linux关于ssh免密登录、known_hosts文件

原创 已于 2022-12-06 01:08:26 修改 · 1.6w 阅读 · 44 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #known_hosts #对称加密 #非对称加密 #ssh免密登录

于 2022-12-05 01:31:49 首次发布
本文详细介绍了SSH协议的功能和安全性,对比了对称加密与非对称加密,并深入解析了SSH免密登录的原理与配置方法。

1. 关于ssh

SSH 是 Secure Shell 的缩写,SSH 为建立在应用层基础上的安全协议。SSH 是目前广泛采用的安全登录协议,专为远程登录会话和其他网络服务提供安全性的协议,替代以前不安全的Telnet协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。

scp、sftp等都是基于ssh协议来进行远程传输的。

2. 对称加密和非对称加密

  • 对称加密:例如AES,加密和解密使用同一个密钥,不安全,如果密钥丢失,加密的信息就会被窃取,并且可以篡改信息,重新加密;对于接收方来说,并不知道这串加密的信息是受信任的发来的还是黑客伪造的。

  • 非对称加密:例如RSA,加密和解密使用不同的密钥,存在一对密钥对,公钥和私钥,公钥可以发送给别人,私钥需要自己保存。常用的公钥加密,私钥解密,例如:小明要发送消息给小红,小红把自己的公钥给小明,小明利用小红的公钥加密发送给小红,小红再使用自己的私钥进行解密。即使小红的公钥被窃取,黑客没有小红的私钥也解密不了信息。

3. ssh免密登录原理

服务器A要免密登录服务器B,则要把服务器A的公钥存到服务器B的授权公钥文件中;先在服务器A上生成一对秘钥(ssh-keygen),然后将公钥拷贝到服务器B的authorized_keys文件中。

原理:

  • 服务器A向服务器B发送一个连接请求,信息包括服务器A此时登录的用户名、服务器A的ip以及要免密登录的服务器B的用户名;
  • 服务器B收到请求,会从服务器A要免密登录服务器B的用户名家目录下 authorized_keys 中查找是否有相同的服务器A用户名、服务器Aip;
  • 如果有,服务器B会随机生成一个字符串,然后使用服务器A的公钥进行加密,再发送给服务器A;
  • 服务器A接到服务器B发来的信息后,会使用私钥进行解密,然后将解密后的字符串发送给服务器B;
  • 服务器B接到服务器A发来的信息后,会和之前生成的字符串进行比对,如果一致,则允许免密登录。
4. ssh免密登录配置

在进行配置之前需要先关闭防火墙,并且最好给服务器设置主机名,并配置 /etc/hosts 文件映射。

systemctl status firewalld.service # 查看防火墙状态
systemctl stop firewalld.service # 关闭防火墙
systemctl disable firewalld.service # 移除防火墙开机自启动

步骤:

  1. 假设A服务器需要免密登录B服务器,那么在A服务器执行命令:ssh-keygen -t rsa(默认就是RSA加密算法,可不用加-t rsa);密钥对生成过程会提示输入私钥加密密码,可以直接回车不使用密码保护。命令执行完成后会在~/.ssh目录下生成两个文件:id_rsa(私钥)和id_rsa.pub(公钥)
  2. 将公钥文件id_rsa.pub中的内容拷贝到B服务器的~/.ssh目录下的授权公钥文件authorized_keys中
5. ssh免密登录注意事项

首先,假设A服务器要免密登录B服务器,我们将A服务器通过ssh-keygen命令生成的公钥写进B服务器authorized_keys文件中。涉及以下注意事项:

A服务器生成的公钥如下:root@sangfor-node7 代表这是root用户生成的公钥

请添加图片描述

如果我们将其拷贝到B服务器/root/.ssh/authorized_keys文件中,那么A服务器就能以B服务器的root账号免密登录成功,也就是:ssh root@B服务器 可以免密登录成功;但是如果是以B服务器的其它账号进行登录,则无法免密,例如:ssh admin@B服务器 需要输入admin账号的密码才可以登录。

如果我们希望A服务器也能以B服务器的admin账号免密登录成功,那么还需要将A服务器的公钥拷贝到B服务器:/home/admin/.ssh/authorized_keys文件中(即admin用户的家目录下)。

