設(shè)置Linux服務(wù)器通過(guò)密鑰登錄

首先在服務(wù)器上制作密鑰對(duì)

創(chuàng)新互聯(lián)公司長(zhǎng)期為近1000家客戶提供的網(wǎng)站建設(shè)服務(wù)，團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年，關(guān)注不同地域、不同群體，并針對(duì)不同對(duì)象提供差異化的產(chǎn)品和服務(wù)；打造開(kāi)放共贏平臺(tái)，與合作伙伴共同營(yíng)造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為長(zhǎng)洲企業(yè)提供專業(yè)的網(wǎng)站建設(shè)、成都做網(wǎng)站，長(zhǎng)洲網(wǎng)站改版等技術(shù)服務(wù)。擁有10多年豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開(kāi)發(fā)。

密鑰鎖碼在使用私鑰時(shí)必須輸入，這樣就可以保護(hù)私鑰不被盜用。當(dāng)然，也可以留空，實(shí)現(xiàn)無(wú)密碼登錄。

現(xiàn)在，在 root 用戶的家目錄中生成了一個(gè) .ssh 的隱藏目錄，內(nèi)含兩個(gè)密鑰文件。id_rsa 為私鑰，id_rsa.pub 為公鑰。

鍵入以下命令，在服務(wù)器上安裝公鑰：

如此便完成了公鑰的安裝。為了確保連接成功，請(qǐng)保證以下文件權(quán)限正確：

編輯 /etc/ssh/sshd_config 文件，進(jìn)行如下設(shè)置：

最后，重啟 SSH 服務(wù)：

將打印出的結(jié)果保存成id_rsa文件，供ssh客戶端登陸使用

在linux命令中登陸ssh服務(wù)的命令是?

在linux命令中登陸ssh服務(wù)的命令是ssh ip，例如：ssh 192.186.1.2。

ssh服務(wù)是一個(gè)守護(hù)進(jìn)程(demon)。系統(tǒng)后臺(tái)監(jiān)視客戶端的連接。ssh服務(wù)端的進(jìn)程名為sshd，它負(fù)責(zé)實(shí)時(shí)監(jiān)視客戶端的請(qǐng)求（IP 22端口），包括交換公共密鑰和其他信息。

ssh服務(wù)器由兩部分組成：openssh(提供ssh服務(wù))?、openssl(提供加密的程序)。

ssh客戶端可以用XSHELL，Securert，Mobaxterm和其他工具連接。

擴(kuò)展資料：

服務(wù)器啟動(dòng)的時(shí)候自己產(chǎn)生一個(gè)密鑰(768bit公鑰)，本地的ssh客戶端發(fā)送連接請(qǐng)求到ssh服務(wù)器，服務(wù)器檢查連接點(diǎn)客戶端發(fā)送的數(shù)據(jù)和IP地址；

確認(rèn)合法后發(fā)送密鑰(768bits)給客戶端，此時(shí)客戶端將本地私鑰(256bit)和服務(wù)器的公鑰(768bit)結(jié)合成密鑰對(duì)key(1024bit),發(fā)回給服務(wù)器端，建立連接通過(guò)key-pair數(shù)據(jù)傳輸。?

Linux免密碼SSH登錄（公鑰登錄）

SSH有兩種登錄方式, 一是口令登錄, 即常規(guī)的用戶名密碼登錄; 二是公鑰登錄, 只要在server端配置好client端的公鑰, 就可以實(shí)現(xiàn)免密登錄. 控制端為client端, 遠(yuǎn)程主機(jī)為server端, 下同.

在client端輸入命令然后一路回車

運(yùn)行結(jié)束以后，在client端~/.ssh/目錄下，會(huì)新生成兩個(gè)文件： id_rsa.pub 和 id_rsa 。前者是你的公鑰，后者是你的私鑰。這時(shí)再輸入如下命令，將公鑰傳送到遠(yuǎn)程主機(jī)host上面：

server端將用戶上傳的公鑰，保存在用戶主目錄的 ~/.ssh/authorized_keys 文件中。

原本以上配置就ok了，但是OpenWrt的ssh采用的是dropbear，一種輕量級(jí)的ssh服務(wù)。需要對(duì)其進(jìn)行額外配置：

大功告成 -

SSH參考資料： SSH原理與運(yùn)用（一）：遠(yuǎn)程登錄

linux-openssl命令行

title: linux-openssl

date: 2020-09-16 11:02:15

categories:

