ssh-key 原理

最新推荐文章于 2024-04-14 09:13:43 发布
最新推荐文章于 2024-04-14 09:13:43 发布
阅读量141 收藏
点赞数
原文链接:http://www.cnblogs.com/zhangdashuai/p/5139858.html
版权

转自 http://blog.youkuaiyun.com/wh_19910525/article/details/7433164

       为了让两个linux机器之间使用ssh不需要用户名和密码。所以采用了数字签名RSA或者DSA来完成这个操作。

模型分析

假设 A (192.168.20.59)为客户机器,B(192.168.20.60)为目标机;

要达到的目的:
A机器ssh登录B机器无需输入密码;
加密方式选 rsa|dsa均可以,默认dsa

ssh-keygen -t rsa #使用rsa加密

二、具体操作流程

单向登陆的操作过程(能满足上边的目的):
1、登录A机器 
2、ssh-keygen -t [rsa|dsa],将会生成密钥文件和私钥文件 id_rsa,id_rsa.pub或id_dsa,id_dsa.pub
3、将 .pub 文件复制到B机器的 .ssh 目录, 并 cat id_dsa.pub >> ~/.ssh/authorized_keys
4、大功告成,从A机器登录B机器的目标账户,不再需要密码了;(直接运行 #ssh 192.168.20.60 )

双向登陆的操作过程:

1、ssh-keygen做密码验证可以使在向对方机器上ssh ,scp不用使用密码.具体方法如下:
2、两个节点都执行操作:#ssh-keygen -t rsa
  然后全部回车,采用默认值.

3、这样生成了一对密钥,存放在用户目录的~/.ssh下。
将公钥考到对方机器的用户目录下 ,并将其复制到~/.ssh/authorized_keys中(操作命令:#cat id_dsa.pub >> ~/.ssh/authorized_keys )。

4、设置文件和目录权限:

设置authorized_keys权限
$ chmod 600 authorized_keys 
设置.ssh目录权限
$ chmod 700 -R .ssh

5、要保证.ssh和authorized_keys都只有用户自己有写权限。否则验证无效。(今天就是遇到这个问题,找了好久问题所在),其实仔细想想,这样做是为了不会出现系统漏洞。

我从20.60去访问20.59的时候会提示如下错误:

 
The authenticity of host '192.168.20.59 (192.168.20.59)' can't be established.  RSA key fingerprint is 6a:37:c0:e1:09:a4:29:8d:68:d0:ca:21:20:94:be:18.  Are you sure you want to continue connecting (yes/no)? yes  Warning: Permanently added '192.168.20.59' (RSA) to the list of known hosts.  root@192.168.20.59's password:   Permission denied, please try again.  root@192.168.20.59's password:   Permission denied, please try again.  root@192.168.20.59's password:   Permission denied (publickey,gssapi-with-mic,password).  

三、总结注意事项

1、文件和目录的权限千万别设置成chmod 777.这个权限太大了,不安全,数字签名也不支持。我开始图省事就这么干了

2、生成的rsa/dsa签名的公钥是给对方机器使用的。这个公钥内容还要拷贝到authorized_keys

3、linux之间的访问直接 ssh 机器ip

4、某个机器生成自己的RSA或者DSA的数字签名,将公钥给目标机器,然后目标机器接收后设定相关权限(公钥和authorized_keys权限),这个目标机就能被生成数字签名的机器无密码访问了

 ssh-keygen设置ssh无密码登录

ssh-keygen - 生成、管理和转换认证密钥,包括 RSA 和 DSA 两种密钥
密钥类型可以用 -t 选项指定。如果没有指定则默认生成用于SSH-2的RSA密钥
 
配置:
1、在本地机器中的~/.ssh/目录下执行下命令
ssh-keygen -t dsa
将生成两个文件,id_dsa和id_dsa.pub
 
2、将id_dsa.pub拷贝到远程机器,并且将id_dsa.pub的内容添加到~/.ssh/authorized_keys中
cat id_dsa.pub >>authorized_keys
注意:目录.ssh和文件authorized_keys的权限必须是600
 
完成以上操作之后,用户从本地机器到远程机器就不需要用密码了

 

