什么是公钥认证?
当我们在使用ssh远程登录服务器时,主要分为两个认证过程:
- 主机验证过程
- 身份验证过程
其中身份验证过程按验证的先后顺序有以下五种方法:
- gssapi-with-mic:
- hostbased:
-此认证方式不安全且大大增加认证时间,建议到配置文件/etc/ssh/sshd.config中进行更改。 - publickey:
-此认证方式即为公钥认证。我们推荐使用这种方法进行认证。 - keyboard-interactive
- password:
-密码认证。初始状态时是以这种方式登录的,但不推荐使用这种方法。与其他认证方法相比,自动脚本可以轻松破解正常长度的密码。
为什么推荐使用公钥认证?
-
使用这种方式更加的安全。
-由于这种认证方式的实验需要得到对方的公钥,且在连接前会使用少量的数据包用到了最为安全的非对称算法进行验证。使得验证过程极为安全准确。 -
更加快速且避免交互
-公钥认证过程中并不需要密码的输入,避免了交互,便于我们写脚本文件。
公钥认证的原理
为了简化过程,将客户端称为A,服务端称为B。
- A生成其公私钥并向B发送用于认证的公钥
- B将A的公钥保存起来。
- 当A请求远程登录B时,B会使用A的公钥对一小段数据(称为M)进行加密得到随机数N,将N发给A。
- A使用自己的私钥对N进行解密,得到了数据M1,对M使用MD5算法(这是一个单向算法)得到数据X。
- A将数据X发给B,B对数据M使用MD5算法得到X1,比较X和X1是否相同,若一致,则认证成功。
公钥认证实例
#客户端生成自己的公钥、私钥
[root@YU ~]# ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:kciLLMqXljVrPjwn1/OqnXvRfMedUYcj9YCxay7xqoo [email protected]
The key's randomart image is:
+---[RSA 2048]----+
| .+o. |
| . . . o.ooo|
| o o .. .+|
| . . . . . . |
| . oo. S . = .+|
|.. .+ o * o o+|
|.. =.o . . + . .|
| o o* o.o.+ |
| E.Boo*B. |
+----[SHA256]-----+
#保存在~/.ssh/id.rsa(公钥)、~/.ssh/id.rsa.pub(私钥)文件中
[root@YU ~]# ls ~/.ssh/
id_rsa id_rsa.pub
#将A的公钥发给服务端B
[root@YU ~]# ssh-copy-id [email protected]
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
The authenticity of host '192.168.14.12 (192.168.14.12)' can't be established.
RSA key fingerprint is SHA256:okRGiB6jjxrLTZ5znHPX8E0s302ZSuGtGBk/ljz40+k.
RSA key fingerprint is MD5:37:6a:ce:a8:a1:4c:96:da:ab:44:ed:b0:0c:64:85:37.
Are you sure you want to continue connecting (yes/no)? yes
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
[email protected]'s password: #在未建立公钥认证之前,要将公钥发给B,需要输入B的密码。
#只需上述两步,即可完成公钥认证,下面试试效果
[root@YU ~]# ssh [email protected]
Last login: Mon Jan 13 15:24:54 2020 from 192.168.14.1
[root@localhost ~]# vim /etc/ssh/sshd_config
[root@localhost ~]# ip add
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:0c:29:9b:a7:d5 brd ff:ff:ff:ff:ff:ff
inet 192.168.14.12/24 brd 192.168.14.255 scope global eth0
inet6 fe80::20c:29ff:fe9b:a7d5/64 scope link
valid_lft forever preferred_lft forever