{% note info %}

OpenSSL是一個(gè)健壯的、商業(yè)級(jí)的、功能齊全的開(kāi)源工具包，用于傳輸層安全(TLS)協(xié)議，以前稱為安全套接字層(Secure Sockets Layer, SSL)協(xié)議。協(xié)議實(shí)現(xiàn)基于全強(qiáng)度通用密碼庫(kù)，也可以單獨(dú)使用。

openssl是一個(gè)功能豐富且自包含的開(kāi)源安全工具箱。它提供的主要功能有：SSL協(xié)議實(shí)現(xiàn)(包括SSLv2、SSLv3和TLSv1)、大量軟算法(對(duì)稱/非對(duì)稱/摘要)、大數(shù)運(yùn)算、非對(duì)稱算法密鑰生成、ASN.1編解碼庫(kù)、證書(shū)請(qǐng)求(PKCS10)編解碼、數(shù)字證書(shū)編解碼、CRL編解碼、OCSP協(xié)議、數(shù)字證書(shū)驗(yàn)證、PKCS7標(biāo)準(zhǔn)實(shí)現(xiàn)和PKCS12個(gè)人數(shù)字證書(shū)格式實(shí)現(xiàn)等功能。

span style="color:red;"項(xiàng)目地址/span span style="color:red;"官方網(wǎng)址/span span style="color:red;"手冊(cè)/span

{% endnote %}

{% tabs configtab, 1 %}

對(duì)稱算法使用一個(gè)密鑰。給定一個(gè)明文和一個(gè)密鑰，加密產(chǎn)生密文，其長(zhǎng)度和明文大致相同。解密時(shí)，使用讀密鑰與加密密鑰相同。

ECB\CBC\CFB\OFB

摘要算法是一種能產(chǎn)生特殊輸出格式的算法，這種算法的特點(diǎn)是：無(wú)論用戶輸入什么長(zhǎng)度的原始數(shù)據(jù)，經(jīng)過(guò)計(jì)算后輸出的密文都是固定長(zhǎng)度的，這種算法的原理是根據(jù)一定的運(yùn)算規(guī)則對(duì)原數(shù)據(jù)進(jìn)行某種形式的提取，這種提取就是摘要，被摘要的數(shù)據(jù)內(nèi)容與原數(shù)據(jù)有密切聯(lián)系，只要原數(shù)據(jù)稍有改變，輸出的“摘要”便完全不同，因此，基于這種原理的算法便能對(duì)數(shù)據(jù)完整性提供較為健全的保障。但是，由于輸出的密文是提取原數(shù)據(jù)經(jīng)過(guò)處理的定長(zhǎng)值，所以它已經(jīng)不能還原為原數(shù)據(jù)，即消息摘要算法是不可逆的，理論上無(wú)法通過(guò)反向運(yùn)算取得原數(shù)據(jù)內(nèi)容，因此它通常只能被用來(lái)做數(shù)據(jù)完整性驗(yàn)證。

如今常用的“消息摘要”算法經(jīng)歷了多年驗(yàn)證發(fā)展而保留下來(lái)的算法已經(jīng)不多，這其中包括MD2、MD4、MD5、SHA、SHA-1/256/383/512等。

常用的摘要算法主要有MD5和SHA1。MD5的輸出結(jié)果為16字節(jié)，sha1的輸出結(jié)果為20字節(jié)。

在公鑰密碼系統(tǒng)中，加密和解密使用的是不同的密鑰，這兩個(gè)密鑰之間存在著相互依存關(guān)系：即用其中任一個(gè)密鑰加密的信息只能用另一個(gè)密鑰進(jìn)行解密。這使得通信雙方無(wú)需事先交換密鑰就可進(jìn)行保密通信。其中加密密鑰和算法是對(duì)外公開(kāi)的，人人都可以通過(guò)這個(gè)密鑰加密文件然后發(fā)給收信者，這個(gè)加密密鑰又稱為公鑰；而收信者收到加密文件后,它可以使用他的解密密鑰解密，這個(gè)密鑰是由他自己私人掌管的，并不需要分發(fā)，因此又成稱為私鑰，這就解決了密鑰分發(fā)的問(wèn)題。