另外,A服务器生成的公钥文件中包含 root@sangfor-node7 代表这是root用户生成的公钥;如果A服务器是以root账号去执行命令:ssh root@B服务器 可以免密登录成功;但是如果A服务器是以其它账号,例如wyf,去执行命令:ssh root@B服务器 则需要输入密码;因为B服务器/root/.ssh/authorized_keys文件中存储的是A服务器root用户的公钥,如果我们希望A服务器以wyf账号登录去执行命令:ssh root@B服务器 也可以免密登录成功;那么需要在A服务器切换成wyf账号,执行 ssh-keygen,那么生成的公钥文件位于 /home/wyf/.ssh/ 目录下,并且包含 wyf@sangfor-node7 ,代表这是wyf用户的公钥。再把这个公钥写入B服务器authorized_keys文件中即可。

如下:

请添加图片描述
请添加图片描述

最后,还需要注意域名问题,由于A服务器配置了主机名为 sangfor-node7,因此生成的公钥文件包含主机名,如:root@sangfor-node7,但是B服务器并不知道这个主机名代表哪个ip地址,因此需要在B服务器的 /etc/hosts 文件中配置 sangfor-node7 主机名和ip的映射。

6. github配置本机ssh公钥步骤及原理

如果我们要把本地代码以ssh方式push到github上,为避免每次push都需要输入github账号和密码,则需要配置本机免密登录github,免密登录原理和A服务器免密登录B服务器一样。

配置步骤参考文档:https://blog.youkuaiyun.com/wenfu814/article/details/120625844

7. known_hosts文件

A通过ssh首次连接到B,B会将公钥1(host key)传递给A,A将公钥1存入known_hosts文件中,以后A再连接B时,B依然会传递给A一个公钥2,OpenSSH会核对公钥,通过对比公钥1与公钥2 是否相同来进行简单的验证,如果公钥不同,OpenSSH会发出警告,并且需要用户交互式的输入yes/no, 避免受到DNS Hijack之类的攻击;如果公钥相同,则不会发出警告。

例如:
A服务器首次ssh登录B服务器,由于A服务器的known_hosts文件中没有B服务器的公钥,因此控制台会发出警告,并且需要用户输入yes/no

请添加图片描述

当我们输入yes之后,A服务器的known_hosts文件会增加一条记录(B服务器的公钥);再输入B服务器的密码,ssh登录成功

请添加图片描述

当A服务器再次ssh登录B服务器,B依然会传递给A一个公钥,OpenSSH会核对公钥,将该公钥和A服务器known_hosts文件保存的B服务器的公钥进行对比,由于相同,则不会发出警告,直接让用户输入密码

请添加图片描述

如果我们不希望在进行ssh登录时进行公钥检查,可以加上 "StrictHostKeyChecking no" 跳过公钥检查,就不需要用户手动输入yes/no(这在一些自动化场景经常使用到)

请添加图片描述

备注:如果A通过ssh登陆B时提示 Host key verification failed.;原因是A的known_hosts文件中记录的B的公钥1与连接时B传过来的公钥2不匹配。
解决方法:删除A的known_hosts文件中记录的B的公钥,当再次ssh登录B时,重新写入B服务器最新的公钥即可。

