用密碼登錄SSH并不安全,存在被暴力攻擊破解的風險,因此建議開啟二次驗證(雙因子驗證)以提高安全性,但二次驗證(雙因子驗證)往往依賴于第三方服務商,引入了新的安全風險,因此,使用SSH密鑰登錄是首選的安全登錄方式。
使用ssh-keygen命令生成密鑰對,在 Linux 系統上,默認情況下,將在 Linux ~/.ssh/id_rsa 目錄中創建 SSH 公鑰和私鑰文件,權限分別為644和600。需要注意,如果在指定目錄中已經具有一個 SSH 密鑰對,并且在運行該命令時使用相同的文件名,則會覆蓋該現有密鑰對。
$ ssh-keygen 生成密鑰對
相關命令參數如下:
-m PEM 將密鑰的格式設為 PEM,其他支持格式PKCS8,RFC4716
-i 與-m搭配使用,用于導入格式轉換
-e 與-m搭配使用,用于導出格式轉換
-t rsa 密鑰類型,本例中為 RSA 格式,其他為“dsa”, “ecdsa”, “ecdsa-sk”, “ed25519”, “ed25519-sk”
-b 4096 密鑰的位數,本例中為 4096
-C "debian_ssh" 追加到公鑰文件末尾以便于識別的注釋。
-f ~/.ssh/mykeys/myprivatekey 私鑰文件的文件名(如果選擇不使用默認名稱)。 追加了 .pub 的相應公鑰文件在相同目錄中生成。 該目錄必須存在。
-N mypassphrase 訪問私鑰文件的其他密碼(不建議留空)另外,常見3種操作:
從私鑰重新生成OpenSSH格式公鑰
ssh-keygen -y -f priKey.pem > sshPubkey.pub
將OpenSSL格式公鑰轉換成OpenSSH格式
ssh-keygen -i -m PKCS8 -f sslPubKey.pub 〉 sshPubKey.pub
將OpenSSH格式公鑰轉換成OpenSSL格式公鑰
ssh-keygen -e -m PEM -f sshPubKey.pub >sslPubKey.pub只要將生成的密鑰對中的公鑰上傳到目標SSH服務器上,以后就可以免密登錄了,上傳公鑰有兩種方法:
方法一:使用命令ssh-copy-id
方法二:手工上傳公鑰文件
例如3臺主機host1、host2、host3相互復制公鑰,實現免密登錄
[host1] $ ssh-copy-id khess@host2
[host1] $ ssh-copy-id khess@host3
[host2] $ ssh-copy-id khess@host1
host2] $ ssh-copy-id khess@host3
[host3] $ ssh-copy-id khess@host1
[host3] $ ssh-copy-id khess@host2在 windows10系統中,也有ssh-keygen命令,但沒有ssh-copy-id命令,只能手工上傳公鑰,命令如下 :
將 windows 10系統中生成密鑰對中的公鑰上傳給主機host1
type .\.ssh\id_rsa.pub|ssh khess@host1 "cat >> .ssh/authorized_keys"一旦免密登錄,傳輸文件很方便,不僅可以這樣:
[host1] $ scp host1.txt khess@host2:/home/khess/host1.txt
[host1] $ scp host1.txt khess@host3:/home/khess/host1.txt還可以這樣,由主機host1下達命令完成文件從主機host2到主機host3的傳輸,大大提高了運維效率。
[host1] $ scp khess@host2:/home/khess/host2.txt khess@host3:/home/khess/host2.txt事實上,SSH是一種安全傳輸協議,而不是某種具體的服務,它還能實現更多,用于與計算機交互、復制文件和保護其他類型的通信,如 "通過 SSH 的 X 服務",再比如日常同步備份也可以通過SSH通道來完成,命令如下:
SSH(Secure Shell)是用于安全地遠程登錄和執行指令(command)的網絡協議和命令集合,能替代telnet協議及其工具,由于安全、可靠、穩定,在Linux世界中得到了廣泛的應用和認可。
Windows操作系統中常用的遠程工具有使用RDP(Remote Desktop Protocol)協議的遠程桌面(使用mstsc命令)和提供命令行方式的Windows遠程管理(WinRM),雖然各有特色,但是如果說到普及性,那還是要看SSH,所以Windows操作系統中很可能還是會用到SSH。
Windows操作系統默認并沒有安裝SSH協議相關的軟件,但較新版本的操作系統(如Windows 10、Windows Server 2019等)都可以使用PowerShell命令手工添加OpenSSH的client和server組件(使用Get-WindowsCapability -Online| ? name -like '*ssh*'命令可以查看SSH client或server組件是否安裝),也可以通過https://github.com/PowerShell/Win32-OpenSSH/releases下載server軟件包手工安裝使用。本文就簡單介紹一下手工安裝和使用OpenSSH server的步驟和方法。
1、將下載的軟件壓縮包解壓到程序安裝目錄,一般是"c:\program files"目錄下的OpenSSH文件夾(這里選擇的是64位的軟件包);
2、以管理員身份運行PowerShell程序,在PowerShell程序的運行窗口中執行OpenSSH server的安裝腳本install-sshd.ps1:
powershell.exe -ExecutionPolicy Bypass -File install-sshd.ps1
3、以管理員身份運行cmd程序,執行命令在Windows防火墻中開通SSH協議使用的網絡端口(示例采用默認的SSH 22端口,可按實際配置情況進行修改):
netsh advfirewall firewall add rule name=sshd dir=in action=allow protocol=TCP localport=22
4、執行命令設置SSH server(SSHD)服務為開機自啟動服務:
sc config sshd start=auto
至此OpenSSH的安裝就完成了。
第一次運行OpenSSH時,我們需要手工啟動SSHD服務:net start sshd。命令執行完成后,我們可以通過Windows命令查看到,SSHD服務默認的22端口上已經啟動偵聽,同時在C:\ProgramData目錄下會自動生成ssh目錄,其中包括SSHD服務的配置文件sshd_config、當前用戶各種格式的秘鑰文件和SSHD服務的日志。我們可以編輯sshd_config以便調整默認的SSHD服務選項,文件修改保存后,重啟SSHD服務令新的配置生效。
最后還有一點需要提醒,設置SSH免密登錄時,Windows OpenSSH的信任文件是C:\ProgramData\administrators_authorized_keys,應該將可信任SSH客戶端的公鑰添加到此文件中,這樣以后在該客戶端遠程登錄這臺Windows系統就不需要輸入密碼了。
祝大家使用SSH愉快!