關於AS5SSH支援key認證的完全解決方案

      SSH 為 Secure Shell 的縮寫, 專為遠端登入會話和其他網路服務提供安全性的協議。利用 SSH 協議可以有效防止遠端管理過程中的資訊洩露問題。透過 SSH 可以對所有傳輸的資料進行加密，也能夠防止 DNS欺騙和IP欺騙.還有一個優點就是為其傳輸的資料是經過壓縮的，所以可以加快傳輸的速度.

  在客戶端來看，SSH提供兩種級別的安全驗證。

第一種方案，主機將自己的公用金鑰分發給相關的客戶端，客戶端在訪問主機時則使用該主機的公開金鑰來加密資料，主機則使用自己的私有金鑰來解密資料，從而實現主機金鑰認證，確定客戶端的可靠身份。

 

第二種方案，存在一個金鑰認證中心，所有提供服務的主機都將自己的公開金鑰提交給認證中心，而任何作為客戶端的主機則只要儲存一份認證中心的公開金鑰就可以了。在這種模式下，客戶端必須訪問認證中心然後才能訪問伺服器主機。

 

 

實驗環境：

 

 

 

#PermitEmptyPasswords no      修改為         PermitEmptyPasswords no

PasswordAuthentication yes   =========    PasswordAuthentication no

 

 [root@viong .ssh]# service sshd restart

需要重啟ssh才能使配置生效

Stopping sshd:                                            [ OK ]

Starting sshd:                                             [ OK ]

[root@viong ~]# ssh localhost

The authenticity of host `localhost (127.0.0.1)` can`t be established.

RSA key fingerprint is 05:de:f8:d8:7b:db:36:0a:1e:01:cc:06:64:0e:7e:0a.

Are you sure you want to continue connecting (yes/no)? yes

Warning: Permanently added `localhost` (RSA) to the list of known hosts.

root@localhost`s password: 輸入系統密碼

Last login: Tue Feb 23 00:32:06 2010 from 192.168.15.253

[root@viong ~]# cd ~/.ssh

利用RZ小工具上傳剛剛客戶端生成的Identity.pub到~/.ssh目錄下

關於RZ 與SZ的安裝請看http://viong.blog.51cto.com/844766/260081

 

[root@viong .ssh]#rz 

 

上傳Identity.pub 

 

[root@viong .ssh]# cat Identity.pub >>authorized_keys

 

把公鑰的內容輸出到authorized_keys

 

[root@viong .ssh]# rm -rf Identity.pub

 

 

[root@viong .ssh]# chmod 400 authorized_keys

 

設定authorized_keys的許可權為400

 

[root@viong .ssh]# ll

total 12

-r——– 1 root root 608 Feb 23 02:38 authorized_keys

-rw-r–r– 1 root root 391 Feb 23 02:34 known_hosts

 

重新連線伺服器，提示金鑰輸入密碼，說明設定成功了.

 

======================================================================

Clinet：

/root/.ssh  如沒這個目錄，可以手動新增

Enter file in which to save the key (/root/.ssh/id_rsa): 直接回車

Enter passphrase (empty for no passphrase): 直接回車

Enter same passphrase again: 直接回車

Your public key has been saved in id_rsa .pub.

-rw——- 1 root root 1675 Feb 23 22:21 id_rsa

-rw-r–r– 1 root root 393 Feb 23 22:21  id_rsa .pub

 [root@client .ssh]# ssh-copy-id -i /root/.ssh/id_rsa .pub  root@192.168.15.64

釋出公匙到伺服器端，會在伺服器端自動生成.ssh/authorized_keys這個檔案

root@192.168.15.64`s password: 輸入192.168.15.64的root密碼

提示：ssh-copy-id 這個工具是針對22號埠，如果對方ssh埠是2520，那麼就要修改為：

ssh-copy-id -i /root/.ssh/ id_rsa .pub  “-p 2520 192.168.15.64”

 

Server：

 

檢視是否有authorized_keys生成

-rw-—— 1 root root 393 Feb 23 22:28 authorized_keys

[root@server .ssh]# cat authorized_keys確認是否釋出成功

 

注意:Enter file in which to save the key (/root/.ssh/id_rsa): 直接回車—這個地方不能輸入名稱,不然無密碼登陸會報以下錯誤:

Permission denied (publickey,gssapi-with-mic

 

可以等生成後再做修改

===================================================================

 

[root@server ~]#     連線成功

 

提示：由於生成金鑰的口令的密碼為空，可以利用scp遠端加密備份，scp是有Security的檔案copy，基於ssh登入。操作起來比較方便，比如要把當前一個檔案copy到遠端另外一臺主機上，可以如下命令。

-rw-r–r– 1 root root 601 Feb 24 00:25 id_dsa.pub   說明拷貝成功

    如果想反過來操作，把檔案從遠端主機copy到當前系統，也很簡單。

[root@server home]# scp id_dsa.pub root@192.168.15.50:/home/

The authenticity of host `192.168.15.50 (192.168.15.50)` can`t be established.