转载于:https://www.cnblogs.com/zhangdashuai/p/5139858.html

amanda20090226
关注
如何使用ssh-keygen生成新的SSH key
蛐蛐的博客
11-02 3281
1.什么是ssh-keygen Ssh-keygen是用于为SSH创建新的身份验证密钥对的工具。 此类密钥对用于自动登录,单点登录和验证主机。 2.SSH key与公钥认证 SSH协议使用公共密钥加密技术对主机和用户进行身份验证。 认证密钥(称为SSH密钥)是使用keygen程序创建的。 SSH引入了公钥身份验证,作为较旧的.rhosts身份验证的一种更安全的替代方法。 它通过避免将密码存储在文件中来提高安全性,并消除了受感染的服务器窃取用户密码的可能性。 但是,SSH密钥就像...
linux环境ssh-rsa进行签名\权限\登录\原理(免密登录)-完整版
中年程序员一枚的博客
02-22 833
SSH是一种网络协议,用于计算机之间的加密登录。需要指出的是,SSH只是一种协议,存在多种实现,既有商业实现,也有开源实现。SSH的默认端口是22,你的登录请求会送进远程主机的22端口。SSH之所以能够保证安全,原因在于它采用了公钥加密。整个过程是这样的:(1)远程主机收到用户的登录请求,把自己的公钥发给用户。(2)用户使用这个公钥,将登录密码加密后,发送回来。(3)远程主机用自己的私钥,解密登录密码,如果密码正确,就同意用户登录。
详解SSH如何配置key免密码登录
08-10
生成的key是和一对用户绑定的,生成key的用户以及存储这个key的公钥的远端主机的用户。ssh原理就是,公钥给人家,自己留秘钥,远端主机的其他用户也是无法看到这个指定的用户的接受到的公钥的,所以用户是一对一的。
SSH-key连接原理
weixin_30240349的博客
11-09 203
1,我们想通过远程的方式从我的电脑远程连接到对方的电脑上那么在LINUX系统下我们可以通过一种叫ssh的方式连接过去。SSH客户端(ssh命令)还包含一个很有用的远程安全拷贝命令scp。 2,有两种连接方式, (1)telnet 这种是明文的容易让黑客捕获。 应用方式:安装telnet(远程登录的意思) Yum –y install telnet 安装好后怎么链接呢? 如 ...
Linux实战教学笔记24:SSH连接原理ssh-key
weixin_30666943的博客
11-15 310
目录 第二十四节 SSH连接原理ssh-key讲解 第1章 SSH服务 1.1 ssh介绍 1.2 知识小结 第2章 ssh结构 2.1 SSH加密技术 第3章 ssh服务认证类型 3.1 基于口令的安全验证: 3.2 基于密钥的安全验证: 3.3 更改ssh默认登录配置 3.4 远程连接ssh服务 3.5 ssh客户端附...
Linux系统——ssh-key连接原理
11-24 340
SSH是一种客户端连接,在Linux服务器下通过远程的方式将本地电脑连接到对方的电脑上。 远程连接的方式: (1)telnet命令(为明文传输,不安全) (2)(2)SSH(加密传输,安全) 操作的两台服务器都需要安装scp软件包(openssh-clients) (1)telnet命令(为明文传输,不安全) 两台服务器安装telnet # telnet 192...
SSH的工作原理、加密方式以及配置多个ssh key
heyYouU的博客
09-01 4900
本文从SSH工作原理、加密方式开始探究,引出多主机配置ssh连接的密钥选择问题,继续分析ssh_config配置,配以示例配置,干货满满。
ssh-url-with-ssh-key:用于将SSH密钥嵌入SSH URL的SSH包装器
01-30
标题中的"ssh-url-with-ssh-key"是一个工具或脚本,它的主要功能是将SSH(Secure Shell)密钥集成到SSH URL中,以便在自动化环境中更方便地进行身份验证和远程操作,尤其适用于GitHub这样的Git仓库管理平台。SSH是一...
generate-ssh-key-online:此脚本有助于在网站上生成 ssh 密钥(私人和公共)
06-04
首先,让我们深入了解SSH密钥的工作原理SSH使用非对称加密技术,即公钥和私钥是一对匹配的密钥。公钥可以公开,任何人都可以获取,而私钥必须严格保密。当你尝试连接到服务器时,服务器会用你的公钥加密一个随机...
004653_利用SSH-Key实现安全的密钥证书方式登陆.docx
06-23
#### 二、SSH Key认证原理 SSH Key认证基于公钥加密技术,主要涉及两个密钥:公钥(Public Key)和私钥(Private Key)。公钥用于加密数据,而私钥用于解密数据。在SSH Key认证过程中,服务器保存用户的公钥,用户...
SSH连接原理ssh-key讲解
