ssh密钥认证原理

最新推荐文章于 2025-05-15 14:32:47 发布
转载 最新推荐文章于 2025-05-15 14:32:47 发布 · 1.1k 阅读 · 3

SSH之所以能够保证安全,原因在于它采用了公钥加密。

整个ssh密码登录过程是这样的:

1)用户向远程主机发登录请求:ssh user@远程主机

2)远程主机收到用户的登录请求,把自己的公钥发给用户。

2)用户使用这个公钥,将登录密码加密后,发送回远程主机。

3)远程主机用自己的私钥,解密登录密码,如果密码正确,就同意用户登录。

在linux上,如果你是第一次登录对方主机,系统会出现下面的提示:

$ ssh user@host 
The authenticity of host 'host (12.18.429.21)' can't be established. 
RSA key fingerprint is 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d. 
Are you sure you want to continue connecting (yes/no)?

这段话的意思是,无法确认host主机的真实性,只知道它的公钥指纹,问你还想继续连接吗? 
所谓"公钥指纹",是指公钥长度较长(这里采用RSA算法,长达1024位),很难比对,所以对其进行MD5计算,将它变成一个128位的指纹。上例中是98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d,再进行比较,就容易多了。 
很自然的一个问题就是,用户怎么知道远程主机的公钥指纹应该是多少?回答是没有好办法,远程主机必须在自己的网站上贴出公钥指纹,以便用户自行核对。 
假定经过风险衡量以后,用户决定接受这个远程主机的公钥。 
Are you sure you want to continue connecting (yes/no)? yes
系统会出现一句提示,表示host主机已经得到认可。 

Warning: Permanently added 'host,12.18.429.21' (RSA) to the list of known hosts.

然后,会要求输入密码。 

Password: (enter password)

如果密码正确,就可以登录了。 
当远程主机的公钥被接受以后,它就会被保存在文件$HOME/.ssh/known_hosts之中。下次再连接这台主机,系统就会认出它的公钥已经保存在本地了,从而跳过警告部分,直接提示输入密码。 
每个SSH用户都有自己的known_hosts文件,分别在自己的$HOME目录下,此外操作系统也有一个这样的文件,通常是/etc/ssh/ssh_known_hosts,保存一些对所有用户都可信赖的远程主机的公钥。 
使用公钥登录(免输入密码) 
使用密码登录,每次都必须输入密码,非常麻烦。好在SSH还提供了公钥登录,可以省去输入密码的步骤。 
所谓"公钥登录",原理很简单,就是用户将自己的公钥储存在远程主机上。登录的时候,远程主机会向用户发送一段随机字符串,用户用自己的私钥加密后,再发回来。远程主机用事先储存的公钥进行解密,如果成功,就证明用户是可信的,直接允许登录shell,不再要求输入密码,这和之前的ssh账号密码也没有直接关系。 
这种方法要求用户必须提供自己的公钥。如果没有现成的,可以直接用ssh-keygen生成一个: 

$ ssh-keygen

运行上面的命令以后,系统会出现一系列提示,可以一路回车。其中有一个问题是,要不要对私钥设置口令(passphrase),如果担心私钥的安全,这里可以设置一个。 
运行结束以后,在$HOME/.ssh/目录下,会新生成两个文件:id_rsa.pub和id_rsa。前者是你的公钥,后者是你的私钥。 
这时再输入下面的命令,将公钥传送到远程主机host上面: 

