责编 | 郭芮

　　我是一名云计算工程师，在实际工作中经常遇到很多人把使用Windows那套习惯带来Linux上来，其中最严重的一点就是使用密码的方式来进行登录鉴权。我不止一次的提醒他们不要在Linux上使用密码而应该使用密钥的方式鉴权，因为密钥比密码从安全性上来说根本不是一个量级的。 本文我就详细带大家来全方位的了解下SSH以及在Linux 系统中的使用和一些简单的使用技巧。
什么是SSH？

　　简单的说，SSH是一种网络协议，用于计算机之间的加密登录。 在早期其实也有一些例如 telnet这样的工具，如果你是一名网络管理员，在操作交换机和路由器时候一定会和telnet 打过交道，但是telnet 协议是明文传输的，因此它并不安全。正是由于这个原因后来有了SSH，SSH全称：Secure Shell，安全的命令解释器，为客户机提供安全的Shell环境，用于远程管理，默认端口：TCP 22，它被广泛的应用在unix 和Linux 操作系统中。 在Linux中的SSH 主要是 OpenSSH。

　　主要软件包：openssh-server、openssh-clients

　　服务名：sshd

　　服务端主程序：/usr/sbin/sshd

　　客户端主程序：/usr/bin/ssh

　　服务端配置文件：/etc/ssh/sshd_config

　　客户端配置文件：/etc/ssh/ssh_config

　　要通过SSH 来登录计算机非常的简单，只需要执行如下命令即可： ssh user@ip
例如要通过root 用户登录52.33.1.2这台机器则执行： ssh root@52.33.1.2
即可，它会默认使用22端口来进行登录。 SSH服务器端配置文件sshd_config，默认在/etc/ssh/目录下面的sshd_config 文件。
SSH登录的用户验证方式

　　密码验证：使用服务器中系统帐号对应的密码；

　　密钥对验证：使用客户机中生成的公钥、私钥。

　　密码验证密码验证需要在系统中设置一个密码，设置密码如下： [root@centos ~]# passwd root
Changing password for user root.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
只要你的SSH 没有禁止密码登录，并且用户属性没有设置成nologin,都可以通过密码来进行连接即可。但是密码登录非常的不安全，互联网上几乎无时无刻不遭受恶意入侵，入侵者通过暴力激活成功教程的方式来对目标系统进行密码激活成功教程。最简单的激活成功教程只需要三中个工具即可完成。

　　masscan 扫描目标主机哪些端口是开放的；

　　hydra 可以指定ip和词典来对目标主机进行密码暴力激活成功教程；

　　词典。

　　以下面的命令解释，入侵者要激活成功教程58.12.95.153这台机器的ssh密码。只需要知道它的端口和用户名就可以，程序会代替人自动去进行密码校验直到试出正确密码。 root@ubuntu:~# hydra -s 22 -v -l root -P pass.txt 58.12.95.153 ssh
只要入侵者的密码库足够丰富，激活成功教程的机器性能足够强大，激活成功教程不是问题。而一般人所使用的密码并不会特别复杂，因此密码的方是激活成功教程非常简单。密钥认证SSH 支持通过密钥的方是来进行验证，包括rsa算法或dsa 算法等。例如rsa 算法，RSA加密算法是一种非对称加密算法，在公开密钥加密和电子商业中被广泛使用。 1977年，三位数学家Rivest、Shamir 和 Adleman 设计了一种算法，可以实现非对称加密。这种算法用他们三个人的名字命名，叫做RSA算法。从那时直到现在，RSA算法一直是最广为使用的"非对称加密算法"。毫不夸张地说，只要有计算机网络的地方，就有RSA算法。 这种算法非常可靠，密钥越长，它就越难激活成功教程。根据已经披露的文献，目前被激活成功教程的最长RSA密钥是768个二进制位。也就是说，长度超过768位的密钥，还无法激活成功教程（至少没人公开宣布）。因此可以认为，1024位的RSA密钥基本安全，2048位的密钥极其安全。 要使用密钥认证，首先需要创建一对密钥对，执行按几次回车键即可生成密钥文件。 [root@centos ~]# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:eHM9jL0Ry+hxt7H3ShEsKlkAxPvnKgN8KejMQ8iot3s root@centos
The key's randomart image is:
+---[RSA 2048]----+
| oo.. |
| . . . |
| . . o o |
| .. o O + . |
|o. o .oS * X + |
|o.o + o..=.o = = |
|.= + o. . + .|
|. * E o . . ..|
| .o= o.. ...|
+----[SHA256]-----+
默认情况下所生成的密钥文件在 ~/.ssh/ 目录下： [root@centos ~]# cd ~/.ssh/
[root@centos .ssh]# pwd
/root/.ssh
[root@centos .ssh]# ls
authorized_keys id_rsa id_rsa.pub
其中：

