OPENSSH服务器(ssh-keygen的使用方法)

最新推荐文章于 2025-05-19 00:02:37 发布
最新推荐文章于 2025-05-19 00:02:37 发布
阅读量3.2k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: 服务器 文章标签: ssh-keygen的使用方法 ssh-copy-id使用方法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43168314/article/details/84839256
本文详细介绍OpenSSH的原理和配置方法,包括基于RSA或DSA密钥对的免密码登录流程,以及如何通过密钥交换实现安全的远程连接。同时,文章还提供了具体的安装和配置步骤,帮助读者在Linux环境下实现安全、便捷的SSH远程登录。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一·相关概念

1. OPENSSH概念
OpenSSH是SSH(Secure Shell) 协议的免费开源实现。SSH协议族可以用来进行远程控制, 或在计算机之间传送文件。而实现此功能的传统方式,如telnet、 rcp ftp、 rlogin、rsh都是极为不安全的,并且会使用明文传送密码。OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控制和文件传输过程中的据由此来代替原来的类似服务。

2. OPENSSH工作原理
服务器端开启SSH服务,在端口22监听客户端请求;
客户端发出请求,如果是第一次与服务器建立连接,服务器端会向客户端发送一个rsa key;
客户端接收到服务器端发送过来的rsa key后,就会采用与服务器端协商好的加密算法,生成会话密钥(此会话密钥用于加密客户端与服务器端之间的会话),并用rsa key加密会话密钥,并发送给服务器端;
服务器端就用对应的私钥解密已加密的会话密钥,然后用此会话密钥加密确认信息,发送给客户端。客户端用会话密钥解密加密的确认信息,到此,密钥交换成功和服务器认证成功。

3. OPENSSH协议
SSH是一种协议标准,其目的是实现安全远程登录以及其它安全网络服务
SSH1协议:由单个协议提供密钥交换、身份认证与加密的功能
SSH2协议:
传输层协议(主要提供密钥交换与服务器端认证功能)
认证协议 (主要提供密钥交换与服务器端认证功能)
连接协议 (主要提供远程执行命令功能)

4. OPENSSH端口
TCP 22

5. OPENSSH常用客户端工具
SecureCRT
Xshell
Xmanager
MobaXterm

6. DROPBEAR
Dropbear是一个相对较小的SSH服务器和客户端。是另一款ssh协议的开源实现类似SSH,实现完整的SSH客户端和服务器版本2协议。但它不支持SSH版本1,以节省空间和资源,并避免在SSH版本1的固有的安全漏洞。支持scp

二 .OPENSSH服务安装配置

(一)概述

1、为了让两个linux机器之间使用ssh免密码,采用了数字签名RSA或者DSA来完成这个操作。

2、模型分析

假设 A (192.168.11.142)为客户机,B(192.168.11.143)为目标机;

要达到的目的:
A机器ssh登录B机器无需输入密码

(二)具体操作流程

1、登录A机器
2、ssh-keygen ,将会生成密钥文件和私钥文件 id_rsa,id_rsa.pub
3、将 .pub 文件复制到B机器的 .ssh 目录, 并 cat id_dsa.pub >> ~/.ssh/authorized_keys
4、大功告成,从A机器登录B机器的目标账户,不再需要密码了;

1.关闭防火墙&Selinux
systemctl stop firewalld
setenforce 0

2.安装OPENSSH服务器及客户端
yum install openssh-server -y (服务端)
yum install openssh-clients -y (客户端)

