明鱼 2010-04-10
简单介绍一下,SSH是用一种协议,它可以让一台计算机用一种比较安全的方式登录远程主机。想要详细了解的童鞋可以看看wikipedia上的介绍,比我讲的好很多,这里就不多说了。我们只讲它的基本用法。
先介绍一下系统环境:
远程连接自然需要两台主机,它们都处在一个局域网下。本地主机的IP是192.168.0.100,远程主机的IP是192.168.0.120。
两台主机都采用Ubuntu 8.10系统,SSH服务端和客户端采用免费的OpenSSH。
本地主机的有个用户为alex,远程主机有个用户为bill。
我们的目的,就是让本地主机的alex,通过SSH以bill的身份登录到远程主机。
要使用SSH连接,自然需要相应的客户端和服务端软件,这里采用OpenSSH。记住两台主机都要装。这里为了偷懒,就直接给两台主机都装了客户端和服务端。
sudo apt-get install openssl-server openssh-client
安装完成后,在本地主机的终端上执行以下命令:
ssh [email protected]
如果是第一次想某远程主机发起SSH连接,系统会提示你该主机地址不在known host里,这时输入yes就可以继续了。然后系统会提示你输入bill的密码,输入正确后,终端的提示符会变成bill@remote-hostname,这就说明你已经以bill的身份成功登录了,之后就可以像使用本地主机一样,操作远程主机的文件了(能做的操作取决于bill的权限)。在提示符下输入exit就会退出登录。很简单吧。
ssh命令的基本用方法就是 ssh username@ipaddress 。username就是远程主机的用户,ipaddress是远程主机的IP地址,你也可以把它换成域名。你可以只输入ssh来获得它的帮助信息,查看更多细节。
请记住username@ipaddress这种格式,因为它在其他命令行工具(如 git 和 scp)中屡见不鲜,这时你就知道该工具是用SSH来访问远程主机的。
现在你已经熟悉了SSH的基本用法(一行命令而已),但每次发起连接都要输入密码很是烦人。而且实际环境中因为种种原因,基本不会告诉你远程主机的密码的。那没有密码,如何验证某主机可以以bill的身份登录呢?我们可以使用公钥(public key)和密钥(private key)代替密码。
首先简单讲讲公钥验证机制:公钥和密钥是两份文件,服务端持有公钥,用来加密;客户端持有密钥,用来解密。客户端向服务端发起连接请求时,服务端会生成一串随机数,经过公钥加密后传给客户端。这时客户端会用密钥解密获取随机数,再返回服务端。最后服务端判断一下,如果客户端能够返回正确的随机数,就认为校验通过了 ,可以进行连接。否则您就从哪儿来会哪儿去吧。
公钥验证机制的存在其实是为了提供一种比密码验证机制更安全的方式,使用公钥认证,就只需要把自己生成的公钥发给管理员,而不需要管理员把服务器的用户密码告诉每一个人(而且以后更改密码可能还要再通知一遍)。对你而言,则可以把公钥发给多个服务端,也避免了去记住不同服务端的用户密码的麻烦。
现在说说怎么做。首先,本地主机(客户端)需要生成公钥(public key)和密钥(private key)。运行以下命令:
ssh-keygen -t rsa
ssh-keygen命令用来生成公钥和密钥(下面简称key),这个命令会在~/.ssh 目录下生成两个key文件。.ssh目录是SSH为主机上每个用户分别建立的一个目录,用来存放用户层面的配置信息的。
ssh-keygen可以生成两种格式的key,RSA和DSA。可以用 -t 参数指定。其实不加任何参数,ssh-keygen就会默认生成RSA的key。这里加上它只是说明一下 -t 这个比较重要的参数而已。使用 -h 参数可以查看帮助信息,注意 --help 是没用的……
输入命令后,系统会询问你待生成的密钥文件的名字,默认id_rsa,然后会要你输入一个密语(passphrase)来加密密钥(可以为空)。之后就生成了密钥和公钥,默认公钥文件的名字是密钥文件名加上 .pub 后缀。本文使用默认设置,会生成密钥 id_rsa和 公钥 id_rsa.pub。
上面说了,远程主机(服务端)需要一份公钥,所以你要把公钥给它。方法有很多。这里我们使用scp命令来远程传文件。传完之后,本地主机的id_rsa.pub文件就没用了,你可以删除它,或者留着它,以后再发给其他的远程主机。
scp id_rsa.pub [email protected]:~/alex_id_rsa.pub
上面的命令用来把文件复制到远程主机的bill用户根目录下,并改名为alex_id_rsa.pub。这个命令和cp命令差不多,只是把目标地址换成了远程主机的地址。一看这格式就知道,scp是使用SSH进行远程通信的。所以下面的内容你知道了——再输一次密码,这是最后一次了。
这里的SSH地址稍微多了点东西,它的格式为 username@ipaddress:file_or_directory 。就是在原来的基础上加了一个冒号,后面接文件或目录的路径。使用这种表示法,理论上你可以定义到任何一台主机的文件。
现在复制完毕,但你还需要把id_rsa.pub中的内容添加到.ssh目录下的authorized_keys文件中去。如果没有,你就要建立一个。说起来很多,实际也就是一行命令:
cat alex_id_rsa.pub >> authorized_keys
这是一个简单的linux重定向,意思是把alex_id_rsa.pub中的内容 增量添加 到authorized_keys中。注意是增量添加,因为这个文件里不止存放一个公钥,看文件名就知道,不是么?
