Linux实现ssh基于key验证的免密登录

最新推荐文章于 2024-06-27 12:25:22 发布
原创 最新推荐文章于 2024-06-27 12:25:22 发布 · 1.4k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #centos #服务器 #运维 #ssh

本文详细介绍了SSH基于公钥加密的key验证机制,如何通过ssh-keygen生成并管理公钥私钥对,实现服务器间免密登录。还探讨了sshpass在自动化脚本中的应用,以及批量部署和安全措施,如添加口令、使用ssh-agent等。

ssh基于key验证机制

连接自己必须先在本地生成自己的公钥和私钥
要连接谁就要把自己的公钥放到谁的服务器上

实现免密的逻辑

  • 服务器端拿客户端公钥加密随机字符传给客户端
  • 客户端解密后再拿服务器公钥加密传给服务器端

实现免密的意义

  • 公钥放在目录里
  • 一行一个,多个公钥
  • 比用户名和密码更安全
  • 每次服务器互相连接的时候不再需要输入密码了

实现ssh免密登录

  1. 客户端生成公钥私钥对
ssh-keygen

ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:ZoNMD/ueg9Tp+gYoQNY7EClt6z1ZX7BuZxm4vXcAXJE root@c7-1-54
The key's randomart image is:
+---[RSA 2048]----+
| o+         .o   |
|.=o.    .   E    |
|+.... o  = .     |
|. .o o.=o =      |
| o ..+++S= +     |
|  o = o+B.= .    |
|   . o =.o . .   |
|      ..+.. . .  |
|      .++. . .   |
+----[SHA256]-----+

按提示默认生成公钥私钥对在/root/.ssh/目录下

ll -a .ssh/
总用量 24
drwx------.  2 root root   57 8月  11 2020 .
dr-xr-x---. 15 root root 8192 4月  28 22:15 ..
-rw-------.  1 root root 2602 8月  11 2020 id_rsa ## 私钥
-rw-r--r--.  1 root root  570 8月  11 2020 id_rsa.pub ## 公钥
-rw-r--r--.  1 root root  527 3月  29 02:14 known_hosts ## 可识别的主机
  1. 把公钥拷贝给服务器

ssh-copy-id命令可以把本地主机的公钥复制到远程主机的authorized_keys文件上

ssh-copy-id -i /root/.ssh/id_rsa.pub 服务器对端IP

私钥一定是自己留好,公钥可以发布出去!

ssh-copy-id -i /root/.ssh/id_rsa.pub 10.0.0.56
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
The authenticity of host '10.0.0.56 (10.0.0.56)' can't be established.
RSA key fingerprint is SHA256:xiviIpop6NgLGgUH/KasDBNHiO9cKXSZ80wOYrv1PZo.
RSA key fingerprint is MD5:88:b9:65:83:8f:d2:8a:6b:ca:21:07:81:a0:03:04:49.
Are you sure you want to continue connecting (yes/no)? y
Please type 'yes' or 'no': yes
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@10.0.0.56's password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh '10.0.0.56'"
and check to make sure that only the key(s) you wanted were added.

ssh 10.0.0.56
Last login: Sun Apr 25 23:54:46 2021 from 10.0.0.1

实现sshpass通讯

sshpass用于非交互SSH的密码验证,一般用在sh脚本中,无须再次输入密码(本机known_hosts文件中有的主机才能生效)。

  • 它首选需要加到 .ssh/know_hosts中
  • 实现不需要回答yes/no登录远程服务器
sshpass -p 密码 ssh -o StrictHostKeyChecking=no root@10.0.0.1 hostname -I

sshpass -f可以读取文件内的密码

sshpass -f <密码文件> ssh -o StrictHostKeyChecking=no root@10.0.0.1 hostname -I
  • sshpass

-p password #后跟密码它允许你用 -p 参数指定明文密码,然后直接登录远程服务器
-f filename #后跟保存密码的文件名,密码是文件内容的第一行
-e #将环境变量SSHPASS作为密码

批量实现免密登录

  • 首先生成key ssh-keygen
  • 先拷贝给自己,在复制整个目录到对方主机
  • 所有人共用一份公钥私钥对
rsync -av /root/.ssh IP:/root
  • 给私钥加口令
ssh-keygen -p
  • 只需要输入私钥密码
  • 把密码托管给ssh-agent进行代理
ssh-agent bash
ssh-add