3.OPENSSH服务器、客户端的配置文件
/etc/ssh/sshd_config #服务端配置文件
/etc/ssh/ssh_config #客户端配置文件

4.OPENSSH基于密钥的认证 #限于客户机是管理员

客户端(192.168.11.142):
ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): 回车
Created directory ‘/root/.ssh’.
Enter passphrase (empty for no passphrase): 回车
Enter same passphrase again: 回车
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:45k2d8myM9cjh/Gty2p+gk5SdUqUsSy/ynfqpQWIx2E root@localhost.localdomain
The key’s randomart image is:
±–[RSA 2048]----+
| oo |
| o… |
| E = . |
| + B o |
| S = + |
| . * …+ |
| B +.==o. |
| . +=B=B .|
| .=OO++ |
±—[SHA256]-----+
ls -a
.ssh
cd .ssh
ls
id_rsa id_rsa.pub
cat id_rsa.pub > authorized_keys #文件名必须为authorized_keys
scp authorized_keys 192.168.11.143:/home/liuyao/
The authenticity of host ‘192.168.11.143 (192.168.11.143)’ can’t be established.
ECDSA key fingerprint is SHA256:3uu+Zjhss20Lsp5s8RLdK4tmKwkfJurWGHNa5SC08qw.
ECDSA key fingerprint is MD5:7a:3e:52:d1:82:79:a8:f7:b3:5b:be:e8:2b:8a:48:98.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added ‘192.168.11.143’ (ECDSA) to the list of known hosts.
root@192.168.11.143’s password:
authorized_keys 100% 408 349.8KB/s 00:00
目标机(192.168.11.143):
cd /home/liuyao/
ls
authorized_keys #会发现有这个文件
mkdir .ssh
mv authorized_keys .ssh/ #authorized_keys文件必须放到.ssh目录下
cd .ssh/
ls
authorized_keys
这时回到客户机(192.168.11.142):
ssh liuyao@192.168.11.143
[liuyao@localhost ~]$ #免密码登录到了目标机

5.OPENSSH基于口令的认证 #基于普通用户实现免密码登录

客户机操作:
useradd user1
passwd user1 #设置密码
su - user1
ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/user1/.ssh/id_rsa):回车
Created directory ‘/home/user1/.ssh’.
Enter passphrase (empty for no passphrase): 回车
Enter same passphrase again: 回车
Your identification has been saved in /home/user1/.ssh/id_rsa.
Your public key has been saved in /home/user1/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:7WlqvS+scDTeLA/j6s2Aflv/xov+3NPydH4vfGz0NWw user1@localhost.localdomain
The key’s randomart image is:
±–[RSA 2048]----+
| |
| |
| |
| . |
| S . . |
| . o = . Eo|
| . o Bo*. …+|
| . .O.O+oo.=oO|
| .o++oB…B*|
±—[SHA256]-----+
ssh-copy-id user2@192.168.11.143
/bin/ssh-copy-id: INFO: Source of key(s) to be installed: “/home/user1/.ssh/id_rsa.pub”
The authenticity of host ‘192.168.11.143 (192.168.11.143)’ can’t be established.
ECDSA key fingerprint is SHA256:mGgEV4do2moDpLIwzcBUGDDfLfOyu6pAuEMPY3unHJI.
ECDSA key fingerprint is MD5:1b:68:37:09:dd:03:bb:fc:f4:bb:be:ac:53:af:5c:11.
Are you sure you want to continue connecting (yes/no)? yes
/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed – if you are prompted now it is to install the new keys
user2@192.168.11.143’s password:
Number of key(s) added: 1
Now try logging into the machine, with: “ssh ‘user2@192.168.11.143’”
and check to make sure that only the key(s) you wanted were added.
目标机操作:
useradd user2
passwd user2
再回到客户端user1:
ssh user2@192.168.11.145 #免密码登录成功
Last login: Thu Dec 6 20:30:33 2018