$ ssh-copy-id user@host

好了,从此你再登录远程主机,就不需要输入密码了。 
如果还是不行,就打开远程主机的/etc/ssh/sshd_config这个文件,检查下面几行前面"#"注释是否取掉。 
RSAAuthentication yes   
PubkeyAuthentication yes   
AuthorizedKeysFile .ssh/authorized_keys
然后,重启远程主机的ssh服务。 
关于authorized_keys文件 
远程主机将用户的公钥,保存在登录后的用户主目录的$HOME/.ssh/authorized_keys文件中。公钥就是一段字符串,只要把它追加在authorized_keys文件的末尾就行了。 
如果不使用上面的ssh-copy-id命令,改用下面的命令也可以: 
# scp -P 22 id_rsa.pub root@192.168.1.77:/root/.ssh/authorized_keys 
root@192.168.1.77's password:   <-- 输入机器Server的root用户密码 
id_rsa.pub                                                              100%  218     0.2KB/s   00:00 
如果远程主机的authorized_keys文件已经存在,也可以往里添加公钥: 
先将公钥文件上传到远程主机中, 
#scp -P 2007 ~/.ssh/id_rsa.pub root@192.168.1.91:/root/ 
SSH到登陆到远程主机,将公钥追加到 authorized_keys 文件中 
cat /root/id_rsa.pub >> /root/.ssh/authorized_keys 
或直接运行命令: 
cat ~/.ssh/id_dsa.pub|ssh -p 22 root@192.168.1.91 `cat - >> ~/.ssh/authorized_keys`
写入authorized_keys文件后,公钥登录的设置就完成了。
runtime666
关注
SSH基于密钥认证原理
yihuoZhou的博客
05-08 4343
SSH的体系结构图如下:     传输层协议(The Transport Layer Protocol)提供服务器认证,数据机密性,信息完整性 等的支持;     用户认证协议(The User Authentication Protocol) 则为服务器提供客户端的身份鉴别;     连接协议(The Connection Protocol) 将加密的信息隧道复用成若干个逻辑通道,提
SSH基于用户名密码的认证原理
qq_56999608的博客
07-04 1462
哈喽,大家好呀!这里是码农后端。今天来聊一聊什么是SSH以及SSH基于用户名密码的认证原理。一、SSH概述SSH(Secure Shell,安全的shell),是一种用于安全访问远程服务器的协议,是Linux下远程管理的工具,相比Telnet安全。其采用CS(Client/Server)架构,默认端口号为22,TCP协议。注:SSH其实用于商业,而OpenSSH即为开源的,在Linux中默认安装。...
ssh认证原理
weixin_30848775的博客
10-29 152
所谓的密钥认证,实际上是使用一对加密字符串,一个称为公钥(public key), 任何人都可以看到其内容,用于加密;另一个称为密钥(private key),只有拥有者才能看到,用于解密。 通过公钥加密过的密文使用密钥可以轻松解密,但根据公钥来猜测密钥却十分困难。 ssh密钥认证就是使用了这一特性。服务器和客户端都各自拥有自己的公钥和密钥。 为了说明方便,以下将使用这些符号。Ac 客户端公...
SSH密钥认证原理
Sya_inn的专栏
03-26 550
SSH加密管理1. 查看是否已经有了ssh密钥:cd ~/.ssh如果没有密钥则不会有此文件夹,有则备份删除。Ø  Windows系统,在git bash中的~(用户路径)为:C:\Users\Eric所以,实际上~/.ssh文件路径位于:C:\Users\Eric\.ssh。Ø  如果git bash中已经生成过了ssh密钥,则执行cd ~/.ssh是可以查看到已经生成的sshkey的。2. 生...
SSH密钥认证原理及实践
# 第一章:SSH密钥认证简介 ## 1.1 SSH密钥认证的基本概念 SSH(Secure Shell)是一种加密的网络协议,用于在不安全的网络中安全地进行远程登录和其他网络服务。SSH密钥认证SSH协议的一种认证方式,通过使用密钥...
SSH密钥认证原理与配置
1.3 SSH的工作原理概述 ### 1.1 SSH的定义与作用 SSH,全称Secure Shell,是一种通过加密技术实现安全远程登录的协议。它可以在不安全的网络中为网络服务提供安全的传输和交换数据的功能,并且还可以防止信息泄露...