主要的公鑰算法有：RSA、DSA、DH和ECC。

Openssl中大量用到了回調(diào)函數(shù)。回調(diào)函數(shù)一般定義在數(shù)據(jù)結(jié)構(gòu)中，是一個(gè)函數(shù)指針。通過(guò)回調(diào)函數(shù)，客戶可以自行編寫函數(shù)，讓openssl函數(shù)來(lái)調(diào)用它，即用戶調(diào)用openssl提供的函數(shù)，openssl函數(shù)再回調(diào)用戶提供的函數(shù)。這樣方便了用戶對(duì)openssl函數(shù)操作的控制。在openssl實(shí)現(xiàn)函數(shù)中，它一般會(huì)實(shí)現(xiàn)一個(gè)默認(rèn)的函數(shù)來(lái)進(jìn)行處理，如果用戶不設(shè)置回調(diào)函數(shù)，則采用它默認(rèn)的函數(shù)。

{% endtabs %}

【Linux】SSH 使用密碼/公鑰遠(yuǎn)程登錄總結(jié)

本文是筆者查閱網(wǎng)上資料做的總結(jié)，關(guān)于SSH原理，什么是對(duì)稱加密和非對(duì)稱加密，本文不過(guò)多介紹。這里介紹一下SHH的工作過(guò)程、配制方法，可能出現(xiàn)的問(wèn)題及解決方法。

說(shuō)明：本文中涉及的例子，SSH客戶端為：本地主機(jī)A，SSH服務(wù)器為：服務(wù)器B

SSH協(xié)議采用C-S（客戶端-服務(wù)器端）架構(gòu)進(jìn)行雙方的身份驗(yàn)證以及數(shù)據(jù)的加密。

服務(wù)器端組件監(jiān)聽(tīng)指定的端口，負(fù)責(zé)安全連接的建立、對(duì)連接方的身份認(rèn)證、以及為通過(guò)身份認(rèn)證的用戶建立正確的環(huán)境。

客戶端負(fù)責(zé)發(fā)起最初的TCP握手、安全連接的建立、驗(yàn)證服務(wù)器的身份與之前記錄中的一致、并將自己的驗(yàn)證信息提供給服務(wù)器。

一個(gè)SSH會(huì)話的建立過(guò)程分為兩個(gè)階段。第一階段，雙方溝通并同意建立一個(gè)加密連接通道以供后續(xù)信息傳輸用。第二階段，對(duì)請(qǐng)求接入的用戶進(jìn)行身份驗(yàn)證以確定服務(wù)器端是否要給該用戶開(kāi)放訪問(wèn)權(quán)限。

當(dāng)客戶端發(fā)起TCP連接時(shí)，服務(wù)器端返回信息說(shuō)明自己支持的協(xié)議版本，如果客戶端上支持的協(xié)議與之匹配，則連接繼續(xù)。服務(wù)器會(huì)提供自己的公共主機(jī)密鑰（public host key）以讓客戶端確認(rèn)自己訪問(wèn)的是正確的機(jī)器。

然后，雙方采用一種Diffie-Hellman算法共同為該會(huì)話建立密鑰。每一方的一部分私有數(shù)據(jù)，加上來(lái)自對(duì)方的一部分公共數(shù)據(jù)，通過(guò)這種算法計(jì)算，能夠得出完全相同的密鑰用于本次會(huì)話。

整個(gè)會(huì)話的通訊內(nèi)容都使用該密鑰進(jìn)行加密。這個(gè)階段使用的公鑰/私鑰對(duì)與用戶驗(yàn)證身份用的SSH密鑰是完全無(wú)關(guān)的。

經(jīng)典Diffie-Hellman算法的計(jì)算步驟如下：

這個(gè)共享密鑰的加密方式被稱為二進(jìn)制數(shù)據(jù)包協(xié)議（binary packet protocol）。該過(guò)程能夠讓雙方平等的參與密鑰生成的過(guò)程，而不是由單方掌握。這種共享密鑰生成的過(guò)程是安全的，雙方?jīng)]有交換過(guò)任何未經(jīng)加密的信息。