  • 输入私钥密码,临时性的密码

  • 这时候私钥文件被偷走了,也没关系

  • 禁用原来的用户名密码策略,仅支持私钥验证

  • 基于key验证与密码无关,修改密码后不影响key验证

编写脚本实现批量免密

  • 用expect实现基于key的免密登陆验证

sshpass -e #将环境变量SSHPASS作为密码

IPLIST="
10.0.0.8
10.0.0.18
10.0.0.7
10.0.0.6
10.0.0.200"

rpm -q sshpass &> /dev/null || yum -y install sshpass  
[ -f /root/.ssh/id_rsa ] || ssh-keygen -f /root/.ssh/id_rsa  -P ''
export SSHPASS=centos ##设置系统变量,也就是密码
for IP in $IPLIST;do
    sshpass -e ssh-copy-id -o StrictHostKeyChecking=no $IP 
done

想访问那台机器,就把自己的公钥拷贝到对方的/root/.ssh/中就行了
部署的100台服务器都想互相访问
只需要每台服务器的/root/.ssh/目录中有一套同样的公私钥对就可以了

执行ssh-copy-id报错REMOTE HOST IDENTIFICATION HAS CHANGED
邓邓子的博客
05-09 2742
目录一、问题描述二、解决方法 一、问题描述 执行 ssh-copy-id 复制公钥时报错: [root@localhost .ssh]# ssh-copy-id 192.168.1.20 /usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub" /usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to fi
OpenSSH: WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!
shunzi2016的博客
04-10 476
删掉known_hosts提示的21行。警告:远程主机标识已更改!
在配置SSH免密登录时报错:/usr/bin/ssh-copy-id: ERROR: failed to open ID file ‘/root/.pub’: 没有那个文件或目录
01-07
问题 [root@hadoop1 sbin]# ssh-copy-id hadoop1 /usr/bin/ssh-copy-id: ERROR: failed to open ID file '/root/.pub': 没有那个文件或目录 (to install the contents of '/root/.pub' anyway, look at the -f option) 解决方法 [root@hadoop1 sbin]# ssh-keygen -t dsa Generating public/private dsa key pair. Enter file in which to
ssh免密登录
freeRoad
07-13 764
2 把公钥加入到服务器的.ssh/authorized_keys 文件中 3 配置本地config文件 在本地机器的目录~/.ssh 下找到config文件(若不存在,自己创建一个 touch config),按如下进行配置: 以后只要 ssh vps 便可登陆服务器,再也不需要麻烦的记住ip地址...
Linux基于key验证
PLACJH的博客
12-15 153
一键打通key验证
linux免密登录实现 ssh免密登录
zhurobert的博客
02-01 1467
linux免密登录实现
Linux远程连接ssh免密登录的配置
m0_74389711的博客
03-10 5517
Linux远程连接ssh免密登录的配置:普通用户和root用户的认证登录的基本配置,以及其中出现的常见问题的解决!
linux设置ssh免密登录
Chaolei3的博客
06-27 2372
最近需要给k8s集群做免密登录,但是看了网上的好多博客,发现好多博客都没有讲清或直截了当地讲免密登录的原理,而是进行2个命令进行操作,对于初学者来说,只是知其然,不知其所以然。于是,想写一篇笔记,以以后再次遇到。 免密登录的原理,实际上就是一句话,如果需要master服务器免密登录服务器x,那么只需要将matser的公钥放置在服务器x的某个文件中即可。 #1 .........
Linux基于ssh实行免密登录及禁止root用户远程登陆
weixin_56600233的博客
10-03 1871
Linux基于ssh实行免密登录及禁止root用户远程登陆
使用ssh公钥实现码登录
m0_65621281的博客
06-27 3431
主要有两种登录方式:第一种为码口令登录,第二种为公钥登录通过码进行登录,主要流程为:1、客户端连接上服务器之后,服务器把自己的公钥传给客户端2、客户端输入服务器码通过公钥加之后传给服务器3、服务器根据自己的私钥解登录码,如果正确那么就让客户端登录公钥登录是为了解决每次登录服务器都要输入码的问题,流行使用RSA加方案,主要流程包含:1、客户端生成RSA公钥和私钥2、客户端将自己的公钥存放到服务器3、客户端请求连接服务器服务器将一个随机字符串发送给客户端。
SSH免密登录(详解)
秦延金
04-28 3286
