SSH基于口令及密钥方式的远程登录简单实现

2021年09月15日 阅读数:1
这篇文章主要向大家介绍SSH基于口令及密钥方式的远程登录简单实现,主要内容包括基础应用、实用技巧、原理机制等方面,希望对大家有所帮助。

SSH基于口令及密钥方式的远程登录简单实现

############################################
系统环境:Redhat Linux 6.5  [ 2.6.32-220.el6.x86_64 ]
软件版本: 
openssh-3.5p1-6
openssh-server-3.5p1-6
openssh-askpass-3.5p1-6
openssh-clients-3.5p1-6
openssh-askpass-gnome-3.5p1-6
目标功能:
Server A: 
  1Array2.168.1.1/24
  用户: tom  jerry
Station B: 
  1Array2.168.1.20/24
  用户: mikky
实现:
  一、仅容许tom jerry用户ssh登录到Server A,分别使用tom jerry用户的密码进行验证
  二、容许mikky在Station B机上ssh登录到Server A,使用jerry用户名和mikky的私钥短语进行验证,不须要jerry的密码
##############################################################
1、安装
  为方便使用,两台机器上ssh服务端/客户端软件包都安装。各软件均使用RHArray光盘中自带的rpm包,[步骤略]

2、基于口令认证的配置
  Server A : [默认启动的SSHD服务进程已经启用口令认证,可使用服务器上的用户名和密码登录]
    一、# vi /etc/ssh/sshd_config //仅解释部分选项
  Port 22    //服务监听的端口
  Protocol 2,1   //服务支持使用SSH 1.x和2.x协议
  ListenAddress 1Array2.168.1.1 //服务监听的IP地址
  LoginGraceTime 120  //120秒内未成功登录服务器将断开连接
  MaxStartups 10   //未成功登录的最大并发链接数
  PermitRootLogin no  //禁止root用户登录
  AllowUsers tom jerry  //仅容许jerry用户远程登录
  PubkeyAuthentication yes //容许使用基于密钥认证的方式登录
  AuthorizedKeysFile .ssh/authorized_keys  //服务器存放各客户端公钥的文件位置
  PasswordAuthentication yes //容许使用基于口令认证的方式登录
  PermitEmptyPasswords no  //禁止空密码的用户登录系统
  X11Forwarding yes  //容许对X11程序进行转发
    二、添加测试用户
Server A:
         # useradd tom ; passwd tom
         # useradd jerry ; passwd jerry
Server B:
  # useradd mikky ; passwd mikky
  
    三、# chkconfig --level 2345 sshd on
       # /etc/init.d/sshd start
  Station B : [分别测试tom、jerry、root及其它用户是否能正常登录,如按前例配置正常应该只有tom、jerry能够登录]
    四、# ssh 
jerry@1Array2.168.1.1
  //首次ssh登录后会自动建立~/.ssh/known_hosts文件保存服务器的公钥

3、基于密钥认证的配置
  Server A :
    0、# vi /etc/ssh/sshd_config  //参考第二步,根据须要修改设置,也可跳过此步
  PasswordAuthentication no //禁止使用基于口令认证的方式登录
  PubkeyAuthentication yes //容许使用基于密钥认证的方式登录
       # /etc/init.d/sshd reload
  基本步骤 : 
    一、客户端建立密钥对
在Station B系统中使用mikky用户登录,以mikky用户身份建立密钥对
# su - mikky
$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/mikky/.ssh/id_rsa):
Created directory ’/home/mikky/.ssh’.
Enter passphrase (empty for no passphrase):    //此处设置用于保护私钥的密码,及“密码短语”
Enter same passphrase again:
Your identification has been saved in /home/mikky/.ssh/id_rsa.
Your public key has been saved in /home/mikky/.ssh/id_rsa.pub.
The key fingerprint is:
a4:73:6a:Arraya:ea:ff:ef:1f:72:83:68:78:6d:e8:63:2b 
mikky@bbb.redhat.com
$ cat ~/.ssh/id_rsa.pub
    二、复制密钥到服务器
将mikky的公钥复制到服务器[可使用nfs/ftp/samba/http/email/sftp/scp等任意方式]
此处在Server A上以root用户身份操做,因使用scp,须要Station B启用SSHD服务
# mkdir -p /home/jerry/.ssh
# scp 
[email=mikky@1Array2.168.1.20:/home/mikky/.ssh/id_rsa.pub]mikky@1Array2.168.1.20:/home/mikky/.ssh/id_rsa.pub[/email]
/home/jerry/.ssh/authorized_keys
# chmod o+rx /home/jerry ; chown -R jerry:jerry /home/jerry  //在某些系统中须要修改权限,此处可跳过
    三、客户端测试密钥验证
# su - mikky   //确认以mikky用户登录Station B系统
$ ssh 
jerry@20.0.0.1
  //若是提示以下输入密码短语,说明密钥验证生效;不然请检查authorized_keys文件名及位置
Enter passphrase for key ’/home/mikky/.ssh/id_rsa’:
    四、客户端使用SSH代理 [此步可不做]
在Station B上使用ssh-agent代理验证,能够记住私钥密码短语,不用频繁验证
# su - mikky
$ ssh-agent /bin/bash  //新开一个bash进程,并在此进程中启用ssh代理
$ ssh-add -t 3600  //在一个小时内让ssh代理记住私钥的密码短语
Enter passphrase for /home/mikky/.ssh/id_rsa:
Identity added: /home/mikky/.ssh/id_rsa (/home/mikky/.ssh/id_rsa)
Lifetime set to 3600 seconds
$ ssh 
jerry@1Array2.168.1.1
  //一小时内再次重复登录,无需密码或密码短语,便可直接登录服务器
$ ssh-add -D   //清除全部已经记住的私钥密码短语bash