使用SSH密钥认证
一、加密简介
1、加密方式
对称密钥算法(DES,3DES,AES)
使用相同的密钥和算法来加解密。
缺点:共享密钥需双方互换,密钥太多,不支持数字签名和不可否认性。
优点:速度快,安全,紧凑,长度小于等于8字节
非对称密钥算法(RSA,DHKipsec ***,EC)
1.每一个用户进入一个加密系统,都需要产生一对公私密密钥。
2.公钥共享给所有人,私钥需严格保密,公钥无法推出私钥。
3.公钥加密的文件需要私钥才解密(加密的过程)。
4.私钥加密的文件需要公钥才能解密(签名的过程)。
优点:安全,加解密双方不需要交换密钥,无需担心密钥被截取。
缺点:非常慢,密文会变长
在linux下的密钥认证就是典型的非对称加密算法。
2、SSH认证简介
如果主机A想要通过ssh登录到主机B,并且想要通过密钥认证的方式,首先你需要在主机A上生成一对密钥,将生成的公钥部分上传至主机B,此时当主机A发起ssh到主机B时,主机B会将一个随机数用主机A给他的公钥来加密,加密后的数据会发送给主机A,主机A 用自己保存的私钥解密后会得到这个随机数,让后将这个随机数发送给主机B,主机B发现这个随机数是正确那么就表示该认证通过。私钥必须妥善保存。
二、配置过程
1、生成密钥对(机器A配置)
[root@localhost ~]# ssh-keygen -t rsa #全部保持默认,全部回车即可。
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
5f:81:36:b6:71:77:c1:26:56:cb:0a:14:fd:64:89:89 [email protected]
The key's randomart p_w_picpath is:
+--[ RSA 2048]----+
| o+ =o.|
| .E *.*o|
| *.+ Bo.|
| o =.o.o |
| S . .. |
| . . |
| . |
| |
| |
+-----------------+
注:ssh-keygen -t rsa这里直接回车即可。如果输入密码的话,在后面使用密钥连接时也会提示输入密码。
2、查看密钥对权限
[root@localhost ~]# ll -d .ssh/
drwx------. 2 root root 4096 5月 22 07:40 .ssh/ #权限为700
[root@localhost ~]# ll .ssh/
总用量 12
-rw-r--r--. 1 root root 408 5月 22 07:40 id_rsa.pub #权限为644
-rw-------. 1 root root 1675 5月 22 07:29 id_rsa #权限为600
-rw-r--r--. 1 root root 786 5月 22 07:41 known_hosts
3、修改公钥名称
[root@localhost ~]# cd .ssh/
[root@localhost .ssh]# mv id_rsa.pub authorized_keys
[root@localhost .ssh]# ls
authorized_keys id_rsa known_hosts
注:authorized_keys:与ssh配置文件中AuthorizedKeysFile .ssh/authorized_keys 相对应。
4、修改ssh配置文件
[root@localhost ~]# vim /etc/ssh/sshd_config
RSAAuthentication yes #使用密钥验证
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys #验证文件的名称
----------------------------可选配置--------------------------------------
Protocol 2 #修改后变为此状态,仅使用SSH
ServerKeyBits 1024 #修改后变为此状态,将ServerKeyBits改为1024比特
PermitRootLogin no #不允许用Root进行登录
PasswordAuthentication no #不允许密码方式的登录
PermitEmptyPasswords no #禁止空密码进行登录
[root@localhost ~]# vi /etc/hosts.deny
Protocol 2 #修改后变为此状态,仅使用SSH
ServerKeyBits 1024 #修改后变为此状态,将ServerKeyBits改为1024比特
PermitRootLogin no #不允许用Root进行登录
PasswordAuthentication no #不允许密码方式的登录
PermitEmptyPasswords no #禁止空密码进行登录
[root@localhost ~]# vi /etc/hosts.deny
sshd: ALL 最后添加这一行,屏蔽来自所有的SSH连接请求
[root@localhost ~]#vi /etc/hosts.allow
sshd: 192.168.0.1 最后添加这一行,只允许来自内网的SSH连接请求
注:hosts.allow和hosts.deny同时设置时hosts.allow生效
------------------------------------------------------------------------
------------------------------------------------------------------------
3、机器B配置与机器A的配置完全相同
1、生成密钥对
2、查看密钥对权限
3、修改公钥名称
4、修改ssh配置文件
这里就不再多写了、、、、、
三、公钥设置
1、公钥相互对换
将机器A和机器B的公钥里面的内容拷贝出来相互对换,这样做的好处在于不会出现权限问题。
2、启动服务
[root@localhost ~]#service sshd restart
机器A和机器B都要重新启动服务
四、测试
1、测试
[root@localhost ~]# ssh [email protected]
Last login: Tue May 22 07:41:20 2012 from 172.16.0.12
[root@localhost ~]# ssh 172.16.0.12
Last login: Tue May 22 08:13:49 2012 from 172.16.0.11
两台机器都可使用密钥登录。
如果只需要机器A可以使用密钥认证登录机器B可以将机器B上的密钥删除或是备份即可。
[root@localhost ~]# cd .ssh/
[root@localhost .ssh]# mv id_rsa id_rsa_bak
[root@localhost .ssh]# ls
authorized_keys id_rsa_bak known_hosts
[root@localhost .ssh]# ssh 172.16.0.11
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).