前言 RSA公钥加算法 在进入正题之前,我们先了解一下"RSA公钥加算法"的历史 ​ RSA公钥加算法作为目前地球上最重要的加算法,已经完全渗透到了互联网的每一个角落,在1976年以前所有的加方法都是同一个模式(对称加): 1. A方选择某一种加规则(算法),对信息加 2. B方使用同一种规则,对信息进行解 ​ 由于加和解使用同样的规则(简称:钥),这被称为"对称加算法(Symmetric-key algorithm)。" ​ 这种加模式有一个最大问题:甲方必须把加规则告
给远程服务器设置SSH Key码登录
weixin_33861800的博客
06-22 1280
最近新入手一台VPS,为了安全以及远程连接方便,设置成使用SSH Key码登录。作为非程序员IT小白,Google了不少教程,按自己的折腾过程,汇总成下面的步骤,作为以后再搞机的指南。 1.远程服务器上生成钥对 用SSH连接远程服务器后,执行一下命令: ssh-keygen 终端中会出现提示: Generating public/p...
LinuxSSH免密登录
jinx
12-12 3955
我实在是懒得输入码!
Linux网络】ssh服务与配置,实现安全的钥对免密登录
liu_xueyin的博客
11-14 6298
ssh是一种安全双通道协议,主要用来实现远程登录、数据传输等;ssh协议对通信双方的数据传输进行加处理,其中包括用户登录时输入的用户口令,ssh为建立在应用层和传输层基础上的安全协议。
验证ssh免密登录_Linux实现SSH验证登陆
weixin_39624332的博客
12-22 452
ssh配置主机A:10.0.5.199主机B:10.0.5.198需要配置主机A无码登录主机A,主机B先确保所有主机的防火墙处于关闭状态。在主机A上执行如下:1. $cd ~/.ssh2. $ssh-keygen -t rsa ------------------然后一直按回车键,就会按照默认的选项将生成的私钥保存在.ssh/id_rsa文件中,生成的公钥保存在.ssh/id_rsa.pub中。...
基于key验证实现免密登录
a rookie的博客
12-26 448
远程主机用事先储存的公钥进行解,如果成功,就证明用户是可信的,直接允许登录shell,不再要求码。主机1通过ssh远程连接不同的主机时会接收不同的公钥,会将这些主机的公钥保存至此文件,第一次通过ssh远程连接时,会提示授权信息(上面敲yes时就是同意授权),同意授权后,授权的信息就会保存至本地主机,下一次连接该远程主机将无需提示授权。中间人攻击:夹在用户和远程主机之间,截取用户发给远程主机的登录请求,冒充远程主机,用伪造的公钥获取用户的登录码,然后用该码登录远程主机进行破坏。
C#实现ssh免密登录linux
最新发布
10-24
在C#中实现SSH免密登录Linux通常需要借助第三方库,如`Renci.SshNet`或者`SharpSSH`。以下是使用`Renci.SshNet`的一个简单示例: 首先,你需要安装`Renci.SshNet`包。如果你使用NuGet,可以在控制台运行: ```powershell Install-Package Renci.SshNet ``` 然后,你可以创建一个连接Linux服务器的类,例如: ```csharp using Renci.SshNet; using System; public class SshLogin { private readonly string _host; private readonly string _username; private readonly string _privateKeyPath; // 免密登录的私钥文件路径 public SshLogin(string host, string username, string privateKeyPath) { _host = host; _username = username; _privateKeyPath = privateKeyPath; } public void Connect() { using (var client = new SshClient(_host)) { // 设置SSH配置,包括加算法和私钥认证 client.SecurityProtocol = SecurityProtocols.Ssh2; client.Connect(); // 使用私钥文件进行身份验证 var privateKey = File.ReadAllText(_privateKeyPath); var key = new PrivateKey(privateKey); client.Authentication办法 = new PrivateKeyAuthenticationMethod(_username, key); if (!client.IsConnected) { throw new Exception($"无法连接到 {_host}。"); } Console.WriteLine("SSH连接成功,现在可以执行Linux命令..."); // 这里可以进一步执行ShellCommand或ExecuteCommand等方法执行Linux命令 // 示例:client.ExecuteCommand("ls"); // 如果需要保持连接直到关闭,请添加下面这行 // client.Disconnect(); } } } ``` 要使用这个类,只需创建实例并调用`Connect()`方法: ```csharp SshLogin ssh = new SshLogin("your-linux-host", "your-username", "/path/to/private/key"); ssh.Connect(); ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值