1. 如何建立linux ssh信任的方法與常見問題
在Linux伺服器之間建立信任關系,是很多線上服務系統的基礎性工作,這樣能便於程序在多台伺服器之間自動傳輸數據,或者方便用戶不輸入密碼就可以在不同的主機間完成登錄或者各種操作。
網上關於建立Linux信任關系(ssh trust)的中文文章有一些,但是寫得都不太詳細,這里匯總了方方面面的資料,把多機信任關系建立方法說說清楚(文/陳運文)
一 建立信任關系的基本操作
基本場景是想從一台Server伺服器直接登錄另一台,或者將Server伺服器的數據不需密碼驗證直接拷貝至Client伺服器,以下我們簡稱Server伺服器為S(待發送的數據文件在這台伺服器上),Client服務為C,信任關系的最簡單操作方法如下:
1 在S伺服器上,進入當前用戶根目錄下的隱藏目錄 .ssh,命令如下:
cd ~/.ssh
(註:目錄名前的點好」.」表示該文件夾是一個特殊的隱藏文件夾,ls命令下默認是看不到的,通過 ls –a 命令觀察到)
2 生成S伺服器的私鑰和公鑰:
ssh-keygen -t rsa
(註:rsa是一種加密演算法的名稱,此處也可以使用dsa,關於rsa和dsa演算法的介紹可見本文後半章節)
ssh-keygen生成密鑰用於信任關系生成
-此時會顯示Generating public/private key pair. 並提示生成的公鑰私鑰文件的存放路徑和文件名,默認是放在 /home/username/.ssh/id_rsa 這樣的文件里的,通常不用改,回車就可以
然後Enter passphrase(empty for no passphrase): 通常直接回車,默認不需要口令
Enter same passphrase again: 也直接回車
然後會顯式密鑰fingerprint生成好的提示,並給出一個RSA加密協議的方框圖形。此時在.ssh目錄下ls,就可以看到生成好的私鑰文件id_rsa和公鑰文件id_rsa.pub了
以下是各種補充說明:
注1:如果此時提示 id_rsaalready exists,Overwrite(y/n) 則說明之前已經有人建好了密鑰,此時選擇n 忽略本次操作就行,可以直接用之前生成好的文件;當然選y覆蓋一下也無妨
注2:公鑰用於加密,它是向所有人公開的(pub是公開的單詞public的縮寫);私鑰用於解密,只有密文的接收者持有。
3 在Server伺服器上載入私鑰文件
仍然在.ssh目錄下,執行命令:
ssh-add id_rsa
系統如果提示:Identity added: id_rsa (id_rsa) 就表明載入成功了
下面有幾個異常情況處理:
–如果系統提示:could not open a connection to your authentication agent
則需要執行一下命令:
ssh-agent bash
然後再執行上述的ssh-add id_rsa命令
–如果系統提示id_rsa: No such file or directory
這是系統無法找到私鑰文件id_rsa,需要看看當前路徑是不是不在.ssh目錄,或者私鑰文件改了名字,例如如果建立的時候改成 aa_rsa,則這邊命令中也需要相應改一下
-如果系統提示 command not found,那肯定是你命令敲錯字元了J
-提示Agent admitted failure to sign using the key,私鑰沒有載入成功,重試ssh-add
-注意id_rsa/id_rsa.pub文件不要刪除,存放在.ssh目錄下
4 把公鑰拷貝至Client伺服器上
很簡單,例如 scp id_rsa.pub [email protected]:~
5 ssh登錄到Client伺服器上,然後在Client伺服器上,把公鑰的內容追加到authorized_keys文件末尾(這個文件也在隱藏文件夾.ssh下,沒有的話可以建立,沒有關系)
cat id_rsa.pub >> ~/.ssh/authorized_keys
以下是各種補充說明,遇到問題時可以參考:
注1:這里不推薦用文件覆蓋的方式,有些教程直接scp id_rsa.pub 到Client伺服器的authorized_keys文件,會導致之前建的其他信任關系的數據被破壞,追加到末尾是更穩妥的方式;
注2: cat 完以後,Client伺服器上剛才拷貝過來的id_rsa.pub文件就不需要了,可以刪除或移動到其它地方)
注3:ssh-keygen 命令通過-b參數可以指定生成的密鑰文件的長度,如果不指定則默認為1024,如果ssh-keygen –b 4096(最長4096),則加密程度提高,但是生成和驗證時間會增加。對一般的應用來說,默認長度已經足夠勝任了。如果是rsa加密方式,那麼最短長度為768 byte
