[系统运维]ssh远程连接实践 一文详解

ssh原理

参考：图解SSH原理 写的很好，推荐阅读。

对上述参考链接中的内容稍作总结如下：

1）加密的方式主要有两种：

对称加密（也称为秘钥加密）：加密解密使用同一套秘钥
非对称加密（也称公钥加密）：有两个密钥：“公钥”和“私钥”。两个密钥的特性：公钥加密后的密文，只能通过对应的私钥进行解密。而通过公钥推理出私钥的可能性微乎其微。

非对称加密会产生中间人攻击问题。

中间人攻击：Client端如何保证接受到的公钥就是目标Server端的？，如果一个攻击者中途拦截Client的登录请求，向其发送自己的公钥，Client端用攻击者的公钥进行数据加密。攻击者接收到加密信息后再用自己的私钥进行解密，不就窃取了Client的登录信息了吗？

2）SSH中是如何解决中间人攻击问题？

1. 基于口令的认证：通常在第一次登录的时候，系统会出现下面提示信息：

The authenticity of host 'ssh-server.example.com (12.18.429.21)' can't be established.
RSA key fingerprint is 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d.
Are you sure you want to continue connecting (yes/no)? 

上面的信息说的是：无法确认主机ssh-server.example.com（12.18.429.21）的真实性，不过知道它的公钥指纹，是否继续连接？

如果输入yes后，会出现下面信息：

Warning: Permanently added 'ssh-server.example.com,12.18.429.21' (RSA) to the list of known hosts. 
Password: (enter password) 

该host已被确认，并被追加到文件known_hosts中，然后就需要输入密码。

2. 基于公钥认证

在上面介绍的登录流程中可以发现，每次登录都需要输入密码，很麻烦。SSH提供了另外一种可以免去输入密码过程的登录方式：公钥登录。流程如下：

ssh实践

ssh-keygen是用于生产密钥的工具

windows生成公钥和私钥

到.ssh文件夹下：

ssh-keygen -t rsa -C 邮箱信息         
ssh-keygen -t rsa -C tt850955111@163.com

一直回车就可以看到id_rsa和id_rsa.pub这两个文件

linux生成公钥和私钥

输入ssh-keygen，一路回车

[root@test ~]# ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:eHuVShcCVcQlTcoPDdDWvymFSOjBKFy/C83krH8pPT8 root@test
The key's randomart image is:
+---[RSA 2048]----+
|    . ..+.+*==o  |
|     o ..= o+=o  |
|      . .o+.* o. |
|       .*..o * ..|
|      ..S*. + o o|
|       .oo.+ . o |
|       ...+ . .  |
|        .o = E   |
|         .o o..  |
+----[SHA256]-----+
[root@test ~]#

生成.ssh文件夹，

[root@test .ssh]# ll
总用量 8
-rw-------. 1 root root 1679 5月   5 15:24 id_rsa
-rw-r--r--. 1 root root  391 5月   5 15:24 id_rsa.pub
[root@test .ssh]#

文件说明

id_rsa：保存私钥
id_rsa.pub：保存公钥
authorized_keys：保存已授权的客户端公钥
known_hosts：保存已认证的远程主机ID

[root@test .ssh]$ vi authorized_keys
#此处输入客户端id_rsa.pub内容
[root@test .ssh]$ chmod 600 authorized_keys

• known_hosts中存储的内容是什么？
  known_hosts中存储是已认证的远程主机host key，每个SSH Server都有一个secret, unique ID, called a host key。

• host key何时加入known_hosts的？
  当我们第一次通过SSH登录远程主机的时候，Client端会有如下提示：

Host key not found from the list of known hosts.
Are you sure you want to continue connecting (yes/no)?

此时，如果我们选择yes，那么该host key就会被加入到Client的known_hosts中，格式如下：

 domain name+encryption algorithm+host key
example.hostname.com ssh-rsa AAAAB4NzaC1yc2EAAAABIwAAAQEA。。。

• 为什么需要known_hosts？
  最后探讨下为什么需要known_hosts，这个文件主要是通过Client和Server的双向认证，从而避免中间人（man-in-the-middle attack）攻击，每次Client向Server发起连接的时候，不仅仅Server要验证Client的合法性，Client同样也需要验证Server的身份，SSH client就是通过known_hosts中的host key来验证Server的身份的。

四个角色的关系如下图所示：

实践1：服务器之间免密登录

需求：从跳板机中ssh免密到主机中

分析：跳板机是客户端，主机是服务端，需将客户端的公钥填到服务端的authorized_keys中(注意客户端的不同用户公钥是不一样的)

步骤：

主机：
[root@test ~]$ ssh-keygen    
# 一路回车
# 这一步是为了生成公钥私钥，在此处其实不需要这一步，直接mkdir .ssh即可(还未尝试，理论上可行)

[root@test ~]$ cd .ssh
[root@test .ssh]$ vi authorized_keys
#此处输入跳板机某用户的/home/用户名/.ssh/id_rsa.pub内容
[root@test .ssh]$ chmod 600 authorized_keys

跳板机：
ssh hostname@ip
即可成功免密跳转！

实践2：vscode远程开发 免密登录

linux服务器：
[root@test ~]$ mkdir .ssh
[root@test ~]$ cd .ssh
[root@test .ssh]$ vi authorized_keys
#此处输入windows的.../.ssh/id_rsa.pub内容
[root@test .ssh]$ chmod 600 authorized_keys

windows下的vscode：
直接点击新建窗口，即可成功免密跳转！

创作打卡挑战赛

赢取流量/现金/CSDN周边激励大奖