`

如何使用ssh-keygen生成新的SSH key
蛐蛐的博客
11-02 3360
1.什么是ssh-keygen Ssh-keygen是用于为SSH创建新的身份验证密钥对的工具。 此类密钥对用于自动登录,单点登录和验证主机。 2.SSH key与公钥认证 SSH协议使用公共密钥加密技术对主机和用户进行身份验证。 认证密钥(称为SSH密钥)是使用keygen程序创建的。 SSH引入了公钥身份验证,作为较旧的.rhosts身份验证的一种更安全的替代方法。 它通过避免将密码存储在文件中来提高安全性,并消除了受感染的服务器窃取用户密码的可能性。 但是,SSH密钥就像...
Teamcity为Azure的git源颁发ssh-rsa证书,使用ssl-keygen在macos下操作
Afterwards_的专栏
04-30 609
执行这段将会要求输入旧密码和新密码两次,新密码可以和旧密码相同,这样会覆盖id_rsa文件.这个文件就是tc能支持的私钥了.更换了符合他要求的证书也是有一多半的情况不正常,但实则是微软服务的问题,是服务器都拿去跑算力了还是短暂的系统问题不确定.也可以使用puttygen转换私钥格式为PEM的,比ssh-keygen麻烦一些需要先转换成ppk文件才可以.以下记录生成符合SSH-RSA2的 SHA256或者512的方法,以符合微软的标准.回车后会要求输入生成的路径,会给出提示,默认回车即可。
OpenSSH服务——基于密钥的ssh认证实现
木子甘
09-26 1912
一、客户端生成密钥对#生成 密钥对 路径 ~/.ssh/id_rsa ssh-keygen -t rsa -f ~/.ssh/id_rsa二、将公钥发送给服务端的家目录ssh-copy-id 172.17.1.116: ssh 172.17.1.116三、验证代理(保存解密后的密钥)作用:避免每次使用密钥验证登陆都要输入私钥口令 仅作用于此次登陆 ssh-agent bash ssh-add
ssh-keygen(1) command
热门推荐
Dablelv 的博客专栏。
12-03 2万+
ssh-keygenOpenSSH 身份验证密钥实用工具。ssh-keygen 用于 SSH 身份验证密钥的生成、管理和转换,它支持 RSA 和 DSA 两种认证密钥。 3.选项说明 4.常用示例 (1)创建一个默认密钥。 中途需要三次确认,全部缺省直接回车即可。在当前用户的家目录下,~/.ssh 目录下将会看到三个文件: 如果当前主机是 SSH 服务端,那么会有 authorized_keys,用来存放客户端机器的公钥。id_rsa 为当前主机的私钥。id_rsa.pub 为当前主机的公钥。我们需
使用SSH-keygen生成GitHub密钥教程
最新发布
u014333212的博客
05-19 992
ssh-keygen命令用于生成SSH密钥对,支持身份验证。通过指定密钥类型(如RSA)、添加注释(通常为邮箱)和自定义文件名,用户可以在终端中生成密钥对。默认情况下,密钥文件保存在用户主目录的.ssh文件夹中。生成过程中,系统会提示输入密码短语以加密私钥,若无需密码可直接跳过。生成的文件包括私钥(需保密)和公钥(可公开分享)。公钥可添加到GitHub等服务的SSH设置中,通过ssh -T git@github.com命令测试连接是否成功。若出现“Permission denied”错误,需确认密钥是否已加
openssh和openssl的区别和基本用法
General_zy的博客
11-21 3938
如果你自签发一个根证书(或者像上面那样生成自签名证书),虽然技术上可以完成加密通信,但由于该根证书不在浏览器或操作系统的默认信任列表中,客户端就会认为这个证书是不可信的,从而显示“连接不安全”或类似的警告。应用程序覆盖了密码技术的应用,主要包括了各种算法的加密程序和各种类型密钥的产生程序(如RSA、Md5、Enc等等)、证书签发和验证程序(如Ca、X509、Crl等)、SSL连接测试程序(如S_client和S_server等)以及其它的标准应用程序(如Pkcs12和Smime等)。
Linux服务篇--openssh服务
天空飘过的鱼的博客
09-17 6300
Linux高级篇–SSH服务 一、 SSH ssh: secure shell, protocol, 22/tcp, 安全的远程登录 具体的软件实现:   OpenSSH: ssh协议的开源实现,CentOS默认安装   dropbear:另一个开源实现 SSH协议版本   v1: 基于CRC-32做MAC,不安全;man-in-middle   v2:双方主机协议选择安全的MAC方式   基于...
ssh-keygen详解
CarrreyYan_979292的博客
08-11 6193