注4:authorized_keys文件的許可權問題。如果按上述步驟建立關系後,仍然要驗證密碼,並且沒有其他報錯,那麼需要檢查一下authorized_keys文件的許可權,需要作下修改: chmod g-w authorized_keys
OK,現在試試在Server端拷貝一個文件到Client伺服器,應該無需交互直接就傳過去了。
但是此時從Client傳數據到Server伺服器,仍然是需要密碼驗證的。如果需要兩台伺服器間能直接互傳數據,則反過來按上述步驟操作一下就可以了
二 刪除伺服器間信任關系的方法
如果想取消兩台伺服器之間的信任關系,直接刪除公鑰或私鑰是沒有用的,需要在Client伺服器上,打開 ~/.ssh/ authorized_keys 文件,找到對應的伺服器的公鑰欄位並刪除
每個段落的開頭是ssh-rsa字樣,段尾是Server伺服器的帳號和ip(如下圖紅框),需要細心的找一下後刪除整段
密鑰文件內容和刪除Linux伺服器間信任關系的方法
三 各種可能遇到的情況和處理方法
–提示 port 22: Connection refused
可能的原因:沒有正確安裝最新的openssh-server,安裝方法如下
sudo apt-get install openssh-server
不支持apt安裝的,可以手工下載:
wget ftp.ssh.com/pub/ssh/ssh-3.2.9.1.tar.gz
–關於目錄和文件的許可權設置
.ssh目錄的許可權必須是700,同時本機的私鑰的許可權必須設置成600:
chmod 600 id_rsa
否則ssh伺服器會拒絕登錄
四 關於RSA和DSA加密演算法
在ssh-keygen命令中,-t參數後指定的是加密演算法,可以選擇rsa或者dsa
RSA 取名自演算法的三位提出者Ron Rivest, Adi Shamir, and Leonard Adleman的姓名首字母,作為一種非對稱加密演算法,RSA的安全性基於及其困難的大整數分解(兩個素數的乘積的還原問題)。關於RSA演算法原理的文章很多,感興趣的朋友可以找來讀一讀。
DSA = Digital Signature Algorithm,基於有限域離散對數難題,是Schnorr和ElGamal簽名演算法的變種,一般用於數字簽名和認證,被美國標准局(NIST)採納為數字簽名標准DSS(Digital Signature Standard),based on discrete logarithms computation.
DES = Digital Encryption Standard. Obsolete standard.
RSA演算法好在網路容易實現密鑰管理,便進行數字簽名,演算法復雜,加/解速度慢,採用非對稱加密。在實際用於信任關系建立中,這兩種方法的差異很微小,可以挑選其一使用。
五 關於SSH協議的介紹
SSH全稱Secure SHell,顧名思義就是非常安全的shell的意思,SSH協議是IETF(Internet Engineering Task Force)的Network Working Group所制定的一種協議。SSH的主要目的是用來取代傳統的telnet和R系列命令(rlogin,rsh,rexec等)遠程登陸和遠程執行命令的工具,實現對遠程登陸和遠程執行命令加密。防止由於網路監聽而出現的密碼泄漏,對系統構成威脅。
ssh協議目前有SSH1和SSH2,SSH2協議兼容SSH1。目前實現SSH1和SSH2協議的主要軟體有OpenSSH和SSH Communications Security Corporation公司的SSH Communications 軟體。前者是OpenBSD組織開發的一款免費的SSH軟體,後者是商業軟體,因此在linux、FreeBSD、OpenBSD、NetBSD等免費類UNIX系統種,通暢都使用OpenSSH作為SSH協議的實現軟體。因此,本文重點介紹一下OpenSSH的使用。需要注意的是OpenSSH和SSH Communications的登陸公鑰/私鑰的格式是不同的,如果想用SSH Communications產生的私鑰/公鑰對來登入到使用OpenSSH的linux系統需要對公鑰/私鑰進行格式轉換。
第一次登陸後,ssh就會把登陸的ssh指紋存放在用戶home目錄的.ssh目錄的know_hosts文件中,如果遠程系統重裝過系統,ssh指紋已經改變,你需要把 .ssh 目錄下的know_hosts中的相應指紋刪除,再登陸回答yes,方可登陸。請注意.ssh目錄是開頭是」.」的隱藏目錄,需要ls –a參數才能看到。而且這個目錄的許可權必須是700,並且用戶的home目錄也不能給其他用戶寫許可權,否則ssh伺服器會拒絕登陸。如果發生不能登陸的問題,請察看伺服器上的日誌文件/var/log/secure。通常能很快找到不能登陸的原因。
六 關於ssh_config和sshd_config文件配置的說明
/etc/ssh/ssh_config:
Host *