SSHknown_hosts文件嵌入式
CodeMaven的博客
09-14 1261
"known_hosts"文件的作用是验证远程主机的身份。在SSH的使用过程中,有一个重要的文件被称为"known_hosts",它用于存储已知的主机公钥信息。本文将介绍如何在嵌入式系统中处理SSH的"known_hosts"文件,并提供相应的源代码示例。通过适当地存储文件、遵循正确的文件格式以及实现文件的读写操作,我们可以在嵌入式系统中安全地处理"known_hosts"文件,确保SSH连接的安全性。文件存储:由于嵌入式系统的资源有限,我们需要选择适合的存储方式来保存"known_hosts"文件
Offending ECDSA key in /home/lierjun/.ssh/known_hosts:1
lierjun 的专栏
04-14 2501
问题描述: 使用终端进行远程连接linux 连接格式:ssh root@ip 结果发出警告信息,信息提示: Offending ECDSA key in /home/user/.ssh/known_hosts:1 解决办法: cd /home/user/.ssh catknown_hosts sed -i '1d'known_hosts 然后再次进行链接可以了 ...
Linux技术专题】「必备基础知识」一起探索(SSH体系下的公私密钥的介绍和使用技巧)
世界上并没有完美的程序,但是我们并不因此而沮丧,因为写程序就是一个不断追求完美的过程。
12-24 1862
将公钥考到对方机器的用户目录下,并将其复制到~/.ssh/authorized_keys中(操作命令:#cat id_dsa.pub >> ~/.ssh/authorized_keys)。下面来讲解如何在Linux服务器上制作密钥对,将公钥添加给账户,设置SSH,最后通过客户端登录。当然,也可以留空,实现无密码登录。两个节点都执行操作:#ssh-keygen -t rsa,然后全部回车,采用默认值.这样生成了一对密钥,存放在用户目录的~/.ssh下。我们做对称加密或是非对称加密:都需要公钥和私钥。
SSH 免密登录异常排查:权限位错误、known_hosts 冲突与 SELinux 干扰解决
最新发布
tctghghjdjkahdjk的博客
10-30 302
通过以上步骤,可覆盖 90% 的免密登录异常场景。当 SSH 免密登录失败时,常见问题集中在。当服务端密钥变更时,客户端。:若问题仍存,检查服务端。
git下SSH配置问题
microdsy的专栏
08-17 3614
只需要向网站提交SSH产生的公钥即可。在提交后就可以用SSH协议来下载代码。 但不论是否输入SSH的公钥,在用HTTP方式下载代码时,都需要输入对应托管平台的账号和密码。 可以多次生成公私钥,但是要配对使用,只需要放在C:\Users\microdsy\.ssh就可以了注意默认名称要是id_rsa和id_rsa.pub 每个公私钥对在每个托管平台只能使用一次。如一台电脑上要对应多
Linux中的known_hosts
高性价比服务器就选:蓝易云
01-30 2475
Linux系统中一个存储已知主机公钥的文件,用于SSH客户端验证远程主机的身份。当你连接到远程主机时,SSH客户端会检查该主机的公钥是否存在于。每个记录包含主机名、公钥、算法等信息,以及用于验证主机的指纹。当你首次连接到一个新的远程主机时,SSH会将该主机的公钥添加到。如果主机公钥发生变化,SSH会发出警告,因为这可能意味着连接到了不安全的主机。文件,你可以防止中间人攻击,确保你连接的远程主机的真实性和安全性。文件中,以确保你连接到的是正确的主机而不是恶意主机。文件的路径通常在用户的家目录下的。
Linux系列】known_hosts详解
优快云站内信: https://i.youkuaiyun.com/#/msg/chat/qyj19920704
08-14 2万+
💝💝💝欢迎来到我的博客,很高兴能够在这里和您见面!希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。非常期待和您一起在这个小小的网络世界里共同探索、学习和成长。💝💝💝 ✨✨ 欢迎订阅本专栏 ✨✨。
Linux 中关于 known_hosts 文件,你所应该知道的
Free雅轩的博客
11-04 6858
这里,id_rsa 是你 ssh 的私钥,id_rsa.pub 为ssh公钥,config 文件用于创建概要信息,以便进行 ssh 连接。这也就意味着在 known_hosts 文件中的信息是以 hash 方式存储的,你可能会看到一些随机数,但这并不能提供任何有用的信息。本文重点要介绍的,是上述列表中的最后一个文件known_hosts,它是客户端 ssh 配置文件的重要组成部分。当然也可以先识别相关服务器的信息,然后使用 rm 命令手动删除,但是这个操作要麻烦的多,远不如使用上述命令方便。
linux服务器ssh免密登陆
qq_33598184的博客
06-23 6337
针对某些服务(例如:ansible、部分大数据服务等)需要访问其他服务器,输入命令的访问方式对程序来说不是很友好,所以有必要设置服务器间免密登陆。可通过ssh-keygen命令生成公钥及私钥 执行ssh-keygen命令,一路敲回车即可。 完成后,会在当前登陆用户的家目录下生成一个ssh的隐藏目录,公钥及私钥默认生成到改路径下。例如:如果是root用户的话,路径为:。 至此即可通过命令免密登陆。将公钥添加到authorized_keys文件,如果该文件不存在,则需要在公钥目录下手动创建一个authorize
