ssh免密登录原理
亲,你好哦!ssh免密登录原理引用百度百科的一句话,SSH 为 Secure Shell 的缩写,由 IETF 的网络小组(Network Working Group)所制定;SSH 为建立在应用层基础上的安全协议。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。 说白了ssh其实就是一种远程登录的协议,由于它的权威性,目前是比较安全和可靠的。亲,您好!以上就是我对这个问题的回答,如果觉得我回答得很满意,请关注我以后进行一对一咨询哦,再请您稍微手动一下,给我一个赞哦!欢迎再来咨询呢!【摘要】
ssh免密登录原理【提问】
亲,你好哦!ssh免密登录原理引用百度百科的一句话,SSH 为 Secure Shell 的缩写,由 IETF 的网络小组(Network Working Group)所制定;SSH 为建立在应用层基础上的安全协议。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。 说白了ssh其实就是一种远程登录的协议,由于它的权威性,目前是比较安全和可靠的。亲,您好!以上就是我对这个问题的回答,如果觉得我回答得很满意,请关注我以后进行一对一咨询哦,再请您稍微手动一下,给我一个赞哦!欢迎再来咨询呢!【回答】
ssh免密码登陆及其原理
[TOC] ssh 无密码登录要使用公钥与私钥。linux下可以用用ssh-keygen生成公钥/私钥对,下面以CentOS为例。有机器A(192.168.64.21),B(192.168.64.22)。 目标:A通过ssh免密码登录到B 特意强调,使用参数可以省去生成公钥/私钥的回车步骤 备注: 第一次登录需输入yes,现在A机可以无密码登录B机了,B登陆A,也同样,在B中生成公钥和私钥对,将公钥写入authorized_keys中,然后同步A、B中的authorized_keys,使其一致就ok了。 也即就是:登录的机子有私钥,被登录的机子要有登录机子的公钥,这个公钥/私钥对一般在私钥宿主机产生。上面是用rsa算法(不对称加密算法)的公钥/私钥对,当然也可以用dsa(对称加密算法:对应的文件是id_dsa,id_dsa.pub) SSH是为建立在应用层和传输层基础上的安全协议( OSI七层与TCP/IP五层网络架构详解 )。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用SSH 协议可以有效防止远程管理过程中的信息泄露问题。 从客户端来看,SSH提供两种级别的安全验证: 只要知道帐号和口令,就可以登录到远程主机。所有传输的数据都会被加密,但缺点是:不能保证你正在连接的服务器就是你想连接的服务器。以下是登录验证流程: 当第一次链接远程主机时,会提示你当前主机的”公钥指纹”,询问你是否继续,如果选择继续后就可以输入密码进行登录了,当远程的主机接受以后,该台服务器的公钥就会保存到~/.ssh/known_hosts文件中。 这种验证的前提是客户端需要生成一对密钥,将公钥放到需访问的远程服务器。这种验证比上一种的好处是,不能仿冒真正的服务器,因为要仿冒必须拿到客户端生成的公钥。缺点就是验证等待过程稍长些。 1、在客户端打开终端,执行 ssh-keygen ,该命令会默认在 ~/.ssh/ 目录下创建 id_rsa 、 id_rsa.pub 两个文件,分别为你的公钥和私钥 2、将公钥 id_rsa.pub 文件拷贝到服务器端的 ~/.ssh/authorized_keys 文件中,可通过scp拷贝 A要免密码登录到B,B首先要拥有A的公钥,然后B要做一次加密验证。非对称加密,公钥加密的密文不能公钥解开,只能私钥解开 ssh-agent ssh-agent是密钥管理器,是一种控制用来保存公钥身份验证所使用的私钥的程序 运行ssh-agent以后,使用ssh-add将私钥交给ssh-agent保管,其他程序需要身份验证的时候可以将验证申请交给ssh-agent来完成整个认证过程 ssh-agent是管理多个ssh key的代理,受管理的私钥通过ssh-add来添加 好处1:不用重复输入密码 用 ssh-add 添加私钥时,如果私钥有密码的话,照例会被要求输入一次密码,在这之后ssh-agent可直接使用该私钥,无需再次密码认证。 