選項「Host」只對能夠匹配後面字串的計算機有效。「*」表示所有的計算機。
ForwardAgent no
「ForwardAgent」設置連接是否經過驗證代理(如果存在)轉發給遠程計算機。
ForwardX11 no
「ForwardX11」設置X11連接是否被自動重定向到安全的通道和顯示集(DISPLAY set)。
RhostsAuthentication no
「RhostsAuthentication」設置是否使用基於rhosts的安全驗證。
RhostsRSAAuthentication no
「RhostsRSAAuthentication」設置是否使用用RSA演算法的基於rhosts的安全驗證。
RSAAuthentication yes
「RSAAuthentication」設置是否使用RSA演算法進行安全驗證。
PasswordAuthentication yes
「PasswordAuthentication」設置是否使用口令驗證。
FallBackToRsh no
「FallBackToRsh」設置如果用ssh連接出現錯誤是否自動使用rsh。
UseRsh no
「UseRsh」設置是否在這台計算機上使用「rlogin/rsh」。
BatchMode no
「BatchMode」如果設為「yes」,passphrase/password(互動式輸入口令)的提示將被禁止。當不能互動式輸入口令的時候,這個選項對腳本文件和批處理任務十分有用。
CheckHostIP yes
「CheckHostIP」設置ssh是否查看連接到伺服器的主機的IP地址以防止DNS欺騙。建議設置為「yes」。
StrictHostKeyChecking no
「StrictHostKeyChecking」如果設置成「yes」,ssh就不會自動把計算機的密匙加入「$HOME/.ssh/known_hosts」文件,並且一旦計算機的密匙發生了變化,就拒絕連接。
IdentityFile ~/.ssh/identity
「IdentityFile」設置從哪個文件讀取用戶的RSA安全驗證標識。
Port 22
「Port」設置連接到遠程主機的埠。
Cipher blowfish
「Cipher」設置加密用的密碼。
EscapeChar ~
「EscapeChar」設置escape字元。
/etc/ssh/sshd_config:
Port 22
「Port」設置sshd監聽的埠號。
ListenAddress 192.168.1.1
「ListenAddress」設置sshd伺服器綁定的IP地址。
HostKey /etc/ssh/ssh_host_key
「HostKey」設置包含計算機私人密匙的文件。
ServerKeyBits 1024
「ServerKeyBits」定義伺服器密匙的位數。
LoginGraceTime 600
「LoginGraceTime」設置如果用戶不能成功登錄,在切斷連接之前伺服器需要等待的時間(以秒為單位)。
KeyRegenerationInterval 3600
「KeyRegenerationInterval」設置在多少秒之後自動重新生成伺服器的密匙(如果使用密匙)。重新生成密匙是為了防止用盜用的密匙解密被截獲的信息。
PermitRootLogin no
「PermitRootLogin」設置root能不能用ssh登錄。這個選項一定不要設成「yes」。
IgnoreRhosts yes
「IgnoreRhosts」設置驗證的時候是否使用「rhosts」和「shosts」文件。
IgnoreUserKnownHosts yes
「IgnoreUserKnownHosts」設置ssh daemon是否在進行RhostsRSAAuthentication安全驗證的時候忽略用戶的「$HOME/.ssh/known_hosts」
StrictModes yes
「StrictModes」設置ssh在接收登錄請求之前是否檢查用戶家目錄和rhosts文件的許可權和所有權。這通常是必要的,因為新手經常會把自己的目錄和文件設成任何人都有寫許可權。
X11Forwarding no
「X11Forwarding」設置是否允許X11轉發。
PrintMotd yes
「PrintMotd」設置sshd是否在用戶登錄的時候顯示「/etc/motd」中的信息。
SyslogFacility AUTH
「SyslogFacility」設置在記錄來自sshd的消息的時候,是否給出「facility code」。
LogLevel INFO
「LogLevel」設置記錄sshd日誌消息的層次。INFO是一個好的選擇。查看sshd的man幫助頁,已獲取更多的信息。
RhostsAuthentication no
「RhostsAuthentication」設置只用rhosts或「/etc/hosts.equiv」進行安全驗證是否已經足夠了。
