ssh密钥对登录安全吗?实践篇
在上一篇文章《ssh密钥对登录安全吗?原理篇》了解了ssh密钥对登录原理后,接下去就是实践的问题了,这是大部分人更关心的知识,其中也有一些隐藏的陷阱。
首先要生成一对密钥对,ssh-keygen 是 ssh 工具集中的一个工具,用于生成密钥对:
$ ssh-keygen -b 2048
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
-b 是密钥对的长度,越长越安全,但运算速度就会相应变慢,在这个例子中生成的是一个 RSA 密钥对,其中 id_rsa 是公钥(也可以自定义名字),公钥也叫做 identity 文件,需要放到 ssh 服务器 ~/.ssh/authorized_keys 文件中(其中 ~ 符号表示想要以那个属主用户的身份(比如 root 用户)登录ssh服务器),用于证明这个密钥对拥有访问 ssh 服务器的权限。
在 ssh 登录的时候,ssh 客户端需要读取公钥文件,但不会传输。
那么 passphrase 是什么呢?是一个口令,用于保护密钥对,有了口令,即使密钥对文件泄漏了,由于攻击者没有口令解密,那么密钥对仍然是安全的。
如果图省事,口令可以为空,如果不为空,则ssh登录的时候需要输入口令。
运行完成后,生成的密钥对默认会保存到客户端属主目录 ~/.ssh 下,为什么生成在这个目录呢?因为登录验证的时候 ssh 客户端会读取属主目录下的公钥文件。
接下去查看生成的密钥对文件,运行如下命令:
$ ll ~/.ssh/
-rw-rw-rw- 1 root root 423 Jun 5 16:17 authorized_keys
-rw------- 1 root root 1679 Jun 11 17:31 id_rsa
-rw-r--r-- 1 root root 389 Jun 11 17:31 id_rsa.pub
id_rsa.pub 文件就是公钥,id_rsa 是私钥,需要注意的就是这二个文件的权限问题,私钥权限必须是 600,严格限制权限,而 id_rsa 权限可以适当放大,对于客户端,~/.ssh 的目录权限不会影响 ssh 登录,但从安全的角度看,请保持 700 权限。
公钥文件上传到ssh服务器后,其实就可以删除了,因为私钥包含公钥。
接下去就是要将公钥放到 ssh 服务器上,一般有三种方法:
1:ssh-copy-id
ssh-copy-id 工具专门用于将公钥上传到ssh服务器的authorized_keys文件中,这个工具通过口令登录的方式上传公钥,运行很简单:
$ ssh-copy-id username@ip
ssh-copy-id 默认会上传 ~/.ssh/ 目录下公钥文件(即 identity 文件 ),ssh服务器上可能有多个用户,那上传到那个用户的.ssh目录下呢?这根据 username 而定,比如 /home/username 目录。
如果 identity 文件不在 ~/.ssh 目录下或者名称不是默认的 id_rsa ,也可以通过 -i 参数指定文件,比如:
$ ssh-copy-id -i ~/.ssh/id_rsa username@ip
如果ssh服务器上的 ssh 打开 StrictModes 严格模式,这个工具会更改ssh服务上的 ~/.ssh目录, ~/.ssh/authorized_keys 文件的权限。
重点要注意的是,ssh服务器用户的.ssh目录必须是700 权限,authorized_keys 文件也必须是 700 权限,否则 ssh 登录验证会失败,下面会重点描述这个问题。
2:手动上传公钥
如果ssh服务器关闭了口令登录方式,就必须使用这种方式了,重点要注意权限问题。
首先拷贝 ~/.ssh/id_rsa.pub 内容,然后登录到ssh服务器上,再将剪贴板的内容粘帖到 ~/.ssh/uthorized_keys 文件中(如果不存在就创建对应的目录和文件)
最后运行下列命令:
$ chmod go= ~/.ssh/ -R
$ chown username:username ~/.ssh -R
尽量保证目录和文件只有对应的ssh用户才能访问,否则ssh登录会失败,原因就是为了保障安全,你总不希望自己的公钥被ssh服务器上的其他用户看到把?
3:使用ssh口令登录方式手动上传公钥
如果机器上没有 ssh-copy-id 工具(Windows 10 原生 ssh 客户端就没有),可采用这种方式,其实也很简单,就一条命令,但能让你了解详细的工作过程,所以比较推荐这种方式:
$ cat ~/.ssh/id_rsa.pub | ssh username@ip "mkdir -p ~/.ssh && touch ~/.ssh/authorized_keys && chmod -R go= ~/.ssh && cat >> ~/.ssh/authorized_keys
最后就是 ssh 登录服务器,验证自己的公钥是否成功上传了,执行下列命令:
$ ssh username@ip
当然也可以指定私钥文件,比如 :
$ ssh -i /username/.ssh/id_rsa username@ip
如果登录的时候还是让你输入口令,则很有可能是ssh服务器上的 ~/.ssh/authorized_keys 权限有问题,请检查下。
如果还是遇到登录失败的问题,可以在ssh服务器上查看日志,比如:
$ /var/log/auth.log | grep "sshd"
相关文章:
