Chinaunix首页 | 论坛 | 博客
  • 博客访问: 2261426
  • 博文数量: 168
  • 博客积分: 6641
  • 博客等级: 准将
  • 技术积分: 1996
  • 用 户 组: 普通用户
  • 注册时间: 2007-06-02 11:49
文章存档

2020年(4)

2019年(6)

2017年(1)

2016年(3)

2015年(3)

2014年(8)

2013年(2)

2012年(12)

2011年(19)

2010年(10)

2009年(3)

2008年(17)

2007年(80)

分类: LINUX

2007-06-07 10:44:39

SSH基于口令及密钥方式的远程登陆简单实现
 
2007-06-07 kenthy#qingdaonews.com
 
############################################
系统环境:Redhat Linux 9.0 [ 2.4.20.8 ]
软件版本:
 openssh-3.5p1-6
 openssh-server-3.5p1-6
 openssh-askpass-3.5p1-6
 openssh-clients-3.5p1-6
 openssh-askpass-gnome-3.5p1-6
目标功能:
 Server A:
  192.168.1.1/24
  用户: tom  jerry
 Station B:
  192.168.1.20/24
  用户: mikky
 实现:
  1、仅允许tom jerry用户ssh登陆到Server A,分别使用tom jerry用户的密码进行验证
  2、允许mikky在Station B机上ssh登陆到Server A,使用jerry用户名和mikky的私钥短语进行验证,不需要jerry的密码
##############################################################
一、安装
  为方便使用,两台机器上ssh服务端/客户端软件包都安装。各软件均使用RH9光盘中自带的rpm包,[步骤略]
 
二、基于口令认证的配置
  Server A : [默认启动的SSHD服务进程已经启用口令认证,可以使用服务器上的用户名和密码登陆]
    1、# vi /etc/ssh/sshd_config //仅解释部分选项
  Port 22    //服务监听的端口
  Protocol 2,1   //服务支持使用SSH 1.x和2.x协议
  ListenAddress 192.168.1.1 //服务监听的IP地址
  LoginGraceTime 120  //120秒内未成功登陆服务器将断开链接
  MaxStartups 10   //未成功登陆的最大并发连接数
  PermitRootLogin no  //禁止root用户登陆
  AllowUsers tom jerry  //仅允许jerry用户远程登陆
  PubkeyAuthentication yes //允许使用基于密钥认证的方式登陆
  AuthorizedKeysFile .ssh/authorized_keys  //服务器存放各客户端公钥的文件位置
  PasswordAuthentication yes //允许使用基于口令认证的方式登陆
  PermitEmptyPasswords no  //禁止空密码的用户登陆系统
  X11Forwarding yes  //允许对X11程序进行转发
    2、添加测试用户
 Server A:
         # useradd tom ; passwd tom
         # useradd jerry ; passwd jerry
 Server B:
  # useradd mikky ; passwd mikky
  
    3、# chkconfig --level 2345 sshd on
       # /etc/init.d/sshd start
  Station B : [分别测试tom、jerry、root及其它用户是否能正常登陆,如按前例配置正常应该只有tom、jerry可以登陆]
    4、# ssh   //首次ssh登陆后会自动创建~/.ssh/known_hosts文件保存服务器的公钥
 
三、基于密钥认证的配置
  Server A :
    0、# vi /etc/ssh/sshd_config  //参考第二步,根据需要修改设置,也可跳过此步
  PasswordAuthentication no //禁止使用基于口令认证的方式登陆
  PubkeyAuthentication yes //允许使用基于密钥认证的方式登陆
       # /etc/init.d/sshd reload
  基本步骤 :
    1、客户端创建密钥对
 在Station B系统中使用mikky用户登陆,以mikky用户身份创建密钥对
 # su - mikky
 $ ssh-keygen -t rsa
 Generating public/private rsa key pair.
 Enter file in which to save the key (/home/mikky/.ssh/id_rsa):
 Created directory '/home/mikky/.ssh'.
 Enter passphrase (empty for no passphrase):    //此处设置用于保护私钥的密码,及“密码短语”
 Enter same passphrase again:
 Your identification has been saved in /home/mikky/.ssh/id_rsa.
 Your public key has been saved in /home/mikky/.ssh/id_rsa.pub.
 The key fingerprint is:
 a4:73:6a:9a:ea:ff:ef:1f:72:83:68:78:6d:e8:63:2b
 $ cat ~/.ssh/id_rsa.pub
    2、复制密钥到服务器
 将mikky的公钥复制到服务器[可以使用nfs/ftp/samba/http/email/sftp/scp等任意方式]
 此处在Server A上以root用户身份操作,因使用scp,需要Station B启用SSHD服务
 # mkdir -p /home/jerry/.ssh
 # scp /home/jerry/.ssh/authorized_keys
 # chmod o+rx /home/jerry ; chown -R jerry:jerry /home/jerry  //在某些系统中需要修改权限,此处可跳过
    3、客户端测试密钥验证
 # su - mikky   //确认以mikky用户登陆Station B系统
 $ ssh   //如果提示如下输入密码短语,说明密钥验证生效;否则请检查authorized_keys文件名及位置
 Enter passphrase for key '/home/mikky/.ssh/id_rsa':
    4、客户端使用SSH代理 [此步可不作]
 在Station B上使用ssh-agent代理验证,可以记住私钥密码短语,不用频繁验证
 # su - mikky
 $ ssh-agent /bin/bash  //新开一个bash进程,并在此进程中启用ssh代理
 $ ssh-add -t 3600  //在一个小时内让ssh代理记住私钥的密码短语
 Enter passphrase for /home/mikky/.ssh/id_rsa:
 Identity added: /home/mikky/.ssh/id_rsa (/home/mikky/.ssh/id_rsa)
 Lifetime set to 3600 seconds
 $ ssh   //一小时内再次重复登陆,无需密码或密码短语,即可直接登陆服务器
 $ ssh-add -D   //清除所有已经记住的私钥密码短语
阅读(1721) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~