RhostsRSAAuthentication no
「RhostsRSA」設置是否允許用rhosts或「/etc/hosts.equiv」加上RSA進行安全驗證。
RSAAuthentication yes
「RSAAuthentication」設置是否允許只有RSA安全驗證。
PasswordAuthentication yes
「PasswordAuthentication」設置是否允許口令驗證。
PermitEmptyPasswords no
「PermitEmptyPasswords」設置是否允許用口令為空的帳號登錄。
AllowUsers admin
「AllowUsers」的後面可以跟著任意的數量的用戶名的匹配串(patterns)或user@host這樣的匹配串,這些字元串用空格隔開。主機名可以是DNS名或IP地址。
2. 手機linux root目錄下沒有.ssh目錄,是什麼原因
可能是你沒有用root賬號ssh登陸過,登陸一次應該就會自動生成了。
具體如下:
1、簡介
Linux操作系統是基於UNIX操作系統發展而來的一種克隆系統,它誕生於1991 年的 [Linux桌面] 10 月5 日(這是第一次正式向外公布的時間)。以後藉助於Internet網路,並通過全世界各地計算機愛好者的共同努力,已成為今天世界上使用最多的一種UNIX 類操作系統,並且使用人數還在迅猛增長。
2、基本信息
Linux[2]操作系統是UNIX操作系統的一種克隆系統,它誕生linux系統於1991 年的10 月5 日(這是第一次正式向外公布的時間)。以後藉助於Internet網路,並通過全世界各地計算機愛好者的共同努力,已成為今天世界上使用最多的一種UNIX 類操作系統,並且使用人數還在迅猛增長。
3、分區規定
設備管理在 Linux 中,每一個硬體設備都映射到一個系統的文件,對於硬碟、光碟機等,IDE 或 SCSI 設備也不例外。Linux 把各種 IDE 設備分配了一個由 hd 前綴組成的文件;而對於各種 SCSI 設備,則分配了一個由 sd 前綴組成的文件。
3. linux 下的"~/.ssh"是什麼意思啊
~代表的是當前用戶的home目錄
如果你的賬號要test,那~代表/home/test
這個.ssh一般代表隱藏文件或者目錄
在這里是ssh的配置目錄,是個隱藏文件夾
4. linux下安裝ssh
(SSH是一個用來替代TELNET、FTP以及R命令的工具包,主要是想解決口令在網上明文傳輸的問題。為了系統安全和用戶自身的權益,推廣SSH是必要的。SSH有兩個版本,我們現在介紹的是版本2。)
安裝SSH
具體步驟如下:
獲得SSH軟體包。 (ftp://ftp.pku.e.cn:/pub/unix/ssh-2.3.0.tar.gz)
成為超級用戶(root).
# gzip –cd ssh-2.3.0.tar.gz |tar xvf –
# cd ssh-2.3.0
# ./configure
注意,如果你希望用tcp_wrappers來控制SSH,那麼在configure時需要加上選項「--with-libwrap=/path/to/libwrap/」, 用來告訴SSH關於libwrap.a 和tcpd.h的位置。
# make
# make install
和SSH有關的程序都放置在/usr/local/bin下,包括ssh,sftp,sshd2, ssh-keygen等。
二、配置
SSH的配置文件在/etc/ssh2下,其中包括sshd2的主機公鑰和私鑰:hostkey和hostkey.pub。這兩個文件通常是在安裝SSH時自動生成的。你可以通過下面的命令重新來生成它們:
# rm /etc/ssh2/hostkey*
# ssh-keygen2 –P /etc/ssh2/hostkey
而ssh2_config 文件一般情形下無需修改。
三、啟動sshd2
每個要使用SSH的系統都必須在後台運行sshd2。用手工啟動:
# /usr/local/bin/sshd2&
可以在「/etc/rc2.d/S99local」中加入該命令,這樣系統每次啟動時會自動啟動sshd2。
四、用tcp_wrappers控制SSH
安裝SSH的站點可以用tcp_wrappers來限制哪些IP地址可以通過ssh來訪問自己。比如,在/etc/hosts.allow中加入
sshd,sshd2: 10.0.0.1
那麼只有10.0.0.1可以通過ssh來訪問該主機。
以上都是系統管理員完成的工作。下面我們說說普通用戶如何使用SSH。
五、基本應用
每個用戶在使用SSH之前,都要完成以下步驟:
在本地主機(比如,local.pku.e.cn)上生成自己的ssh公鑰和私鑰。命令如下:
local# ssh-keygen
Generating 1024-bit dsa key pair
1 oOo.oOo.o
Key generated.
