本文主要是介绍Linux的SSH基于公私钥验证的方式登录,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
前言
SSH是Linux下用于建立安全连接的一种技术,通过一对密钥对(包含公钥和私钥),通过签名验签方式校验,完成身份验证过程。详细原理请查看文章后面的参考文档,那位大佬写的很清晰,这篇文章主要是有一些基础,以及个人理解。
基础
- 相关文件介绍
如下图所示用户的Home目录下会有一个名为.ssh的目录,这里存放了指定用户的SSH相关文件,例如用户为root,如下所示。
authorized_keys:本机器的该用户例如root)授权允许连接的客户端机器(即要允许登录连接本机的机器),例如本机器为A,要连接A的机器是B,B需要在A机器的authorized_keys里,否则会要求输入用户名和密码进行授权,才可以直接通过SSH建立连接。主要目的就是防止公钥泄漏了,别人在其他机器使用这个公钥来登录,这时候它不在这个列表里,那么就会直接拒绝,提示需要密码登录验证。
id_rsa:本机器的该用户(例如root)的私钥
id_rsa.pub:本机器的该用户(例如root)的公钥,一般提供给需要SSH连接本机器的客户端机器,客户端机器保存到对方的authorized_keys文件里,下次就用公钥直接SSH连接上了,不需要密码了。
known_hosts:本机器的该用户(例如root)通过SSH连接过的远程主机列表,这里记录的自身连接别人的机器的列表,记录了远程机器的IP和公钥。
- 登录原理
举个场景,A机器需要通过SSH免密(前提是私钥没有设置密码哈哈哈,讲真不推荐…)登录B机器,那需要怎么做了?
1.A机器产生一对密钥对(ssh-keygen命令),私钥文件:id_rsa,公钥文件:id_rsa.pub
2.A机器将公钥文件(id_rsa.pub)发给它要登录的B机器(可以通过ssh-copy-id命令),B机器会把这个A机器的公钥信息存到一个名字叫authorized_keys的文件里。
3.完成上述步骤,就可以在A机器,通过ssh B机器IP登录了。
原理:A机器登录B机器原理其实就是A用私钥签名,B用公钥验证签名的过程。
- SSH的优点
方便,安全。
例如下列场景,Jenkins构建,需要运行shell脚本操作部署的机器,那么就可以,通过下列的语句实现:
#如果只是执行一条命令,那么可以这样写
ssh ip 命令
#多条的话,则可以这么写
ssh ip
命令1
命令2
exit
服务端SSH的配置
- sshd_config配置
root用户登录,更改ssh配置文件/etc/ssh/sshd_config,下列的配置可以不配置的默认应该是支持的
#启用rsa认证
RSAAuthentication yes
#启用公钥私钥配对认证方式
PubkeyAuthentication yes
- 重启SSH服务
#重启ssh服务
systemctl restart sshd
客户端机器的配置
这个配置其实一般也是不需要的,因为如果你是Linux系统那么你自身就应该是产生了这样的一个密钥对的,完全可以使用这个来建立连接,所以你完全可以只执行第三步,ssh 【serverIp】直接建立连接,不过这个过程首次应该是会需要输入密码验证的方式来完成公钥的上传,后续则不需要了。
- 生成公钥私钥对
ssh-keygen -t rsa
一路默认回车,系统在/root/.ssh下生成id_rsa、id_rsa.pub
- 将id_rsa.pub发送到服务端机器上(让服务器信任该客户端)
ssh-copy-id -i /root/.ssh/id_rsa.pub 【serverIp】
- 登录(验证)
ssh 【serverIp】
实践(jenkins)
Jenkins里的配置有两种方式:
1.密码登录远程主机,将需要部署的包发送到指定目录
2.SSH登录到远程主机,将需要部署的包发送到指定目录
配置的地方:Configure System [Jenkins],如下图所示。
参考
1.ssh命令和SSH服务详解 - 钟桂耀 - 博客园 (cnblogs.com)
2.ssh转发代理:ssh-agent用法详解 - 钟桂耀 - 博客园 (cnblogs.com)
这篇关于Linux的SSH基于公私钥验证的方式登录的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