SSH原理与实战:密钥认证实现服务器免密登录
专注网络安全、Linux、K8s等技术分享,愿你在云计算运维领域不断进阶,欢迎随时交流。
04-01 1403
免密登录主要是为了方便和提高效率。想象一下你每天都要去一个地方,比如你每天都要进入自己的房间。如果每次进门都需要找钥匙、开锁,会比较麻烦。但如果你有一种方法,比如人脸识别或者指纹识别,门就能自动打开,你就可以直接进去了,这样会节省很多时间和精力。:ED25519密钥相比传统RSA2048,在相同安全强度下速度快30%,密钥长度缩短50%。通过本文,您已掌握SSH免密登录的核心原理与生产级部署方案。当看到终端秒连服务器的那一刻,就是运维效率质的飞跃!,带你学习更多实用技巧。
ssh 公钥私钥认证操作及原理 (转载)
roufoo的博客
11-16 3960
本文是转载自 https://blog.youkuaiyun.com/liubo2012/article/details/8894143 ssh 公钥私钥认证操作及原理 booooooooooooooooooo 2013-05-07 10:57:48 14043 收藏 3 分类专栏: linux linux 专栏收录该内容 13 篇文章0 订阅 订阅专栏 本文基于实际Linux管理工作,实例讲解工作中使用ssh证书登录的实际流程,讲解ssh证书登录的配置原理,基于配置原理,解决实际工作中,windows下使用Sec
[转]SSH 原理和基本使用:ssh 安全配置 以及ssh key 认证登录
weixin_34321753的博客
05-23 2613
一、什么是 SSH ?      SSH全称(Secure SHell)是一种网络协议,顾名思义就是非常安全的shell,主要用于计算机间加密传输。早期,互联网通信都是基于明文通信,一旦被截获,内容就暴露无遗。1995年,芬兰学者Tatu Ylonen设计了SSH协议,将登录信息全部加密,成为互联网安全的一个基本解决方案,迅速在全世界获得推广,目前已经成为Linux系统的标准配置。SSH的主要目...
ssh 公钥私钥原理
weixin_38172229的博客
05-05 7348
所谓"公钥指纹",是指公钥长度较长(这里采用RSA算法,长达1024位),很难比对,所以对其进行MD5计算,将它变成一个128位的指纹。这个过程本身是安全的,但是实施的时候存在一个风险:如果有人截获了登录请求,然后冒充远程主机,将伪造的公钥发给用户,那么用户很难辨别真伪。每个SSH用户都有自己的known_hosts文件,此外系统也有一个这样的文件,通常是/etc/ssh/ssh_known_hosts,保存一些对所有用户都可信赖的远程主机的公钥。(2)用户使用这个公钥,将登录密码加密后,发送到远程主机。
SSH公钥原理密钥,秘钥,私钥)(看了还是懵逼啊!)
热门推荐
Dontla的博客
10-22 2万+
文章目录1. 初见SSH2. SSH工作原理1. 基于口令的认证2.基于公钥认证3. SSH实践4 总结3. 为什么需要known_hosts? 1. 初见SSH SSH是一种协议标准,其目的是实现安全远程登录以及其它安全网络服务。 SSH仅仅是一协议标准,其具体的实现有很多,既有开源实现的OpenSSH,也有商业实现方案。使用范围最广泛的当然是开源实现OpenSSH。 2. SSH工作原理 在讨论SSH原理和使用前,我们需要分析一个问题:为什么需要SSH? 从1.1节SSH的定义中可以看出,SSH
加密(一)- 阮一峰:RSA算法原理
yiguang_820的博客
09-28 3237
今天看到一篇好文章,关于加密算法,收藏了觉得不过瘾,还是自己贴一遍,也能加深一下印象。 原文链接:http://www.ruanyifeng.com/blog/2013/06/rsa_algorithm_part_one.html 作者个人主页:http://www.ruanyifeng.com/home.html 下面进入正题(以下内容来自上面的作者): 如果你问我,哪一种算法最重要? 我可能会回答"公钥加密算法"。 因为它是计算机通信安全的基石,保证了加密数据不会被破解。你可以想象一下.
RSA算法原理【超清晰】
m0_59363292的博客
11-03 4904
目录 一、一点历史 二、互质关系 三、欧拉函数 四、欧拉定理 五、模反元素 六、密钥的生成步骤 八、加密与解密 九、私钥解密的证明 一、一点历史 了解一个东西,首先我们要关注他的历史。 1976年以前,所有的加密方法都是同一种模式: (1)甲方选择某一种加密规则,对信息进行加密; (2)乙方使用同一种规则,对信息进行解密。 由于加密和解密使用同样规则(简称"密钥"),这被称为"对称加密算法"(Symmetric-key algorithm)。 这种加密模式有一个最大..
加密原理1
最新发布
weixin_46356409的博客
05-15 1097
