SSH使用密鑰登錄服務器

SSH 密鑰登錄

SSH 默認采用密碼登錄，這種方法有很多缺點，簡單的密碼不安全，復雜的密碼不容易記憶，每次手動輸入也很麻煩。密鑰登錄是更好的解決方案。

密鑰是什么

密鑰（key）是一個非常大的數字，通過加密算法得到。對稱加密只需要一個密鑰，非對稱加密需要兩個密鑰成對使用，分為公鑰（public key）和私鑰（private key）。

SSH 密鑰登錄采用的是非對稱加密，每個用戶通過自己的密鑰登錄。其中，私鑰必須私密保存，不能泄漏；公鑰則是公開的，可以對外發送。它們的關系是，公鑰和私鑰是一一對應的，每一個私鑰都有且僅有一個對應的公鑰，反之亦然。

如果數據使用公鑰加密，那么只有使用對應的私鑰才能解密，其他密鑰都不行；反過來，如果使用私鑰加密（這個過程一般稱為“簽名”），也只有使用對應的公鑰解密。

密鑰登錄的過程

SSH 密鑰登錄分為以下的步驟。

預備步驟，客戶端通過ssh-keygen或者用軟件生成自己的公鑰和私鑰。

第一步，手動將客戶端的公鑰放入遠程服務器的指定位置。

第二步，客戶端向服務器發起 SSH 登錄的請求。

第三步，服務器收到用戶 SSH 登錄的請求，發送一些隨機數據給用戶，要求用戶證明自己的身份。

第四步，客戶端收到服務器發來的數據，使用私鑰對數據進行簽名，然后再發還給服務器。

第五步，服務器收到客戶端發來的加密簽名后，使用對應的公鑰解密，然后跟原始數據比較。如果一致，就允許用戶登錄。

實驗一 客戶端192.168.13.32 連接 服務器 47.109.94.84

生成密鑰：ssh-key

密鑰登錄時，客戶端首先需要生成公鑰和私鑰。

OpenSSH 提供了一個工具程序ssh-keygen命令，用來生成密鑰。

直接輸入ssh-keygen，程序會詢問一系列問題，然后生成密鑰。

ssh-keygen

通常做法是使用-t參數，指定密鑰的加密算法。

ssh-keygen -t dsa

上面示例中，-t參數用來指定密鑰的加密算法，一般會選擇dsa算法或rsa算法。注意，這個參數沒有默認值。

執行ssh-keygen命令以后，會出現第一個問題，詢問密鑰保存的文件名，默認是~/.ssh/id_dsa文件，這個是私鑰的文件名，對應的公鑰文件~/.ssh/id_dsa.pub是自動生成的。用戶的密鑰一般都放在主目錄的.ssh目錄里面。

如果選擇rsa算法，生成的密鑰文件默認就會是~/.ssh/id_rsa（私鑰）和~/.ssh/id_rsa.pub（公鑰）。

接著，就會是第二個問題，詢問是否要為私鑰文件設定密碼保護（passphrase）。這樣的話，即使入侵者拿到私鑰，還是需要破解密碼。如果為了方便，不想設定密碼保護，可以直接按回車鍵，密碼就會為空。后面還會讓你再輸入一次密碼，兩次輸入必須一致。注意，這里“密碼”的英文單詞是 passphrase，這是為了避免與 Linux 賬戶的密碼單詞 password 混淆，表示這不是用戶系統賬戶的密碼。

最后，就會生成私鑰和公鑰，屏幕上還會給出公鑰的指紋，以及當前的用戶名和主機名作為注釋，用來識別密鑰的來源。

上面示例中，末尾的root@localhost.localdomain是公鑰的注釋，用來識別不同的公鑰，表示這是哪臺主機的哪個用戶的公鑰，不是必需項。

注意，公鑰只有一行。因為它太長了，所以上面分成三行顯示。

下面的命令可以列出用戶所有的公鑰。

ls -l ~/.ssh/id_*.pub

生成密鑰以后，建議修改它們的權限，防止其他人讀取。

chmod 600 ~/.ssh/id_rsa
chmod 600 ~/.ssh/id_rsa.pub

ssh-keygen命令的相關選項
（1）-b
-b參數指定密鑰的二進制位數。這個參數值越大，密鑰就越不容易破解，但是加密解密的計算開銷也會加大。
一般來說，-b至少應該是1024，更安全一些可以設為2048或者更高。
（2）-C
-C參數可以為密鑰文件指定新的注釋，格式為username@host。
下面命令生成一個4096位 RSA 加密算法的密鑰對，并且給出了用戶名和主機名。
ssh-keygen -t rsa -b 4096 -C "your_email@domain.com"
（3）-f
-f參數指定生成的私鑰文件。
ssh-keygen -t dsa -f mykey
上面命令會在當前目錄生成私鑰文件mykey和公鑰文件mykey.pub。
（4）-F
-F參數檢查某個主機名是否在known_hosts文件里面。
ssh-keygen -F example.com
（5）-N
-N參數用于指定私鑰的密碼（passphrase）。
ssh-keygen -t dsa -N secretword
（6）-p
-p參數用于重新指定私鑰的密碼（passphrase）。它與-N的不同之處在于，新密碼不在命令中指定，而是執行后再輸入。ssh 先要求輸入舊密碼，然后要求輸入兩遍新密碼。
（7）-R
-R參數將指定的主機公鑰指紋移出known_hosts文件。
ssh-keygen -R example.com
（8）-t
-t參數用于指定生成密鑰的加密算法，一般為dsa或rsa

手動上傳公鑰

生成密鑰以后，公鑰必須上傳到服務器，才能使用公鑰登錄。

OpenSSH 規定，用戶公鑰保存在服務器的~/.ssh/authorized_keys文件。你要以哪個用戶的身份登錄到服務器，密鑰就必須保存在該用戶主目錄的~/.ssh/authorized_keys文件。只要把公鑰添加到這個文件之中，就相當于公鑰上傳到服務器了。每個公鑰占據一行。如果該文件不存在，可以手動創建。

mkdir ~/.ssh
vi ~/.ssh/authorized_keys

用戶可以手動編輯該文件，把公鑰粘貼進去，也可以在本機計算機上，執行下面的命令。

cat ~/.ssh/id_rsa.pub | ssh user@host "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"

或者直接將公鑰文件內容復制到服務器即可

注意，authorized_keys文件的權限要設為644，即只有文件所有者才能寫。如果權限設置不對，SSH 服務器可能會拒絕讀取該文件。

chmod 644 ~/.ssh/authorized_keys

只要公鑰上傳到服務器，下次登錄時，OpenSSH 就會自動采用密鑰登錄，不再提示輸入密碼。

ssh -l root 47.109.94.84

上面例子中，SSH 客戶端使用私鑰之前，會要求用戶輸入密碼（passphrase），用來解開私鑰。