现在所有设置都完成了,再来试试:
ssh [email protected]
如果你之前运行ssh-keygen时,输入过为密钥加密的密语,这时系统会提示你输入密语。这是因为本地主机需要调用密钥id_rsa进行解密。但密钥本身被加密了,所以你要先解密密钥。输入正确的密语后,就会成功进入远程主机。但exit之后,下次发起连接时,还会要你输入密语……(也许你的机器有不同的表现,我们下面会讲)。这完全没达到我们偷懒的目的。但我没说假话,至少你确实不需要输入密码了。至于如何避免输入密语,这就是我们下面要讲的。
一些不同之处
如果使用ssh-keygen时,没有填写密语,那么系统以后都不会要求你输入密语。这样确实挺方便,但缺点就是不加密的密钥容易被有心人利用。当然,使用哪种方案,取决于你的实际使用环境。只是记住,还是有办法可以避免频繁地输入密语。
如果你使用密钥验证方式用SSH发起远程连接时,Ubuntu弹出一个图形化提示框要求你“输入密码以解锁私钥”,恭喜你,你只用输入一次密钥密语。直到你注销alex用户前,每次你发起SSH连接时都不会被要求输入密语。如果你用ssh-keygen生成密钥时,使用的默认文件名,发起SSH连接时一般都会出现这种情况。我想这是Ubuntu自动缓存了解密后的密钥文件,这也是下面我们要将的“缓存密钥”。如果你就是这种情况,下面的缓存部分就不用看了。
如果你生成密钥时使用自定义的文件名(比如alex_rsa),那么还有个麻烦,就是使用ssh命令时,它会需要你手动指定私钥文件,如下所示:
ssh -i alex_rsa [email protected]
这是因为ssh需要密钥时,默认只会去找~/.ssh目录下的identity、id_rsa和id_dsa三个文件,就像它只会从authorized_keys和authorized_keys2两个文件中去找密钥一样。这是默认约定。自己掰虽然自由,但代价就是还有一堆东西等着你去掰……还是Convention Over Configuration比较方便。
最后,如果你想用先进一点的DSA而不是古老的RSA……这没那么麻烦,只需在ssh-keygen时改动一下 -t 参数(注意生成的文件是id_dsa和id_dsa.pub)。但你最好在服务端执行cat命令时,把authorized_keys改成authorized_keys2。这是为了分别存放RSA和DSA的公钥。虽然你把DSA的公钥放进authorized_keys中也不会有任何问题(反之亦然)。
缓存密钥可以使你只需输入一次密语,以后它都不会来麻烦你了。方法很简单,一个命令行工具ssh-add可以把你指定的密钥文件加入到缓存中。
ssh-add ~/.ssh/id_rsa
加入时,会要你输入一次密语。再发起SSH连接时,都不会要你输入密语了,直到你本地主机的用户注销。
注:有些其他的文章里会使用ssh-agent,但经我测试其实不需要启动ssh-agent就可以缓存密钥。有一篇文章讲ssh-agent可以用来做密钥转发,但这点对我没什么用处,就没试过。如果有童鞋知道ssh-agent和ssh-add的关系,请不吝赐教!
现在我们使用了公钥认证代替了密码认证,又缓存了密钥密语。但在实验过程中你应该敲了不少此命令:
ssh [email protected]
也许你已经难以忍受每次都敲又臭又长的IP地址。如果我们能把它改成
ssh server
该多好。下面我们就来做这件事。你可以在当前用户的.ssh目录下建立一个config文件,去保存一些自定义的配置。我们可以把用户名和主机名保存进去。使用任何你熟悉的编辑器,在文件中加入如下代码:
Host server User bill HostName 192.168.0.120
大概解释一下:我们定义了一个叫server的host,它下面的所有配置项(直到下一个host定义之前)都隶属于这个host,我们为server设定了用户名和密码。以后在任何需要敲 [email protected] 的地方,你都可以使用server来替代。这并不限于ssh命令,比如:
scp id_rsa server:~/
是不是很爽呢?
OpenSSH Public Key Authentication
SSH密钥管理和通用代理