生成的密鑰是對(duì)稱式密鑰，一方用于加密信息的密鑰等同于另一方用于解密信息的密鑰，而任何第三方由于不持有該密鑰，是無(wú)法解密雙方傳遞的內(nèi)容的。

會(huì)話加密通道建立后，SSH開(kāi)始進(jìn)入用戶認(rèn)證階段。

下一步，服務(wù)器驗(yàn)證用戶身份以決定是否準(zhǔn)許其訪問(wèn)。驗(yàn)證有不同的方式，選擇的驗(yàn)證方式取決于服務(wù)器的支持。

最簡(jiǎn)單的驗(yàn)證是密碼驗(yàn)證：服務(wù)器要求客戶端輸入密碼，客戶端輸入的密碼經(jīng)過(guò)上述的通道加密傳輸給服務(wù)器。

雖然密碼是加密過(guò)的，然而該方法仍然不被推薦，因?yàn)橛脩艚?jīng)常為了省事而使用過(guò)于簡(jiǎn)單的密碼，而這類密碼很容易就能夠被自動(dòng)化腳本破解。

最流行的驗(yàn)證方式是SSH密鑰對(duì)，這也是當(dāng)前最推薦的方式。SSH密鑰對(duì)是非對(duì)稱密鑰，私鑰和公鑰分別用于不同的功能。

公鑰用于加密，而私鑰用于解密。公鑰可以隨意上傳、共享，因?yàn)楣€的流通并不會(huì)危及到私鑰的保密性。

SSH密鑰對(duì)的驗(yàn)證過(guò)程起始于上一部分加密通道建立之后，其具體執(zhí)行步驟如下：

簡(jiǎn)單來(lái)說(shuō)，服務(wù)器端用公鑰加密信息，客戶端用私鑰解密信息以證明自己持有私鑰。該過(guò)程同時(shí)使用了對(duì)稱加密和非對(duì)稱加密，兩種方式各有自己的功用。

命令如下：

用戶名：為要登錄的服務(wù)器B中已存在的用戶賬戶名

IP地址：為服務(wù)器B的IP地址

-p 端口號(hào)：用來(lái)指定端口號(hào)，默認(rèn)為22

第一次登錄時(shí)，會(huì)提示如下提示：

大概意思是說(shuō)，你正在訪問(wèn)的主機(jī)不能驗(yàn)證它的真實(shí)性，它的RSA key（當(dāng)前訪問(wèn)主機(jī)的公鑰）指紋是怎樣的，你確定要繼續(xù)連接嗎？

輸入yes繼續(xù)，會(huì)提示，已永久把當(dāng)前訪問(wèn)主機(jī)的RSA key添加到了已知主機(jī)文件（用戶目錄下，.ssh 文件夾中的knwon_hosts文件）中。之后再次 SSH 登錄就不再有該提示了。

接著，輸入登錄賬戶的密碼即可。

SSH 密碼登錄，需要服務(wù)器開(kāi)啟密碼驗(yàn)證權(quán)限，編輯服務(wù)器SSH配置命令如下：

在 sshd_config 文件中，Protocol 2 下面 #PasswordAuthentication yes，將前面的#號(hào)去掉，保存退出。

公鑰登錄，即免密碼登錄。避免的每次登錄都要輸入的麻煩，也防止了中間人攻擊。是SSH遠(yuǎn)程登錄最常用的登錄方式。

提示輸入密鑰對(duì)名稱，直接回車，使用默認(rèn)名稱即可；

提示輸入密碼（使用私鑰時(shí)，要輸入密碼），直接回車，不使用密碼即可。

首先，登錄服務(wù)器B，在進(jìn)行下面的操作。

找到 #PubkeyAuthentication yes，刪除 #號(hào)，保存退出。

重啟 ssh 服務(wù)

也可指定驗(yàn)證私鑰：

本地主機(jī)A，生成密鑰對(duì)后：

sudo vim /etc/selinux/config

新聞標(biāo)題：Linux公鑰命令 linux公鑰免密登錄
鏈接URL：http://jinyejixie.com/article2/hpceoc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站營(yíng)銷、營(yíng)銷型網(wǎng)站建設(shè)、面包屑導(dǎo)航、虛擬主機(jī)、外貿(mào)網(wǎng)站建設(shè)、微信小程序

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)