　　id_rsa 是私钥文件；

　　id_rsa.pub 是公钥文件；

　　authorized_keys 可以追加其他设备的公钥内容到该文件中实现密钥方式登录。比如我一台机器A 希望登录机器B，我把A机器中的id_rsa.pub 内容复制粘贴到B机器的authorized_keys 末行即可。

　　在使用时需要主要~/.ssh 的目录必须为700，目录中的三个文件的权限必须为600，否则无法正常使用密钥认证。 修改服务端配置文件中的如下内容： PasswordAuthentication no
重启ssh 服务即可实习禁止密码登录。 客户端使用密钥登录可以使用如下命令： ssh -i 密钥文件 用户名@ IP 地址SSH 的客户端

　　在 ~/.ssh/config中可以配置客户端的一些连接参数，可以执行： man ssh_config
它的配置如下所示 Host *
PasswordAuthentication no
ChallengeResponseAuthentication no
HashKnownHosts yes
ProxyCommand ssh jump@123.111.104.111 -p 65422 -W %h:%p
Host aliyun
HostName 114.113.199.88
User hedu
IdentityFile ~/.ssh/cloudsupport
Port 1046
其中，config配置含义如下：

　　：用来指定该key的Host名字，通配符表示任意Host 的配置。

　　：此处指定对应的具体域名或 IP 地址。

　　Port：说明目标Host 的连接端口。

　　User root ：说明该配置的用户得是root。

　　IdentityFile ~/.ssh/id_rsa ： 这行最为关键，指定了该使用哪个ssh key文件，这里的key文件一定指的是私钥文件。

　　SSH 反向隧道

　　我们可以通过 SSH 实现内网穿透,通过 SSH 的方式在一个内网访问另外一个内网，我们把他称为 SSH 反向代理。

步骤如下:

　　内网主机 10.1.100.12 ，SSH 端口为22；

　　外网主机 121.42.110.23 ，SSH 端口为22开放一个要绑定内网主机的外网端口，例如2222；

　　我们要通过外网主机B 的2222端口连接到内网主机10.1.100.12。 首先，在外网主机修改文件，如果没有添加即可： GatewayPorts yes
然后重启SSH 服务。 在192.168.10.11执行： ssh -NfR 2222:localhost:22 userb@121.42.110.23
参数说明：

　　1.遇到 SSH 连接异常可以查看提示，如果提示不明显，可以使用 -vvv 参数打印详细的debug 信息：ssh -vvv
一般可以在debug 信息中找到连接失败的问题。2.遇到 ssh 连接卡很久这种情况首先确认下 sshd_config 中的2个配置是否是如下这样： UseDNS no
GSSAPIAuthentication no
UseDNS 选项打开状态下，当客户端试图登录SSH服务器时，服务器端先根据客户端的IP地址进行DNS PTR反向查询出客户端的主机名，然后根据查询出的客户端主机名进行DNS正向A记录查询，验证与其原始IP地址是否一致，这是防止客户端欺骗的一种措施，但一般我们的是动态IP不会有PTR记录，打开这个选项不过是在白白浪费时间而已，不如将其关闭。 另外一个是GSSAPI 认证会消耗很长时间，其实关闭了也没多大影响，一般 SSH 依次进行的认证方法的是 publickey, gssapi-keyex, gssapi-with-mic, password， 这个你可以ssh -v开启 debug 模式在连接日志看到。一般用户只使用 password 认证方式，但前面 3 个认证过程系统还是会尝试，这就浪费时间了，也就造成 SSH 登录慢。 关于 GSSAPI 相关的认证，消耗的时间比较多，具体可以查看 SSH 连接日志。 GSSAPI 主要是基于 Kerberos 的，因此要解决这个问题也就变成要系统配置有 Kerberos， 一般用户是没有配置 Kerberos的。 【End】

今天的文章 ssh免密登录原理（sshd免密登录）分享到此就结束了，感谢您的阅读。