创建ssh常见方式(不推荐)创建github的ssh。创建gitee 的ssh
OpenSSH登录SSH2
10-11
- **步骤3**: 使用`ssh-keygen`命令生成私钥和公钥文件。默认情况下,生成的私钥和公钥文件名为`id_rsa`和`id_rsa.pub`。执行命令: ``` ssh-keygen -t rsa ``` 这里采用默认设置,一路回车即可完成。生成的两个...
openssh-server离线安装包
11-04
5. **配置OpenSSH Server**:安装完成后,需要配置`/etc/ssh/sshd_config`文件来调整服务器的行为,比如端口号、认证方法、密钥生成等。默认情况下,OpenSSH Server会自动启动并监听22号端口。 6. **安全与最佳实践...
openssh8.6p1-Centos7 rpm包
04-28
安装完成后,我们需要配置OpenSSH服务器。主要配置文件位于`/etc/ssh/sshd_config`。常用配置项包括: 1. **Port**: 修改默认的22端口,降低被恶意扫描的风险。 2. **PermitRootLogin**: 禁止root用户直接登录,...
Openssh生成key hash
09-22
openssh可以生成key hash的一个工具 openssh可以生成key hash的一个工具 openssh可以生成key hash的一个工具 openssh可以生成key hash的一个工具
Open SSH服务配置
sucker的博客
10-30 2526
例如,可以将本地文件拷贝到远程主机(使用scp命令,如[root@localhost~]#scpanaconda - ks.cfg root@192.168.112.131:/tmp,输入远程主机密码后即可完成传输),也可以将远程主机文件拷贝到本地(如[root@localhost~]#scproot@192.168.112.130:/tmp/anaconda - ks.cfg/root )OpenSSH基于C/S(客户端/服务器)工作模式,有两种认证方式:口令认证和基于密钥的认证(密钥)
openssh
夸父的博客
09-18 563
密钥登录原理: 就是用户将自己的公钥储存在远程主机上。登录的时候,远程主机会向用户发送一段随机字符串,用户用自己的私钥加密后,再发回来。远程主机用事先储存的公钥进行解密,如果成功,就证明用户是可信的,直接允许登录shell,不再要求输入密码,这和之前的ssh账号密码也没有直接关系。 这种方法要求用户必须提供自己的公钥。如果没有现成的,可以直接用ssh-keygen生成一个: [root@local...
openssh的key结构
qq_41224661的博客
06-28 324
struct Key { int type; int flags; RSA *rsa; DSA *dsa; }; struct { Key *server_key; Key *ssh1_host_key; Key **host_keys; int have_ssh1_key; int have_ssh2_key; uchar ssh1_cookie[SSH_SESSION_KEY_LENGTH]; } sensitive_da
ssh-keygen命令基本用法详解
kaixinjiaoluo的博客
09-11 3649
Hadoop 安装,SSH命令详解
Openssh服务的key认证
xrt0211的博客
02-20 773
Openssh服务的key认证 1.Openssh认证方式 密码认证:至少6个字符,包含数字,字母,下划线特殊符号等,易泄漏,可被暴力破解,密码容易丢失。 密钥认证:新型认证方式,分为公钥及私钥,公钥上传服务器,私钥配对认证,不会被盗用,攻击者一般无法通过密钥登录服务器。 2.Openssh KEY Openssh KEY支持rsa及dsa加密 加密方法:生成密钥 ssh-keygen 上传密钥...
Linux系统SSH远程管理服务
MONGJUK的博客
12-13 2740
SSH远程管理服务介绍,命令scp与sftp,实验免密登录详细过程与ssh-agent的使用
windows 安装 OpenSSH
frighting_ing的博客
01-26 2万+
适用于 Windows Server 2019、Windows 10、Windows Server 2022 OpenSSH 是一款用于远程登录的连接工具,它使用 SSH 协议。 它会加密客户端与服务器之间的所有流量,从而遏止窃听、连接劫持和其他攻击。 OpenSSH 可用于将安装了 OpenSSH 客户端的 Window 10(版本 1809 及更高版本)或 Windows Server 2019 设备连接到那些安装了 OpenSSH 服务器的设备。 使用 Windows 设置来安装 OpenSSH .
