽然只是简单的一个后台管理系统,其中涉及的技术基本都覆盖了, ...

  8. 机器学习PAI产品架构

    机器学习PAI产品架构 本文介绍PAI的产品架构. 如上图所示,PAI的业务架构分为五层: 基础设施层:包括CPU.GPU.FPGA及NPU. 计算引擎和容器服务层:包括MaxCompute.EMR. ...

  9. Django(63)drf权限源码分析与自定义权限

    前言 上一篇我们分析了认证的源码,一个请求认证通过以后,第二步就是查看权限了,drf默认是允许所有用户访问 权限源码分析 源码入口:APIView.py文件下的initial方法下的check_per ...

  10. AgileConfig轻量级配置中心1.3.0发布,支持多用户权限控制

    AgileConfig 当初是设计给我自己用的一个工具,所以只设置了一道管理员密码,没有用户的概念.但是很多同学在使用过后都提出了需要多用户支持的建议.整个团队或者整个公司都使用同一个密码来管理非常的 ...