SSH的使用

2022-01-19 本文已影响0人大亮code

概念:

SSH是标准的网络协议，可用于大多数UNIX操作系统，能够实现字符界面的远程登录管理，它默认使用22号端口，采用密文的形式在网络中传输数据。

SSH 主要有两个优点:
1.专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。通过SSH可以对所有传输的数据进行加密，也能够防止DNS欺骗和IP欺骗。
2.为其传输的数据可以是经过压缩的，所以可以加快传输的速度.

最初的 SSH 协议由芬兰一家公司的研究员Tatu Ylönen于1995年设计开发，但是由于版权和加密算法的等等的限制，很多人转而使用开源的自由软件 OpenSSH.

SSH 提供了两种级别的安全认证，基于密码的安全认证和基于密钥的安全认证：

1.基于密码的安全认证
基于密码的安全认证，登录的时候需要提供账号和密码；远程主机将自己的公钥分发给登录客户端，客户端访问主机使用该公钥加密；远程主机使用自己的私钥解密数据。

登录的流程如下：

1.远程主机收到用户登录请求，将自己的公钥发给用户
2.用户通过远程主机公钥的指纹确认主机的真实性，然后使用远程主机公钥将登录密码加密后，发送回远程主机
3.远程主机使用自己的私钥解码登录密码，验证密码正确后，允许用户登录

中间人攻击
基于密码的安全认证无法避免中间人攻击：

网络提供者(ISP、公共 wifi 提供者等，或其它形式拦截者)，拦截用户的登录请求，用自己的公钥伪造远程主机的公钥发送给用户，然后获取用户加密后的密码，用自己的私钥解密已获取用户密码，这样用户的账号密码就被盗取了。
说到底就是服务器没法验证,容易被伪造,也不是绝对安全.

基于密钥的安全认证
1.基于密钥的安全认证，客户端将将公钥上传到服务器。
2.登录的时候，客户端向服务器发送登录请求；
3.服务器收到请求后，向用户发送一段随机字符串；
4.用户用自己的私钥加密后，再发送回服务器；
5.服务器使用事先存储的公钥进行解密，如果解密成功，证明用户可信，允许登录.
这种方式，在登录服务器的过程中，不需要上传密码，增加了安全性。

场景

SSH 我们平时最常用的场景是利用github,平常情况我们只用生成一个秘钥就可以了,但是有时新到一个公司,可能电脑上已经已经有了一个rsa秘钥对,这个秘钥对已经用在公司的代码平台上.这时你直接把这个这个秘钥对用在github,github有可能报你这个key已经用过,不让你添加,你重新生成一个,然后就会出现下面的报错.这时就需要配置config文件了.还有一点就是可能你一提交代码就是显示原来用户的提交的,这时你就可以用 git config做一些新的配置.

fatal: Could not read from remote repository.

Please make sure you have the correct access rights
and the repository exists.

具体操作

# 生成一个密钥
ssh-keygen -t rsa -C 'changhongliang@163.com' -f ~/.ssh/github_id_rsa
# -t 指定密钥类型，如果没有指定，则默认使用RSA密钥
# -C  提供一个新注释
# -f 指定密钥文件名，如果不指定，默认使用i会在~/.ssh目录下以id_rsa作为密钥文件名（这里由于要生成多个，所以自己自定，不然会覆盖）
# 再生成一个密钥
ssh-keygen -t rsa -C '18749699073@163.com' -f ~/.ssh/gitee_id_rsa

注意：每次生成密钥会询问你是否需要输入密码，输入密码之后，以后每次都要输入密码。请根据你的安全需要决定是否需要密码，如果不需要，直接回车。这样两次生成就会生成四个文件

gitee_id_rsa
gitee_id_rsa.pub  
github_id_rsa  
github_id_rsa.pub

其中github_id_rsa和github_id_rsa.pub为第一次生成的公钥和密钥，而gitee_id_rsa和gitee_id_rsa.pub为第二次生成的公钥和密钥</br>

配置ssh key

本地生成了两对密钥，将上述四个文件中的两个公钥分别配置到github和gitee上（这里是为了测试）

配置

准备工作做好了，我们可以来重头戏了，当你clone一个项目，这里有两对密钥，git如何知道你使用的是哪一对密钥呢？
当你直接使用git clone拉取代码时，会给你报一个错

fatal: Could not read from remote repository.

Please make sure you have the correct access rights
and the repository exists.

很明显了，git不知道私钥是哪个

配置config文件

在~/.ssh下创建一个config文件,内容如下

Host gitee
    HostName gitee.com
    Port 22
    PreferredAuthentications publickey
    IdentityFile ~/.ssh/gitee_id_rsa

Host github
    HostName github.com
    Port 22
    PreferredAuthentications publickey
    IdentityFile ~/.ssh/github_id_rsa

下面来解释一下:
1.Host:可以和HostName配合，如图上述内容所示可以用gitee代替 gitee.com，这样就可以使用

git@gitee:changhongliang/mapSource.git

来代替
git@gitee.com:changhongliang/mapSource.git

2.HostName: 已经讲了
3.Port:ssh的端口号，这个要注意,我就曾经踩过这个坑,不太懂的时候打开公司电脑写的端口是8022,我也写了一个8022,所有配置仍然报上面的错,特别注意端口就是22.
4.PreferredAuthentications: 强制使用什么验证，这里使用的是publickey
5.IdentityFile: 密钥位置

将上述配置好以后，下次再使用Host对应的名字时，就会使用其对应的配置，这样也就能实现配置多个ssh key 你也可以对同一个代码仓库如github做两次配置，只有Host不同如一个将github01
一个github02这样就可以使用的公钥

配置用户信息

配置完多个ssh key之后，有的同学想要实现不同的key对应不同的用户信息，这个我现在还没找到解决办法，但是可以变相实现
可以先使用

git config --global user.name "changhongliang"
git config --global user.email changhongliang@163.com

设置全局的信息，然后可以在每个项目中单独设置,如

git config user.name "changhongliang_test"
git config user.email changhongliang_test@163.com

这样单独设置的项目就会覆盖全局的配置，这样name和email也就能和全局分开了，没有单独设置的会使用全局的设置