SSH基于口令及密钥方式的远程登陆简单实现
2007-06-07 kenthy#qingdaonews.com
############################################
系统环境:Redhat Linux 9.0 [ 2.4.20.8 ]
软件版本:
openssh-3.5p1-6
openssh-server-3.5p1-6
openssh-askpass-3.5p1-6
openssh-clients-3.5p1-6
openssh-askpass-gnome-3.5p1-6
目标功能:
Server A:
192.168.1.1/24
用户: tom jerry
Station B:
192.168.1.20/24
用户: mikky
实现:
1、仅允许tom jerry用户ssh登陆到Server A,分别使用tom jerry用户的密码进行验证
2、允许mikky在Station B机上ssh登陆到Server A,使用jerry用户名和mikky的私钥短语进行验证,不需要jerry的密码
##############################################################
一、安装
为方便使用,两台机器上ssh服务端/客户端软件包都安装。各软件均使用RH9光盘中自带的rpm包,[步骤略]
二、基于口令认证的配置
Server A : [默认启动的SSHD服务进程已经启用口令认证,可以使用服务器上的用户名和密码登陆]
1、# vi /etc/ssh/sshd_config //仅解释部分选项
Port 22 //服务监听的端口
Protocol 2,1 //服务支持使用SSH 1.x和2.x协议
ListenAddress 192.168.1.1 //服务监听的IP地址
LoginGraceTime 120 //120秒内未成功登陆服务器将断开链接
MaxStartups 10 //未成功登陆的最大并发连接数
PermitRootLogin no //禁止root用户登陆
AllowUsers tom jerry //仅允许jerry用户远程登陆
PubkeyAuthentication yes //允许使用基于密钥认证的方式登陆
AuthorizedKeysFile .ssh/authorized_keys //服务器存放各客户端公钥的文件位置
PasswordAuthentication yes //允许使用基于口令认证的方式登陆
PermitEmptyPasswords no //禁止空密码的用户登陆系统
X11Forwarding yes //允许对X11程序进行转发
2、添加测试用户
Server A:
# useradd tom ; passwd tom
# useradd jerry ; passwd jerry
Server B:
# useradd mikky ; passwd mikky
3、# chkconfig --level 2345 sshd on
# /etc/init.d/sshd start
Station B : [分别测试tom、jerry、root及其它用户是否能正常登陆,如按前例配置正常应该只有tom、jerry可以登陆]
4、# ssh //首次ssh登陆后会自动创建~/.ssh/known_hosts文件保存服务器的公钥
三、基于密钥认证的配置
Server A :
0、# vi /etc/ssh/sshd_config //参考第二步,根据需要修改设置,也可跳过此步
PasswordAuthentication no //禁止使用基于口令认证的方式登陆
PubkeyAuthentication yes //允许使用基于密钥认证的方式登陆
# /etc/init.d/sshd reload
基本步骤 :
1、客户端创建密钥对
在Station B系统中使用mikky用户登陆,以mikky用户身份创建密钥对
# su - mikky
$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/mikky/.ssh/id_rsa):
Created directory '/home/mikky/.ssh'.
Enter passphrase (empty for no passphrase): //此处设置用于保护私钥的密码,及“密码短语”
Enter same passphrase again:
Your identification has been saved in /home/mikky/.ssh/id_rsa.
Your public key has been saved in /home/mikky/.ssh/id_rsa.pub.
The key fingerprint is:
a4:73:6a:9a:ea:ff:ef:1f:72:83:68:78:6d:e8:63:2b
$ cat ~/.ssh/id_rsa.pub
2、复制密钥到服务器
将mikky的公钥复制到服务器[可以使用nfs/ftp/samba/http/email/sftp/scp等任意方式]
此处在Server A上以root用户身份操作,因使用scp,需要Station B启用SSHD服务
# mkdir -p /home/jerry/.ssh
# scp /home/jerry/.ssh/authorized_keys
# chmod o+rx /home/jerry ; chown -R jerry:jerry /home/jerry //在某些系统中需要修改权限,此处可跳过
3、客户端测试密钥验证
# su - mikky //确认以mikky用户登陆Station B系统
$ ssh //如果提示如下输入密码短语,说明密钥验证生效;否则请检查authorized_keys文件名及位置
Enter passphrase for key '/home/mikky/.ssh/id_rsa':
4、客户端使用SSH代理 [此步可不作]
在Station B上使用ssh-agent代理验证,可以记住私钥密码短语,不用频繁验证
# su - mikky
$ ssh-agent /bin/bash //新开一个bash进程,并在此进程中启用ssh代理
$ ssh-add -t 3600 //在一个小时内让ssh代理记住私钥的密码短语
Enter passphrase for /home/mikky/.ssh/id_rsa:
Identity added: /home/mikky/.ssh/id_rsa (/home/mikky/.ssh/id_rsa)
Lifetime set to 3600 seconds
$ ssh //一小时内再次重复登陆,无需密码或密码短语,即可直接登陆服务器
$ ssh-add -D //清除所有已经记住的私钥密码短语
阅读(1779) | 评论(0) | 转发(0) |