linux设置ssh免密登录
Chaolei3的博客
06-27 2367
最近需要给k8s集群做免密登录,但是看了网上的好多博客,发现好多博客都没有讲清或直截了当地讲免密登录的原理,而是进行2个命令进行操作,对于初学者来说,只是知其然,不知其所以然。于是,想写一篇笔记,以免以后再次遇到。 免密登录的原理,实际上就是一句话,如果需要master服务器免密登录到服务器x,那么只需要将matser的公钥放置在服务器x的某个文件中即可。 #1 .........
Linux 自动更新sshkey秘钥 kown_host文件
m0_53503396的博客
02-04 1041
【代码】Linux 自动更新sshkey秘钥 kown_host文件
详解Java使用Jsch与sftp服务器实现ssh免密登录
10-16
实现SSH免密登录主要需要以下几个步骤: 1. 在服务器端生成一对公私钥,并将公钥复制到目标服务器的指定用户.ssh目录下。 2. 进入到.ssh目录,将公钥导入到授权列表(authorized_keys)中,以完成对远程服务器的公钥...
Linux 批量添加 known_hosts
主要分享大数据相关的知识,如Spark、Hudi
01-17 2871
我们在做完linux ssh 免密登录后,通常会执行一些自动化任务(比如启动Spark集群),也就是需要ssh到每台节点执行相同命令。但是有一个问题就是如果 known_hosts 文件中不存在这个ip的话,在第一次连接时会弹出确认公钥的提示,需要手动输入 yes,才能继续往下进行。输入yes 后会将公钥添加到 .ssh/known_hosts 中,下次连接时就不需要再次确认了。但是如果节点比较多的话,假如有100个节点,那么我们需要手动输入100次 yes 比较麻烦。
SSHknown_hosts文件
EricXiao666的博客
08-27 10万+
一、什么是known_hosts文件 A通过ssh首次连接到B,B会将公钥1(host key)传递给A,A将公钥1存入known_hosts文件中,以后A再连接B时,B依然会传递给A一个公钥2,OpenSSH会核对公钥,通过对比公钥1与公钥2 是否相同来进行简单的验证,如果公钥不同,OpenSSH会发出警告, 避免你受到DNS Hijack之类的攻击。。 二、打开known_hosts文件 ...
关于Linux上的known_hosts
程铭程铭你快成名的博客
12-10 1万+
known_hosts
设置ssh免密登录
二十一克阳光!的博客
05-06 516
进入相应目录 cd /root/.ssh 生成公钥私钥 输入命令:ssh-keygen -t rsa 然后敲(三个回车),就会生成两个文件 id_rsa(私钥)、id_rsa.pub(公钥) 将公钥拷贝到要免密登录的目标机器上 使用命令:ssh-copy-id ip地址 注意:还需在其他服务器上设置免密登录 ...
ssh登陆之忽略known_hosts文件
热门推荐
yasaken
03-13 12万+
在平时工作中,有时候需要SSH登陆到别的Linux主机上去,但有时候SSH登陆会被禁止,并弹出如下类似提示: @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
SSH 总是弹警告?一行 sed 命令教你轻松搞定 known_hosts
2501_91107759的博客
05-20 1092
在使用 SSH 连接远程服务器时,可能会遇到“远程主机密钥已更改”的警告,这通常与 ~/.ssh/known_hosts 文件有关。该文件记录了曾经连接过的服务器的公钥指纹,用于验证服务器的身份。当服务器密钥更新或重装系统时,旧指纹与新指纹不匹配,导致 SSH 客户端发出警告。通过 sed -i /^192.168.88.102/d /root/.ssh/known_hosts 命令,可以删除指定 IP 地址的旧记录,强制 SSH 客户端重新验证服务器密钥。这在服务器密钥更新或自动化脚本中非常有用,确保连接
Linux设置SSH免密登入
07-23
<think>我们正在配置Linux系统的SSH免密登录。根据引用内容,免密登录的配置主要涉及生成SSH密钥对,并将公钥复制到目标服务器的authorized_keys文件中。以下是详细步骤: 1. **生成SSH密钥对**: 在本地机器上打开终端,执行以下命令生成RSA密钥对: ```bash ssh-keygen -t rsa ``` 按照提示,可以设置密钥的保存路径(默认是`~/.ssh/id_rsa`)和密码(如果不想设置密码,直接按回车跳过)。生成后,在`~/.ssh`目录下会生成两个文件:`id_rsa`(私钥)和`id_rsa.pub`(公钥)[^1][^4]。 2. **将公钥复制到目标服务器**: 有两种常用方法: - **使用`ssh-copy-id`命令**(推荐): 执行以下命令,将公钥复制到目标服务器(将`username`替换为目标服务器的用户名,`hostname`替换为目标服务器的IP或主机名): ```bash ssh-copy-id username@hostname ``` 执行后需要输入目标服务器上对应用户的密码。