詳解linux SSH登錄流程

本文給大家詳細(xì)介紹了ssh 密鑰登錄遠(yuǎn)程服務(wù)器流程和注意事項(xiàng)，以下是詳細(xì)內(nèi)容：

密鑰登錄比密碼登錄安全，主要是因?yàn)樗褂昧朔菍?duì)稱(chēng)加密，登錄過(guò)程中需要用到密鑰對(duì)。整個(gè)登錄流程如下：

遠(yuǎn)程服務(wù)器持有公鑰，當(dāng)有用戶(hù)進(jìn)行登錄，服務(wù)器就會(huì)隨機(jī)生成一串字符串，然后發(fā)送給正在進(jìn)行登錄的用戶(hù)。
用戶(hù)收到遠(yuǎn)程服務(wù)器發(fā)來(lái)的字符串，使用與遠(yuǎn)程服務(wù)器公鑰配對(duì)的私鑰對(duì)字符串進(jìn)行加密，再發(fā)送給遠(yuǎn)程服務(wù)器。
服務(wù)器使用公鑰對(duì)用戶(hù)發(fā)來(lái)的加密字符串進(jìn)行解密，得到的解密字符串如果與第一步中發(fā)送給客戶(hù)端的隨機(jī)字符串一樣，那么判斷為登錄成功。
整個(gè)登錄的流程就是這么簡(jiǎn)單，但是在實(shí)際使用 ssh 登錄中還會(huì)碰到一些小細(xì)節(jié)，這里演示一遍 ssh 遠(yuǎn)程登錄來(lái)展示下這些細(xì)節(jié)問(wèn)題。

生成密鑰對(duì)

使用 ssh-keygen 就可以直接生成登錄需要的密鑰對(duì)。ssh-keygen 是 Linux 下的命令，不添加任何參數(shù)就可以生成密鑰對(duì)。

➜ ~ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/jaychen/.ssh/id_rsa): #1
Enter passphrase (empty for no passphrase):      #2
Enter same passphrase again:          #3

執(zhí)行 ssh-keygen 會(huì)出現(xiàn)如上的提示，在 #1 處這里提示用戶(hù)輸入生成的私鑰的名稱(chēng)，如果不填，默認(rèn)私鑰保存在 /home/jaychen/.ssh/id_rsa 文件中。這里要注意兩點(diǎn)：

生成的密鑰，會(huì)放在執(zhí)行 ssh-keygen 命令的用戶(hù)的家目錄下的 .ssh 文件夾中。即 $HOME/.ssh/ 目錄下。

生成的公鑰的文件名，通常是私鑰的文件名后面加 .pub 的后綴。

#2 處，提示輸入密碼，注意這里的密碼是用來(lái)保證私鑰的安全的。如果填寫(xiě)了密碼，那么在使用密鑰進(jìn)行登錄的時(shí)候，會(huì)讓你輸入密碼，這樣子保證了如果私鑰丟失了不至于被惡意使用。話是這么說(shuō)，但是平時(shí)使用這里我都是直接略過(guò)。

#3 是重復(fù) #2 輸入的密碼，這里就不廢話了。

生成密鑰之后，就可以在 /home/jaychen/.ssh/ 下看到兩個(gè)文件了(我這里會(huì)放在 /home/jaychen 下是因?yàn)槲沂褂?jaychen 用戶(hù)來(lái)執(zhí)行 ssh-keygen 命令)

➜ .ssh ls
total 16K
drwx------ 2 jaychen jaychen 4.0K 12月 7 17:57 .
drwx------ 9 jaychen jaychen 4.0K 12月 7 18:14 ..
-rw------- 1 jaychen jaychen 1.7K 12月 7 17:57 id_rsa.github
-rw-r--r-- 1 jaychen jaychen 390 12月 7 17:57 id_rsa.github.pub

生成的私鑰還要注意一點(diǎn)：私鑰的權(quán)限應(yīng)該為 rw-------，如果私鑰的權(quán)限過(guò)大，那么私鑰任何人都可以讀寫(xiě)就會(huì)變得不安全。ssh 登錄就會(huì)失敗。

首次 ssh 登錄

登錄遠(yuǎn)程服務(wù)器的命令是

ssh 登錄用戶(hù)@服務(wù)器ip

這里開(kāi)始要注意兩個(gè)用戶(hù)的概念：

本地執(zhí)行這條命令的用戶(hù)，即當(dāng)前登錄用戶(hù)，我這里演示的用戶(hù)名稱(chēng)是 jaychen。

要登錄到遠(yuǎn)程服務(wù)器的用戶(hù)。

在開(kāi)始登錄之前，我們要首先要把生成公鑰上傳到服務(wù)器。

公鑰的內(nèi)容要保存到要登錄的用戶(hù)的家目錄下的 .ssh/authorized_keys 文件中。假設(shè)你之后要使用 root 用戶(hù)登錄遠(yuǎn)程服務(wù)器，那么公鑰的內(nèi)容應(yīng)該是保存在 /root/.ssh/authorized_keys中。注意 authorized_keys 文件是可以保存多個(gè)公鑰信息的，每個(gè)公鑰以換行分開(kāi)。