加密密钥是密码学中用于控制加密和解密过程的关键参数,其作用类似于现实世界中的“钥匙”。在加密算法中,明文通过密钥和特定算法转换为密文,而解密则需要相同(对称加密)或相关(非对称加密)的密钥才能还原。加密密钥是加密系统的核心,其质量和安全性直接决定了数据的保密性和完整性。正确生成、存储、分发和管理密钥,是实现安全加密的关键。加密算法通常是公开的(如AES、RSA),而密钥是保密的。相同的明文使用不同密钥加密会生成不同的密文,因此密钥决定了算法的具体“执行路径”。只有掌握正确密钥的人才能解密数据。
Linux SSH PublicKey 登录
小单的博客专栏
06-16 3985
ssh 远程登录密码认证的方式有Password和Public Key三种主要方式。前面两种方式就是密码认证,含义都是一样大同小异。第三种是登录方式最安全的一种,也是我们常用的云服务器默认使用的一种方式。本文就如何配置并使用Public Key来登录进行演示。
Crypto API - 5. 非对称/公钥加密密钥类型
maimang1001的专栏
12-28 525
非对称”(asymmetric)密钥类型被设计为公钥加密中使用的密钥的容器,而不对加密的形式或机制或密钥的形式施加任何特殊限制。为非对称密钥指定一个子类型,该子类型定义与密钥关联的数据类型,并提供描述和销毁密钥的操作。但是,不要求密钥数据实际存储在密钥中。可以定义一个完全在内核中保留密钥和操作的子类型,但也可以提供对加密硬件(例如 TPM)的访问,这些硬件可以用于保留相关密钥并使用该密钥执行操作。在这种情况下,非对称密钥只是与 TPM 驱动程序的接口。还提供了数据解析器的概念。
ssh密钥认证原理
03-25
<think>好的,我现在需要解释SSH密钥认证的工作原理。根据用户提供的引用内容,我得先整理一下已有的信息。 首先,引用[1]提到,SSH服务器保存了用户的公钥,这样服务器可以用它来认证用户。引用[2]补充说,GitLab远程服务器需要保存客户端的公钥来解密用户的凭证。这说明公钥存储在服务器端,而私钥在客户端。当客户端发起连接时,服务器会用公钥验证客户端提供的签名,这可能涉及加密的挑战-响应机制。 然后,引用[3]提到了ssh-agent管理私钥的情况。当私钥被移除后,认证会失败,说明ssh-agent在认证过程中负责提供私钥的访问。这涉及到客户端如何安全地处理私钥,可能不需要每次都输入密码,而是由agent来管理会话。 引用[4]提到在远程安装时需要使用SSH私钥,说明私钥必须安全地存储在客户端,并且可能需要在自动化流程中使用,比如脚本或部署工具。这强调了私钥的保密性,一旦泄露会有安全风险。 接下来,我需要将这些点串联起来,形成一个完整的流程。首先,生成密钥对,公钥放在服务器,私钥留在客户端。当连接请求发起时,服务器生成一个随机数并用公钥加密,客户端用私钥解密后生成签名返回,服务器验证签名是否正确。这个过程确保了只有拥有私钥的客户端能通过认证。 同时要注意密钥的存储和管理,比如ssh-agent的作用,以及多账户情况下如何处理不同的密钥。用户可能还关心安全性问题,如中间人攻击的防范,这可以通过SSH协议的其他机制来保障,比如主机密钥验证。 最后,用户可能生成相关问题,比如如何生成密钥对、多账户管理、安全性措施等,需要根据引用内容中的要点来设计相关问题。</think>### SSH密钥认证的工作原理 SSH密钥认证基于**非对称加密**,通过公钥和私钥配对实现身份验证,避免密码传输风险。以下是具体步骤: 1. **密钥对生成** 用户本地生成一对密钥(公钥 + 私钥),例如使用命令: ```bash ssh-keygen -t ed25519 ``` 私钥(如`id_ed25519`)保存在客户端,公钥(如`id_ed25519.pub`)需上传至SSH服务器[^2]。 2. **公钥注册** 将公钥内容添加到服务器的`~/.ssh/authorized_keys`文件中。服务器通过该文件识别合法用户[^1]。 3. **认证过程** - **挑战生成**:用户发起连接时,服务器生成随机数(Challenge),用公钥加密后发送给客户端。 - **签名响应**:客户端用私钥解密随机数,生成数字签名并返回服务器。 - **验证签名**:服务器用公钥验证签名,确认客户端身份[^1]。 4. **密钥管理** - **ssh-agent**:客户端工具(如`ssh-agent`)可缓存解密后的私钥,避免重复输入密码[^3]。 - **多账户场景**:通过`~/.ssh/config`文件配置不同主机对应的密钥,例如: ```bash Host github-work HostName github.com User git IdentityFile ~/.ssh/work_ed25519 ``` 5. **安全性保障** - 私钥必须严格保密(权限设为`600`),泄露需立即撤销[^4]。 - SSH协议默认使用主机密钥验证,防止中间人攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值