1024-bit dsa, teng@ns, Fri Oct 20 2000 17:27:05
Passphrase :************ /*在此輸入你的口令,以後訪問這台主機時要用。
Again :************ /*
Private key saved to /home1/teng/.ssh2/id_dsa_1024_a
Public key saved to /home1/teng/.ssh2/id_dsa_1024_a.pub
生成的私鑰和公鑰(id_dsa_1024_a和id_dsa_1024_a.pub)存放在你家目錄的~/.ssh2目錄下。和用戶相關的SSH配置文件都在~/.ssh2下。私鑰由用戶保存在本地主機上,而公鑰需傳送到遠地主機的你自己的帳號的~/.ssh2下,如果你要用ssh2訪問本地主機的話。
在~/.ssh2下創建「identification」文件用來說明進行身份認證的私鑰。命令如下:
local:~/.ssh2# echo "IdKey id_dsa_1024_a" > identification
3.同樣地,在遠地主機(比如,remote.pku.e.cn)上完成上面步驟。
4.將本地(local.pku.e.cn)下你自己(這里是「teng」)的公鑰(id_dsa_1024_a.pub)拷貝到遠地主機(remote.pku.e.cn)上你自己家目錄下的.ssh2目錄下,可命名為「local.pub」,一般用ftp上傳即可。
在遠地主機上,你自己家目錄的.ssh2目錄下,創建「authorization」文件,其中指定用來進行身份認證的公鑰文件。命令如下:
remote:~/.ssh2# echo 「Key local.pub」 > authorization
現在你可以從本地用ssh2登錄到遠地系統了。命令如下:
local# ssh remote.pku.e.cn
Passphrase for key "/home1/teng/.ssh2/id_dsa_1024_a" with comment "1024-bit dsa,
teng@ns, Fri Oct 20 2000 17:27:05":***********
這時會要你輸入你的ssh口令(Passphrase)。驗證通過後,即登錄到remote主機上。
5. linux下怎樣設置ssh無密碼登錄
用SSL加密Key實現自動登錄
需要材料:
1 被管理的SSH伺服器一台。
2 管理端電腦一台。
環境:
管理伺服器: ip:192.168.0.1 機器名:server
被管理伺服器:ip:192.168.0.2 機器名:client
生成密鑰對:
生成公鑰密鑰對是在管理伺服器上生成的:
[root@server ~]# ssh-keygen -b 1024 -t rsa
Generating public/private rsa key pair. #提示正在生成rsa密鑰對
Enter file in which to save the key (/home/usrname/.ssh/id_dsa): #詢問公鑰和私鑰存放的位置,回車用默認位置即可
Enter passphrase (empty for no passphrase): #詢問輸入私鑰密語,輸入密語
Enter same passphrase again: #再次提示輸入密語確認
Your identification has been saved in /home/usrname/.ssh/id_dsa. #提示公鑰和私鑰已經存放在/root/.ssh/目錄下
Your public key has been saved in /home/usrname/.ssh/id_dsa.pub.