上傳完畢之后，執(zhí)行

ssh root@遠(yuǎn)程服務(wù)器 ip

這個(gè)時(shí)候，如上面說(shuō)的，遠(yuǎn)程服務(wù)器會(huì)發(fā)送一段隨機(jī)字符串回來(lái)，這個(gè)時(shí)候需要使用私鑰對(duì)字符串進(jìn)行加密。而這個(gè)私鑰會(huì)去執(zhí)行該命令的用戶(hù)的家目錄下的 .ssh 目錄讀取私鑰文件，默認(rèn)私鑰文件為 id_rsa 文件。即 $HOME/.ssh/id_rsa 文件。假設(shè)在生成密鑰的時(shí)候?qū)λ借€進(jìn)行了加密，那么這個(gè)時(shí)候就需要輸入密碼。

上面的流程用戶(hù)登錄的時(shí)候是不會(huì)感知的，ssh 在背后完成了所有的校驗(yàn)操作，如果密鑰匹配的話，那么用戶(hù)就可以直接登錄到遠(yuǎn)程服務(wù)器，但是如果是首次登錄的話，會(huì)出現(xiàn)類(lèi)似下面的提示：

➜ .ssh ssh root@192.168.1.1
The authenticity of host '192.168.1.1 (192.168.1.1)' can't be established.
ECDSA key fingerprint is SHA256:61U/SJ4n/QdR7oKT2gaHNuGxhx98saqMfzJnzA1XFZg.
Are you sure you want to continue connecting (yes/no)?

這句話的意思是，遠(yuǎn)程服務(wù)器的真實(shí)身份無(wú)法校驗(yàn)，只知道公鑰指紋(公鑰的 MD5 值)為 61U/SJ4n/QdR7oKT2gaHNuGxhx98saqMfzJnzA1XFZg，是否真的要建立連接。出現(xiàn)上面的提示是因?yàn)楸苊獯嬖谥虚g人攻擊。

中間人攻擊

中間人攻擊的前提是，你第一次登錄一臺(tái)遠(yuǎn)程服務(wù)器，你除了用戶(hù)名、用戶(hù)名對(duì)應(yīng)的公鑰私鑰以及服務(wù)器 ip 之外，對(duì)遠(yuǎn)程服務(wù)器絲毫不了解的情況下。假設(shè)你 ssh 遠(yuǎn)程登錄 192.168.1.1 的遠(yuǎn)程主機(jī)，在連接過(guò)程中被第三者攔截，第三者假冒自己為 192.168.1.1 的主機(jī)，那么你就會(huì)直接連接到其他人的服務(wù)器上。這就是中間人攻擊。

為了避免中間人攻擊，ssh 在首次登錄的時(shí)候會(huì)返回公鑰指紋，用戶(hù)需要自己手動(dòng)去比對(duì)你要登錄的遠(yuǎn)程服務(wù)器的公鑰的公鑰指紋和 ssh 返回的公鑰指紋是否一樣。

經(jīng)過(guò)比較公鑰指紋，確認(rèn)該服務(wù)器就是你要登錄的服務(wù)器，輸入 yes 之后就可以成功登錄。整個(gè)登錄流程結(jié)束。

known_hosts 文件

第一次登錄之后，在本機(jī)的 $HOME/.ssh/ 目錄下就會(huì)生成一個(gè) known_hosts 的文件，內(nèi)容類(lèi)似下面

➜ .ssh cat known_hosts
192.168.1.1 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBOPKYWolOYTDevvBR6GV0rFcI0z/DHZizN5l/ajApsgx+UcOOh61liuyBRRCIyF+BR56Le0lP0Pn6nzvLjbqMqg=

這個(gè)文件記錄了遠(yuǎn)程主機(jī) ip 和遠(yuǎn)程主機(jī)對(duì)應(yīng)的公鑰指紋，那么在下次登錄的時(shí)候，遠(yuǎn)程主機(jī)發(fā)送過(guò)來(lái)的公鑰指紋，直接和 known_hosts 文件中對(duì)應(yīng) ip 的公鑰指紋比較即可。

config 配置

很多時(shí)候，我們開(kāi)發(fā)可能需要連接多臺(tái)遠(yuǎn)程服務(wù)器，并且需要配置 git 服務(wù)器的私鑰。那么這么多的服務(wù)器不能共用一套私鑰，不同的服務(wù)器應(yīng)該使用不同的私鑰。但是我們從上面的連接流程可以看到，ssh 默認(rèn)是去讀取 $HOME/.ssh/id_rsa 文件作為私鑰登錄的。如果想要不同的服務(wù)器使用不同的私鑰進(jìn)行登錄，那么需要在 .ssh 目錄下編寫(xiě) config 文件來(lái)進(jìn)行配置。

config 的配置很簡(jiǎn)單，只要指明哪個(gè)用戶(hù)登錄哪臺(tái)遠(yuǎn)程服務(wù)器需要使用哪個(gè)私鑰即可。下面給出一個(gè)配置示例。

Host github.com
 User jaychen
 IdentityFile ~/.ssh/id_rsa.github
Host 192.168.1.1
 User ubuntu
 IdentityFile ~/.ssh/id_rsa.xxx

上面 config 文件字段含義如下：

Host 指明了遠(yuǎn)程主機(jī)的 ip，除了使用 ip 地址，也可以直接使用網(wǎng)址。

User 指的是登錄遠(yuǎn)程主機(jī)的用戶(hù)。

IdentityFile 指明使用哪個(gè)私鑰文件。

編寫(xiě)好 config 文件之后，需要把 config 文件的權(quán)限改為 rw-r--r--。如果權(quán)限過(guò)大，ssh 會(huì)禁止登錄。