好处2:不用到处部署私钥 假设私钥分别可以登录同一内网的主机 A 和主机 B,出于一些原因,不能直接登录 B。可以通过在 A 上部署私钥或者设置 Forwarding(转发) 登录 B,也可以转发认证代理连接在 A 上面使用ssh-agent私钥登录 B;可以在A上直接sftp传文件到B上。 如这边有一台机器是local,能通过公钥直接登陆server1和server2。server1和server2之间无公钥登陆。 现在要在server1上直接登陆server2,在local上执行 执行了之后就将私钥给ssh-agent保管了,server1上面登陆server2的时候,需要私钥验证的时候直接找ssh-agent要就可以了 接下来登陆server1,注意-A 可以发现server1上多了/tmp/ssh-xxxxxxxxx/agent.xxxxx的socket,之后神奇的事发生了,在 server1上可直接进server2,只需执行如下命令,如果加了-A则可以继续ssh forwarding(转发) ,以至无限的机器forwarding。 ssh (-A) server2 同样的原理可以试一下sftp, scp等基于ssh的命令。 如运行ssh-add,遇到 Could not open a connection to your authentication agent.。 解决: 需要ssh-agent启动bash,或者说把bash挂到ssh-agent下面。 1 ssh免密码登陆及其原理
centos怎么配置ssh免密码
#环境说明
客户机:Mac OS X
服务器:CentOS 6.5
客户端:OpenSSH,OS X及大多数Linux都内置了OpenSSH.’ssh -v’命令可以查看版本.
#大致流程
1.在客户机创建一对密钥文件,包括公钥文件(~/.ssh/id_rsa.pub),私钥文件(~/.ssh/id_rsa).
2.把公钥放到服务器上(~/.ssh/authorized_keys),在使用ssh登录时,ssh程序会发送私钥去和服务器上的公钥做匹配。如果匹配成功就可以自动登录了。
#客户机配置
1.查看~/.ssh文件夹,若已经存在有公钥文件(id_rsa.pub),私钥文件(id_rsa),则可以跳过客户端配置.
2.生成密钥文件.
$ ssh-keygen
然后一路回车.
然后~/.ssh下会生成id_rsa.pub和id_rsa, 其中id_rsa文件起到唯一标识你的客户机的作用.
注意:不要改这两个文件的文件名,ssh登陆时会读取id_rsa文件.
#服务器配置
1.修改sshd配置文件(/etc/ssh/sshd_config).
找到以下内容,并去掉注释符”#“
=========================
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
=========================
2.配置authorized_keys文件.
若’~/.ssh/authorized_keys’不存在,则建立.ssh文件夹和authorized_keys文件.
将上文中客户机id_rsa.pub的内容拷贝到authorized_keys中.
PS:可以在客户机中执行命令来拷贝:
cat ~/.ssh/id_rsa.pub | ssh user@host “cat - >> ~/.ssh/authorized_keys”
注意:
1) .ssh目录的权限必须是700
2) .ssh/authorized_keys文件权限必须是600
3.重启sshd.
$ /etc/init.d/sshd restart
#测试
客户机执行:ssh -v user@host (-v 调试模式)
会显示一些登陆信息.
若登陆失败,或者仍然要输入密码,可以在服务器查看日志文件:/var/log/secure.
若登陆成功,则以后就可以用’ssh user@host’ 直接登陆了,不用输入密码.
centos怎么配置ssh免密码?