The key fingerprint is:
x6:68:xx:93:98:8x:87:95:7x:2x:4x:x9:81:xx:56:94 root@server #提示key的指紋
拷貝你的公鑰到被管理的伺服器上
在你的管理伺服器上把你的公鑰拷貝到被管理伺服器上要進行自動登陸的用戶目錄下。
[root@server ~]# scp .ssh/id_dsa.pub [email protected]: #比如你想使用用戶peter登陸,則remote_usrname請以peter代替
改名和進行許可權設置
登陸被管理的伺服器,進入需要遠程登陸的用戶目錄,把公鑰放到用戶目錄的 .ssh 這個目錄下(如果目錄不存在,需要創建~/.ssh目錄,並把目錄許可權設置為700),把公鑰改名為authorized_keys2,並且把它的用戶許可權設成600。
[peter@client ~]$ ls
id_rsa.pub
[peter@client ~]$ mkdir ~/.ssh #如果當前用戶目錄下沒有 .ssh 目錄,請先創建目錄
[peter@client ~]$ chmod 700 ~/.ssh
[peter@client ~]$ mv id_rsa.pub ~/.ssh
[peter@client ~]$ cd ~/.ssh
[peter@client ~]$ cat id_rsa.pub >> authorized_keys2
[peter@client ~]$ rm -f id_rsa.pub
[peter@client ~]$ chmod 600 authorized_keys2
[peter@client ~]$ ls -l
total 4
-rw------- 1 peter peter 225 Oct 10 11:28 authorized_keys2
測試使用密鑰對進行遠程登陸
[root@server ~]# ssh [email protected]
Enter passphrase for key '/root/.ssh/id_rsa': #提示輸入密碼短語,請輸入剛才設置的密碼短語
Last login: Sun Oct 10 11:32:14 2010 from 192.168.0.1
[peter@client ~]$
如果你不能用正確的登錄,應該重新檢查一下你的authorized_keys2的許可權。也可能要檢查.ssh目錄的許可權。
使用 ssh-agent(ssh代理)自動輸入密碼短語
牢記你的「密碼短句」,現在你可以用你的密鑰而不是密碼來登錄你的伺服器了,但是這樣仍然沒有省什麼事,你還是要輸入密鑰的「密碼短語」。有更簡便的方法嗎?答案就是採用SSH代理(ssh-agent),一個用來幫你記住「密碼短語」的程序。 ssh-agent是OpenSSH中默認包括的ssh代理程序。
登陸管理伺服器
[root@server ~]# ssh-agent
SSH_AUTH_SOCK=/tmp/ssh-vEGjCM2147/agent.2147; export SSH_AUTH_SOCK;
SSH_AGENT_PID=2148; export SSH_AGENT_PID;
echo Agent pid 2148;
當你運行ssh-agent,它會列印出來它使用的 ssh 的環境和變數。要使用這些變數,有兩種方法,一種是手動進行聲明環境變數,另一種是運行eval命令自動聲明環境變數。
方法一:手動聲明環境變數
[root@server ~]# SSH_AUTH_SOCK=/tmp/ssh-vEGjCM2147/agent.2147; export SSH_AUTH_SOCK;
[root@server ~]# SSH_AGENT_PID=2148; export SSH_AGENT_PID;
[root@server ~]# printenv | grep SSH #檢查 ssh 環境變數是否已經加入當前會話的環境變數
SSH_AGENT_PID=2148
SSH_AUTH_SOCK=/tmp/ssh-vEGjCM2147/agent.2147
方法二:運行eval命令自動聲明環境變數
[root@server ~]# eval `ssh-agent`
Agent pid 2157
[root@server ~]# printenv | grep SSH #檢查 ssh 環境變數是否已經加入當前會話的環境變數
SSH_AGENT_PID=2148
SSH_AUTH_SOCK=/tmp/ssh-vEGjCM2147/agent.2147
現在 ssh-agent 已經在運行了,但是 ssh-agent 裡面是空白的不會有解密的專用密鑰。我們要告訴它我們有私鑰和這個私鑰在哪兒。這就需要使用 ssh-add 命令把我們的專用密鑰添加到 ssh-agent 的高速緩存中。
[root@server ~]# ssh-add ~/.ssh/id_dsa
Enter passphrase for /home/user/.ssh/id_dsa: #輸入你的密碼短語
Identity added: /home/user/.ssh/id_dsa (/home/user/.ssh/id_dsa)
[root@server ~]# ssh-add -l #查看 ssh代理的緩存內容
1024 72:78:5e:6b:16:fd:f2:8c:81:b1:18:e6:9f:77:6e:be /root/.ssh/id_rsa (RSA)
輸入了密碼短句,現在好了,你可以登錄你的遠程伺服器而不用輸入你的密碼短語了,而且你的私鑰是密碼保護的。