SSH 登录流程分析

SSH 登录流程分析,第1张

登录流程

密钥登录比密码登录安全,主要是因为他使用了非对称加密,登录过程中需要用到 密钥对 。整个登录流程如下:

远程服务器持有公钥,当有用户进行登录,服务器就会随机生成一串字符串,然后发送给正在进行登录的用户。

用户收到远程服务器发来的字符串,使用与 远程服务器公钥配对的私钥 对字符串进行加密,再发送给远程服务器。

服务器使用公钥对用户发来的加密字符串进行解密,得到的解密字符串如果与第一步中发送给客户端的随机字符串一样,那么判断为登录成功。

整个登录的流程就是这么简单,但是在实际使用 ssh 登录中还会碰到一些小细节,这里演示一遍 ssh 远程登录来展示下这些细节问题。

生成密钥对

使用ssh-keygen就可以直接生成登录需要的密钥对。ssh-keygen是 Linux 下的命令,不添加任何参数就可以生成密钥对。

➜  ~ ssh-keygenGenerating public/private rsa key pairEnter fileinwhichto save the key (/home/jaychen/ssh/id_rsa):#1Enter passphrase (emptyforno passphrase):#2Enter same passphrase again:#3

执行ssh-keygen会出现如上的提示,在#1处这里提示用户输入生成的私钥的名称,如果不填,默认私钥保存在/home/jaychen/ssh/id_rsa文件中。这里要注意两点:

生成的密钥,会放在 执行ssh-keygen命令的用户的家目录 下的ssh文件夹中。即$HOME/ssh/目录下。

生成的公钥的文件名,通常是私钥的文件名后面加pub的后缀。

#2处,提示输入密码,注意这里的密码是用来保证私钥的安全的。如果填写了密码,那么在使用密钥进行登录的时候,会让你输入密码,这样子保证了如果私钥丢失了不至于被恶意使用。 话是这么说,但是平时使用这里我都是直接略过。

#3是重复#2输入的密码,这里就不废话了。

生成密钥之后,就可以在/home/jaychen/ssh/下看到两个文件了(我这里会放在/home/jaychen下是因为我使用 jaychen 用户来执行ssh-keygen命令)

➜  ssh ls

total 16K

drwx------ 2 jaychen jaychen 40K 12月  7 17:57

drwx------ 9 jaychen jaychen 40K 12月  7 18:14

-rw------- 1 jaychen jaychen 17K 12月  7 17:57 id_rsagithub

-rw-r--r-- 1 jaychen jaychen 390 12月  7 17:57 id_rsagithubpub

生成的私钥还要注意一点: 私钥的权限应该为rw-------,如果私钥的权限过大,那么私钥任何人都可以读写就会变得不安全。ssh 登录就会失败。

首次 ssh 登录

登录远程服务器的命令是

ssh 登录用户@服务器ip

这里开始要注意两个用户的概念:

本地执行这条命令的用户,即当前登录用户,我这里演示的用户名称是 jaychen。

要登录到远程服务器的用户。

在开始登录之前,我们要首先要把生成 公钥 上传到服务器。

公钥的内容要保存到 要登录的用户的家目录下的ssh/authorized_keys 文件中。假设你之后要使用 root 用户登录远程服务器,那么公钥的内容应该是保存在/root/ssh/authorized_keys中。注意authorized_keys文件是可以保存多个公钥信息的,每个公钥以换行分开。

上传完毕之后,执行

ssh root@远程服务器ip

这个时候,如上面说的,远程服务器会发送一段随机字符串回来,这个时候需要使用私钥对字符串进行加密。而这个私钥会去 执行该命令的用户的家目录下的ssh目录 读取私钥文件,默认私钥文件为id_rsa文件。即$HOME/ssh/id_rsa文件。假设在生成密钥的时候对私钥进行了加密,那么这个时候就需要输入密码。

上面的流程用户登录的时候是不会感知的,ssh 在背后完成了所有的校验 *** 作,如果密钥匹配的话,那么用户就可以直接登录到远程服务器,但是如果是 首次登录 的话,会出现类似下面的提示:

➜  ssh ssh root@19216811The authenticityofhost'19216811 (19216811)' can't be establishedECDSAkeyfingerprintisSHA256:61U/SJ4n/QdR7oKT2gaHNuGxhx98saqMfzJnzA1XFZgAre you sure you wanttocontinueconnecting (yes/no)