MarvinChen003的专栏
07-23 1874
https://www.cnblogs.com/chensiqiqi/p/6550221.html
ssh 公钥私钥原理
dzqxwzoe的博客
04-14 2660
SSH(SecureShell,安全外壳)是一种网络安全协议,通过加密和认证机制实现安全的访问和文件传输等业务。传统远程登录或文件传输方式,例如Telnet、FTP,使用明文传输数据,存在很多的安全隐患。随着人们对网络安全的重视,这些方式已经慢慢不被接受。SSH协议通过对网络数据进行加密和验证,在不安全的网络环境中提供了安全的登录和其他安全网络服务。作为Telnet和其他不安全远程shell协议的安全替代方案,目前SSH协议已经被全世界广泛使用,大多数设备都支持SSH功能。
SSH连接原理ssh-key
weixin_43586287的博客
12-20 301
SSH连接原理 可以从一台服务器分发到多个服务器 前提是都安装scp,Service安装openssh-clients ssh的分类 客户端创建密钥 将公钥id_rsa.pub文件复制到另外一台服务器的用户家目录下的.ssh目录下 将拷贝过去的id_rsa.pub文件里的内容追加到~/.ssh/authorized_keys文件里 进行远程SSH连接 非交互式一条命令创...
生成SSH Key
weixin_41793221的博客
11-12 294
SSH key 生成SSH Key的过程如下: 1). ls -al ~/.ssh, 检查是否显示有id_rsa.pub或者id_dsa.pub存在,如果存在请直接跳至第3步。 2).在bash中输入ssh-keygen -t rsa -C ”yourEmail@example.com”,注意这个地方的邮箱地址地址替换成你自己的邮箱地址即可,在显示如下的输出后一直按回车即可: 在这里可以看到id_rsa和id_rsa.pub已经生成,并且生成的路径为/root/.ssh/。 3).打开id_rsa.
【linux】在linux上生成SSH-key 简单原理介绍+生成步骤
weixin_33781606的博客
03-21 432
1.首先什么是SSH Secure Shell (SSH) 是一个允许两台电脑之间通过安全的连接进行数据交换的网络协议。通过加密保证了数据的保密性和完整性。SSH采用公钥加密技术来验证远程主机,以及(必要时)允许远程主机验证用户。 2.SSH的好处 1》传统的FTP、Telnet是再网络中明文传送数据、用户帐号和密码,很容易受到中间人攻击。而通过使用SSH,你可以把所...
ssh 基于key登录配置及原理分析
Hehuyi_In的博客
11-13 5444
WAL机制简介 WAL即 Write-Ahead Logging,是一种实现事务日志的标准方法。WAL 的中心思想是先写日志,再写数据,数据文件的修改必须发生在这些修改已经记录在日志文件中之后。采用WAL日志的数据库系统在事务提交时,WAL机制可以从两个方面来提高性能: 多个client写日志文件可以通过一次 fsync()来完成 日志文件是顺序写的,同步日志的开销要远比同步数据页的开销要小...
[转]SSH 原理和基本使用:ssh 安全配置 以及ssh key 认证登录
weixin_34321753的博客
05-23 2485
一、什么是 SSH ?      SSH全称(Secure SHell)是一种网络协议,顾名思义就是非常安全的shell,主要用于计算机间加密传输。早期,互联网通信都是基于明文通信,一旦被截获,内容就暴露无遗。1995年,芬兰学者Tatu Ylonen设计了SSH协议,将登录信息全部加密,成为互联网安全的一个基本解决方案,迅速在全世界获得推广,目前已经成为Linux系统的标准配置。SSH的主要目...
Unable to negotiate with 192.168.42.129 port 22: no matching host key type found. Their offer: ssh-rsa,ssh-dss
最新发布
04-17