RSA key fingerprint is 05:de:f8:d8:7b:db:36:0a:1e:01:cc:06:64:0e:7e:0a.

Are you sure you want to continue connecting (yes/no)? yes

Warning: Permanently added `192.168.15.50` (RSA) to the list of known hosts.

Address 192.168.15.50 maps to ysgame2-pc, but this does not map back to the address – POSSIBLE BREAK-IN ATTEMPT!

root@192.168.15.50`s password: 輸入client密碼

id_dsa.pub                   100% 601     0.6KB/s   00:00 

 

[root@clinet .ssh]# ll /home/

total 4

-rw-r–r– 1 root root 601 Feb 24 00:29 id_dsa.pub    說明拷貝成功

 

 

#PermitEmptyPasswords no      修改為         PermitEmptyPasswords no

PasswordAuthentication yes   =========    PasswordAuthentication no

 

 [root@viong .ssh]# service sshd restart

需要重啟ssh才能使配置生效

Stopping sshd:                                            [ OK ]

Starting sshd:                                             [ OK ]

 

[root@viong ~]# ssh localhost

第一次通過ssh命令登入伺服器時，要輸入“yes”，再輸入本地伺服器的密碼，登入資訊記入到使用者主目錄下.ssh的known_host檔案中。

The authenticity of host `localhost (127.0.0.1)` can`t be established.

RSA key fingerprint is 05:de:f8:d8:7b:db:36:0a:1e:01:cc:06:64:0e:7e:0a.

Are you sure you want to continue connecting (yes/no)? yes

Warning: Permanently added `localhost` (RSA) to the list of known hosts.

root@localhost`s password:    輸入系統密碼

Last login: Tue Feb 23 00:32:06 2010 from 192.168.1.253

[root@viong ~]#cat known_hosts

localhost ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAy1OKMCYaKdT544qv0hRBBC6rFZviEJ6ECwnBV/mNkwahgkPp5TTHyHDUeBPtYmmKVdcxgjItUtTBHFPQjN2aKwNmPfikqf0WoaN7yf2F6IVAyAIaIi5jXwkJzadW61izmCEkdi/33r4oj5uoNfTjMBfghZZzrMwGZHEaEg2nWbbhMJrzuMU6v31WhjPm6MlZ+xBoR7T2iqiDyUczzSJZ2KG2rPMTG6Zdxm+WLrioOoeIn25wY+4gsrpPUGHxQsxVNIpUP6UtGZA/Y9uksgN5OSIkSxRwGPDTCp65mYQ7pDo9Pvbxg1yQFs54+zA2XcsKz55mbn0MMucPrOxbfGtIEQ==

 

以上連線是基於口令認證，相對telnet還是很安全.但還是會受到“中間人”攻擊

 

[root@viong ~]# cd ~/.ssh

[root@viong ~]# ssh-keygen -t dsa 生成公鑰與私鑰

Generating public/private dsa key pair.

Enter file in which to save the key (/root/.ssh/id_dsa): viong 金鑰檔名

Enter passphrase (empty for no passphrase): 輸入口令

Enter same passphrase again: 再次輸入口令

Your identification has been saved in viong.

Your public key has been saved in viong.pub.

The key fingerprint is:

cf:fd:14:c1:7c:eb:de:e4:5e:bb:91:6a:70:57:1c:8e root@viong

 

[root@viong .ssh]# ll

total 12

-rw-r–r– 1 root root 391 Feb 23 02:34 known_hosts

-rw——- 1 root root 736 Feb 23 03:08 viong

-rw-r–r– 1 root root 600 Feb 23 03:08 viong.pub

 

[root@viong .ssh]# cat viong.pub >>authorized_keys

把公鑰的內容輸出到authorized_keys

[root@viong .ssh]# chmod 400 authorized_keys

設定authorized_keys的許可權為400

把viong 私鑰和viong.pub公鑰用sz小工具下載到本地同一個目錄

[root@viong .ssh]#sz viong

[root@viong .ssh]#sz viong.pub

[root@viong .ssh]# rm -rf viong.pub

[root@viong .ssh]# rm -rf viong

 

用SecureCRT測試連線,如下圖，說明連線成功。

 

 

備註：關於 /etc/ssh/sshd.conf詳解，轉載了鳥哥的文章給大家參考。