#环境说明\x0d\x0a客户机:Mac OS X\x0d\x0a服务器:CentOS 6.5\x0d\x0a客户端:OpenSSH,OS X及大多数Linux都内置了OpenSSH.’ssh -v’命令可以查看版本.\x0d\x0a\x0d\x0a#大致流程\x0d\x0a1.在客户机创建一对密钥文件,包括公钥文件(~/.ssh/id_rsa.pub),私钥文件(~/.ssh/id_rsa).\x0d\x0a\x0d\x0a2.把公钥放到服务器上(~/.ssh/authorized_keys),在使用ssh登录时,ssh程序会发送私钥去和服务器上的公钥做匹配。如果匹配成功就可以自动登录了。\x0d\x0a\x0d\x0a#客户机配置\x0d\x0a1.查看~/.ssh文件夹,若已经存在有公钥文件(id_rsa.pub),私钥文件(id_rsa),则可以跳过客户端配置.\x0d\x0a\x0d\x0a2.生成密钥文件.\x0d\x0a$ ssh-keygen \x0d\x0a然后一路回车.\x0d\x0a然后~/.ssh下会生成id_rsa.pub和id_rsa, 其中id_rsa文件起到唯一标识你的客户机的作用.\x0d\x0a注意:不要改这两个文件的文件名,ssh登陆时会读取id_rsa文件.\x0d\x0a\x0d\x0a#服务器配置\x0d\x0a1.修改sshd配置文件(/etc/ssh/sshd_config).\x0d\x0a找到以下内容,并去掉注释符”#“\x0d\x0a=========================\x0d\x0a RSAAuthentication yes\x0d\x0a PubkeyAuthentication yes\x0d\x0a AuthorizedKeysFile .ssh/authorized_keys\x0d\x0a=========================\x0d\x0a\x0d\x0a2.配置authorized_keys文件.\x0d\x0a若’~/.ssh/authorized_keys’不存在,则建立.ssh文件夹和authorized_keys文件.\x0d\x0a将上文中客户机id_rsa.pub的内容拷贝到authorized_keys中.\x0d\x0aPS:可以在客户机中执行命令来拷贝:\x0d\x0acat ~/.ssh/id_rsa.pub | ssh user@host “cat - >> ~/.ssh/authorized_keys”\x0d\x0a\x0d\x0a注意:\x0d\x0a1) .ssh目录的权限必须是700\x0d\x0a2) .ssh/authorized_keys文件权限必须是600 \x0d\x0a\x0d\x0a3.重启sshd.\x0d\x0a$ /etc/init.d/sshd restart\x0d\x0a\x0d\x0a#测试\x0d\x0a客户机执行:ssh -v user@host (-v 调试模式)\x0d\x0a会显示一些登陆信息.\x0d\x0a若登陆失败,或者仍然要输入密码,可以在服务器查看日志文件:/var/log/secure.\x0d\x0a\x0d\x0a若登陆成功,则以后就可以用’ssh user@host’ 直接登陆了,不用输入密码.
如何通过linux ssh远程linux不用输入密码登入
前言
我们在进行客户机到主机的SSH连接的时候,往往采用PASSWORD登陆的方式,总是显得很繁琐。我们可以更具RSA密钥来避免这种登陆方式。
场景
我们需要从client机器上远程登陆server机器。登陆方式采用RSA密钥免密码登陆方式。其中client机器为Fedora,server为Ubuntu。
步骤
客户机生成密钥
用corey登陆客户机client。
[corey@corey-fedora .ssh]$Su
[corey@corey-fedora .ssh]$Chmod a+w /home/corey/.ssh
[corey@corey-fedora .ssh]$Su corey
[corey@corey-fedora .ssh]$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/corey/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/corey/.ssh/id_rsa.
Your public key has been saved in /home/corey/.ssh/id_rsa.pub.