window ssh-keygen
03-18
<think>好的,我需要帮助用户在Windows系统上使用ssh-keygen生成SSH密钥。首先,我得回忆一下相关的步骤,并确保信息准确。根据用户提供的引用内容,ssh-keygen命令可以用不同的算法生成密钥,比如RSA、DSA、ECDSA、Ed25519等,并且需要指定密钥大小。例如,ssh-keygen -t rsa -b 4096会生成RSA-4096的密钥对。 接下来,我需要考虑用户在Windows环境下可能使用的工具。通常,Windows 10及以后的版本内置了OpenSSH客户端,所以用户可以直接在PowerShell或命令提示符中使用ssh-keygen。如果用户使用的是旧版Windows,可能需要安装Git Bash或者Windows Subsystem for Linux(WSL)来获得ssh-keygen工具。 然后,步骤大致如下: 1. 打开命令行工具(PowerShell或CMD)。 2. 输入生成密钥的命令,比如ssh-keygen -t rsa -b 4096。 3. 指定保存密钥的文件路径,默认是用户目录下的.ssh文件夹。 4. 设置密钥的密码(可选)。 5. 生成完成后,公钥和私钥会保存在指定位置。 需要提醒用户将公钥(通常以.pub结尾)添加到需要连接的服务器或Git平台,而私钥要妥善保管,不要泄露。同时,不同平台可能推荐的算法不同,比如GitHub推荐使用Ed25519,用户可以根据需要选择合适的算法。 另外,引用中的示例提到了不同的命令,比如ssh-keygen -t ed25519,这可能比RSA更高效安全。需要指出这些选项,并建议用户优先使用更新的算法,如Ed25519,如果系统支持的话。 可能还需要说明如何检查是否已有现有的SSH密钥,避免覆盖。比如,先查看.ssh目录下是否有id_ed25519或id_rsa等文件。如果存在,用户可以选择跳过生成步骤,或者备份旧密钥。 最后,常见问题可能包括路径问题、权限设置(比如.ssh目录的权限应为700,私钥文件为600),以及如何将公钥添加到远程服务器的authorized_keys文件中。这些虽然不是用户直接的问题,但可以作为补充提示,帮助用户顺利使用生成的密钥。 总结一下,回答需要分步骤,明确命令行操作,解释参数的作用,给出不同算法的选择建议,并提醒注意事项。同时,根据用户提供的引用内容,正确引用来源,例如使用-t和-b参数的例子来自引用[1]。</think>在Windows系统中生成SSH密钥的步骤如下,支持多种加密算法(如RSA、Ed25519等): ### 步骤说明 1. **打开命令行工具** - 按 `Win + S` 搜索 `PowerShell` 或 `CMD`,以管理员权限打开。 2. **执行密钥生成命令** 根据需求选择算法(推荐优先使用Ed25519[^1]): ```bash # Ed25519(推荐,更高效安全) ssh-keygen -t ed25519 # RSA-4096(兼容性更广) ssh-keygen -t rsa -b 4096 # ECDSA-521 ssh-keygen -t ecdsa -b 521 ``` 3. **设置保存路径** - 默认路径为 `C:\Users\<用户名>\.ssh\`,直接按回车使用默认路径。 - 若需自定义路径,输入完整路径如 `D:\my_key`(生成文件为 `D:\my_key` 和 `D:\my_key.pub`)。 4. **设置密钥密码(可选)** - 可为密钥添加密码提升安全性,直接回车留空则不设置。 5. **生成完成** - 私钥保存在 `id_算法名`(如 `id_ed25519`),公钥在相同路径下以 `.pub` 结尾。 ### 验证与使用 - **查看生成的密钥**: ```bash cat ~/.ssh/id_ed25519.pub ``` - **将公钥添加到服务器/Git平台**: 复制 `.pub` 文件内容到目标平台的SSH密钥配置页面(如GitHub的 `Settings → SSH and GPG keys`)。 ### 注意事项 1. **算法选择建议** - Ed25519:性能优,安全性高,推荐优先使用[^1]。 - RSA-4096:兼容性强,适合旧系统。 2. **密钥权限** - 确保 `.ssh` 目录权限为 `700`,私钥文件权限为 `600`(可通过 `icacls` 命令设置)。 3. **避免覆盖现有密钥** - 若已存在同名文件,ssh-keygen会提示是否覆盖,需谨慎操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值