<think>好的,我现在要解决用户遇到的SSH连接问题,具体是“no matching host key type found”错误,涉及ssh-rsa和ssh-dss的密钥类型不匹配。首先,我需要理解这个问题的背景和原因。 用户提到他们遇到了无法协商主机密钥类型的问题,系统提示没有匹配的密钥类型,而对方提供的是ssh-rsa或ssh-dss。根据之前的引用内容,OpenSSH从7.0版本开始默认禁用DSA(ssh-dss),而8.8版本后也不再支持ssh-rsa。这是因为这些算法被认为不够安全,可能存在弱点。所以当客户端使用的OpenSSH版本较高时,会拒绝使用这些旧算法,导致连接失败。 接下来,我需要确定解决方案。通常,解决方法是在SSH命令中显式指定允许使用这些旧算法。例如,使用`-oHostKeyAlgorithms=+ssh-dss,ssh-rsa`这样的选项来临时启用它们。但需要提醒用户,这只是临时解决方案,长期来看应该升级服务器的主机密钥类型到更安全的选项,比如ed25519或rsa-sha2-512。 然后,我需要考虑如何将这些步骤清晰地传达给用户。首先分步说明如何在命令行中添加参数,然后给出配置文件的修改方法,避免每次手动输入。同时,强调安全建议,解释为什么这些算法被弃用,并推荐更安全的替代方案。 还要检查用户可能的其他相关问题,比如是否还存在加密套件不匹配的问题,如问题3中的提示,可能需要同时指定Ciphers选项。因此,在解决方案中需要涵盖这种情况,提供相应的命令示例。 最后,生成相关问题,帮助用户进一步了解如何优化SSH配置或处理其他连接错误,比如密钥交换算法或加密套件的问题,以及如何升级主机密钥类型。 总结解决步骤: 1. 临时命令行解决方案。 2. 永久配置修改方法。 3. 安全建议和升级指导。 4. 处理可能的其他相关错误(如加密套件)。 5. 相关问题扩展,帮助用户深入理解。</think>### SSH连接主机密钥类型不匹配解决方案 #### 问题原因 当客户端与服务器支持的**主机密钥算法列表**不匹配时,OpenSSH 7.0+ 默认禁用`ssh-dss`,8.8+ 禁用`ssh-rsa`,而旧服务器可能仅支持这些算法[^1][^2]。客户端拒绝使用旧算法时触发错误: ```bash Unable to negotiate with xx.xx.xx.xx: no matching host key type found. Their offer: ssh-rsa,ssh-dss ``` --- #### 分步解决方案 1. **临时连接方法**(单次生效) 在ssh命令中显式添加允许的算法: ```bash # 若服务器仅支持ssh-dss ssh -oHostKeyAlgorithms=+ssh-dss user@host # 若服务器仅支持ssh-rsa ssh -oHostKeyAlgorithms=+ssh-rsa user@host # 同时兼容两种算法 ssh -oHostKeyAlgorithms=+ssh-dss,ssh-rsa user@host ``` 2. **永久配置方法**(所有连接生效) 修改`~/.ssh/config`文件: ```bash Host legacy_server HostName 192.168.x.x User admin HostKeyAlgorithms +ssh-dss,ssh-rsa PubkeyAcceptedKeyTypes +ssh-dss,ssh-rsa ``` 3. **混合加密协议错误处理** 若同时出现`no matching cipher found`错误,需额外指定加密算法: ```bash ssh -oCiphers=+aes256-cbc -oHostKeyAlgorithms=+ssh-dss user@host ``` --- #### 安全建议 1. 优先升级服务器密钥类型到`ed25519`或`rsa-sha2-512` ```bash # 生成ed25519密钥(推荐) ssh-keygen -t ed25519 -f /etc/ssh/ssh_host_ed25519_key # 生成rsa-sha2密钥(4096位) ssh-keygen -t rsa -b 4096 -f /etc/ssh/ssh_host_rsa_key ``` 2. 修改`sshd_config`启用新算法: ```bash HostKey /etc/ssh/ssh_host_ed25519_key HostKey /etc/ssh/ssh_host_rsa_key ``` --- #### 技术原理 OpenSSH通过算法协商保证通信安全,当客户端/服务端算法集合无交集时拒绝连接。`ssh -Q key`可查看本地支持的算法列表: ```bash $ ssh -Q key ssh-ed25519 ssh-ed25519-cert-v01@openssh.com sk-ssh-ed25519@openssh.com ... ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值