成功后,公钥会被添加到目标服务器用户家目录下的`~/.ssh/authorized_keys`文件中[^1][^3]。 - **手动复制**: 如果无法使用`ssh-copy-id`,可以手动操作: 1. 将本地公钥文件(`id_rsa.pub`)的内容复制到剪贴板。 2. 登录目标服务器,进入用户家目录下的`.ssh`目录(如果不存在则创建): ```bash mkdir -p ~/.ssh chmod 700 ~/.ssh ``` 3. 将公钥内容追加到`authorized_keys`文件中: ```bash echo "粘贴的公钥内容" >> ~/.ssh/authorized_keys ``` 4. 设置`authorized_keys`文件的权限: ```bash chmod 600 ~/.ssh/authorized_keys ``` 注意:权限设置非常重要,否则可能导致免密登录失败[^4]。 3. **测试免密登录**: 在本地机器上执行: ```bash ssh username@hostname ``` 如果配置成功,将无需输入密码直接登录到目标服务器[^3]。 4. **权限问题**: 如果遇到权限问题,确保目标服务器上相关文件和目录的权限正确: - 用户家目录权限:`700`(`drwx------`) - `.ssh`目录权限:`700`(`drwx------`) - `authorized_keys`文件权限:`600`(`-rw-------`)[^4]。 5. **多台服务器配置**: 如果需要在多台服务器上配置免密登录,重复执行上述步骤(使用`ssh-copy-id`或手动复制)到每一台服务器即可[^1]。 注意:如果使用非默认的密钥文件(比如自定义名称的密钥),在`ssh-copy-id`时可能需要通过`-i`选项指定公钥文件,例如: ```bash ssh-copy-id -i ~/.ssh/my_key.pub username@hostname ``` 通过以上步骤,即可实现从本地机器到目标服务器的SSH免密登录。 §§相关问题§§ 1. 如何为不同的服务器使用不同的SSH密钥? 2. 配置SSH免密登录后仍然需要输入密码,可能是什么原因? 3. 如何禁用SSH的密码登录以提高安全性?</think>### 如何在Linux上配置SSH免密登录 以下是配置SSH免密登录的完整步骤,适用于Linux系统: #### 1️⃣ 生成SSH密钥对(本地机器) ```bash ssh-keygen -t rsa -b 4096 ``` - 按3次回车(默认路径+不设密码) - 生成文件: - `~/.ssh/id_rsa`(私钥,需保密)[^1] - `~/.ssh/id_rsa.pub`(公钥)[^1] #### 2️⃣ 复制公钥到目标服务器 **方法一:使用`ssh-copy-id`(推荐)** ```bash ssh-copy-id username@server-ip ``` - 示例:`ssh-copy-id user@192.168.1.100` - 需输入目标服务器密码[^1][^3] **方法二:手动复制** ```bash # 本地操作 cat ~/.ssh/id_rsa.pub | ssh username@server-ip "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys" ``` #### 3️⃣ 设置文件权限(目标服务器) 登录目标服务器执行: ```bash chmod 700 ~/.ssh chmod 600 ~/.ssh/authorized_keys ``` ⚠️ **权限错误是免密登录失败的常见原因** [^4] #### 4️⃣ 测试免密登录 ```bash ssh username@server-ip ``` 成功将直接进入服务器终端,无需密码[^3] --- ### 关键目录与文件说明 | 文件/目录 | 作用 | |-----------|------| | `~/.ssh/` | SSH配置目录 | | `id_rsa` | 私钥(本地存储) | | `id_rsa.pub` | 公钥(复制到服务器) | | `authorized_keys` | 存储授权公钥(目标服务器)[^1] | | `known_hosts` | 记录访问过的主机公钥[^1] | --- ### 常见问题解决 1. **权限错误**: ```bash sudo chown -R $USER:$USER ~/.ssh # 修复属主 sudo chmod 700 ~/.ssh # 目录权限 sudo chmod 600 ~/.ssh/* # 文件权限[^2][^4] ``` 2. **多服务器配置**: ```bash # 批量配置多台服务器 for host in hadoop102 hadoop103 hadoop104; do ssh-copy-id user@$host done ``` 3. **非默认端口配置**: ```bash ssh-copy-id -i ~/.ssh/id_rsa.pub -p 2222 user@server-ip ``` --- ### 免密登录原理 SSH免密登录基于非对称加密: 1. 客户端用私钥签名 2. 服务器用`authorized_keys`中的公钥验证 3. 验证通过即建立连接[^5]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值