The key fingerprint is:
d4:4b:69:f3:19:bc:bf:82:56:40:43:4c:57:02:43:1a corey@corey-fedora
The key's randomart image is:
+--[ RSA 2048]----+
| E=*.o.. |
| ++= . |
| o.*.o |
| . o.+ + |
| S ..+ |
| .. |
| o . |
| o . . |
| . .. |
+-----------------+
[corey@corey-fedora .ssh]$ ls
id_rsa id_rsa.pub
上传公钥至服务器
用corey登陆server服务器。将id_rsa.pub上传到/home/corey/.ssh
corey@corey-ubuntu:~/.ssh$ cat id_rsa.pub >>authorized_keys
corey@corey-ubuntu:~/.ssh$ ls
authorized_keys id_rsa id_rsa.pub
corey@corey-ubuntu:~/.ssh$ chmod 644 authorized_keys
corey@corey-ubuntu:~/.ssh$ ls
authorized_keys id_rsa id_rsa.pub
corey@corey-ubuntu:~/.ssh$
从客户机client登陆server
[corey@corey-fedora .ssh]$ ssh 192.168.1.103
The authenticity of host '192.168.1.103 (192.168.1.103)' can't be established.
RSA key fingerprint is 5b:3b:4d:00:b6:9f:e7:d6:fb:e9:9f:25:40:4d:4a:50.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.1.103' (RSA) to the list of known hosts.
Linux corey-ubuntu 2.6.28-11-generic #42-Ubuntu SMP Fri Apr 17 01:57:59 UTC 2009 i686
The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.
Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.
To access official Ubuntu documentation, please visit:
http://help.ubuntu.com/
285 packages can be updated.
318 updates are security updates.
Last login: Wed Jun 16 10:37:01 2010 from 192.168.1.100
Note
客户机的.ssh目录必须在生成rsa密钥的时候可写
服务主机的.ssh权限为700
服务主机的authorized_keys权限为644
主机和客户机的用户用户名相同(本文同为corey)
linux下如何开通ssh,允许远程登录?
ssh是可以代替telnet的一种远程管理的方式.并且具有安全\快捷等优点的一种服务.
方法一:进入Xwindows, 在shell窗口执行setup命令,选择system service启动sshd服务.
方法二:在/etc/ssh/sshd_config 文件中,将permitRootLogin no|yes设置为允许root用户远程登录
/etc/init.d/sshd start 启动ssh服务
/etc/init.d/sshd stop关闭服务
启动:
service sshd start
安装过程:
1.以root身份登入系统(没登入系统和没有足够的权限都不能安装,晕,这不是废话)
2.检查安装系统时是否已经安装SSH服务端软件包:
rpm -qa|grep openssh
若显示结果中包含openssh-server-*,则说明已经安装,直接启动
sshd服务就可以了(service sshd start).(其中*的内容是该包的版本,一般为3.5p1-6)
若无任何显示,或显示中不包含openssh-server-*则说明没有安装SSH服务端软件包, 进入第3步
3.找到redhat 9.0 安装光盘,放入光驱中并加载光驱
mount -t iso9660 /dev/cdrom /mnt/cdrom (加载光驱命令)
4.查找光驱中的SSH服务端软件所在目录,一般在/mnt/cdrom/RedHat/RPMS/目录下,
可以先cd到该目录下再用ls查看,如:ls openssh*,然后根据上面具体显示直接安装
rpm -ivh openssh-3.5p1-6 (如果第二步中显示已经安装该包就不要安装)
rpm -ivh oeenssh-server-3.5p1-6
5.启动sshd服务 /etc/rc.d/init.d/sshd start
netstat -a | more看有没正常启动
如果出现:
tcp 0 0 *:ssh *:* LISTEN
就说明正常启动了
6.在windows 下用putty等SSH客户端软件连接测试,或直接在linux主机上输入
ssh 测试,但必须要先安装linux 下的SSH客户端软件包,即
openssh-clients-*,安装过程和上面的服务端包相同
7.若能成功远程登入,则说明SSH服务安装配置成功,
否则很可能就是你的防火墙阻止连接了,重新配置防火墙或干脆先停掉防火墙
(/etc/rc.d/init.d/iptables stop) 就可以连接了
或者service iptables stop