这句话的意思是,远程服务器的真实身份无法校验,只知道公钥指纹(公钥的 MD5 值)为61U/SJ4n/QdR7oKT2gaHNuGxhx98saqMfzJnzA1XFZg,是否真的要建立连接。出现上面的提示是因为避免存在 中间人攻击 。

中间人攻击

中间人攻击的前提是,你第一次登录一台远程服务器,你除了用户名、用户名对应的公钥私钥以及服务器 ip 之外,对远程服务器丝毫不了解的情况下。假设你 ssh 远程登录 19216811 的远程主机,在连接过程中被第三者拦截,第三者假冒自己为 19216811 的主机,那么你就会直接连接到其他人的服务器上。这就是中间人攻击。

为了避免中间人攻击,ssh 在首次登录的时候会返回公钥指纹,用户需要自己手动去 比对你要登录的远程服务器的公钥的公钥指纹和 ssh 返回的公钥指纹是否一样 。

经过比较公钥指纹,确认该服务器就是你要登录的服务器,输入yes之后就可以成功登录。整个登录流程结束。

known_hosts 文件

第一次登录之后,在本机的$HOME/ssh/目录下就会生成一个known_hosts的文件,内容类似下面

➜  ssh cat known_hosts19216811ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBOPKYWolOYTDevvBR6GV0rFcI0z/DHZizN5l/ajApsgx+UcOOh51liuyBRRCIyF+BR56Le0lP0Pn6nzvLjbqMqg=

这个文件记录了远程主机 ip 和远程主机对应的公钥指纹,那么在下次登录的时候,远程主机发送过来的公钥指纹,直接和known_hosts文件中对应 ip 的公钥指纹比较即可。

config 配置

很多时候,我们开发可能需要连接多台远程服务器,并且需要配置 git 服务器的私钥。那么这么多的服务器不能共用一套私钥,不同的服务器应该使用不同的私钥。但是我们从上面的连接流程可以看到,ssh 默认是去读取$HOME/ssh/id_rsa文件作为私钥登录的。如果想要不同的服务器使用不同的私钥进行登录,那么需要在ssh目录下编写config文件来进行配置。

config的配置很简单,只要指明哪个用户登录哪台远程服务器需要使用哪个私钥即可。下面给出一个配置示例。

Host githubcom

           User jaychen

            IdentityFile ~/ssh/id_rsagithub

Host 19216811

             User ubuntu

IdentityFile ~/ssh/id_rsaxxx

上面config文件字段含义如下:

Host 指明了远程主机的 ip,除了使用 ip 地址,也可以直接使用网址。

User 指的是登录远程主机的用户。

IdentityFile 指明使用哪个私钥文件。

登录步骤如下:

步骤一、启动华为云服务

第一种方式,从设置进入:点击“设置” 进入设置菜单

点击“全部设置”,查找到“账户”中“华为云服务

第二种方式,从桌面进入,在“实用工具”文件夹中

进入“华为云服务”,点击“开启华为云服务”

第三种方式,手机服务入口登录

1、点击手机服务应用

2、打开后可以看到“立即登录”,点击即可

3、或者在“服务”标签页的底部,点击“个人中心”按钮,也可以登录

步骤二、注册账号并开启华为云服务

1、如您已有华为账号,请点击“使用已有账号登录”

2、如您尚未注册华为账号:

(1)登录华为商城>

(2) 或者手机上继续点击“注册”按钮。

3、注册完成登陆后,如果您看到如下界面,说明您已登陆成功!

华为云服务器直接登陆的 *** 作方法:
1、从华为企业云网站的管理控制台进入获取默认的云服务器账号和密码(华为企业云也会主动发送给你账户密码),完成用户名与密码获取后,再登录云服务器。
2、Windows系列的,使用,PC本地电脑的,左下角的“开始”菜单按钮中,找到“运行”-> mstsc进入主机控制面板
Linux系列的,一般使用远程putty,secureCRT,xmanager等工具,使用SSH,serial,telnet等协议建立连接后可以打开字符窗口或者图像 *** 作界面。可以远程登陆Linux的终端。如果怕麻烦,可以使用wdcp控制面板,直接在网页界面就可以管理>你好,
用SSH 登录 root 用户登录
也可以找个Xwindows 这个软件来远程连接 就像win 一样使用桌面功能,这个软件先要在服务器端用ssh登录然后安装相关软件。才能使用Xwindows


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zz/10653244.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-05-10
下一篇 2023-05-10

发表评论

登录后才能评论

评论列表(0条)

保存