前言
本文基於實際Linux管理工作,實例講解工作中使用ssh證書登錄的實際流程,講解ssh證書登錄的配置原理,基於配置原理,解決實際工作中,windows下使用SecureCRT證書登錄的各種問題,以及實現hadoop集群部署要求的無密碼跳轉問題。
ssh有密碼登錄和證書登錄,初學者都喜歡用密碼登錄,甚至是root賬戶登錄,密碼是123456。但是在實際工作中,尤其是互聯網公司,基本都是證書登錄的。內網的機器有可能是通過密碼登錄的,但在外網的機器,如果是密碼登錄,很容易受到攻擊,真正的生產環境中,ssh登錄都是證書登錄。
證書登錄的步驟
1.客戶端生成證書:私鑰和公鑰,然后私鑰放在客戶端,妥當保存,一般為了安全,訪問有黑客拷貝客戶端的私鑰,客戶端在生成私鑰時,會設置一個密碼,以后每次登錄ssh服務器時,客戶端都要輸入密碼解開私鑰(如果工作中,你使用了一個沒有密碼的私鑰,有一天服務器被黑了,你是跳到黃河都洗不清)。
2.服務器添加信用公鑰:把客戶端生成的公鑰,上傳到ssh服務器,添加到指定的文件中,這樣,就完成ssh證書登錄的配置了。
假設客戶端想通過私鑰要登錄其他ssh服務器,同理,可以把公鑰上傳到其他ssh服務器。
真實的工作中:員工生成好私鑰和公鑰(千萬要記得設置私鑰密碼),然后把公鑰發給運維人員,運維人員會登記你的公鑰,為你開通一台或者多台服務器的權限,然后員工就可以通過一個私鑰,登錄他有權限的服務器做系統維護等工作,所以,員工是有責任保護他的私鑰的,如果被別人惡意拷貝,你又沒有設置私鑰密碼,那么,服務器就全完了,員工也可以放長假了。
客戶端建立私鑰和公鑰
在客戶端終端運行命令
ssh-keygen -t rsa
rsa是一種密碼算法,還有一種是dsa,證書登錄常用的是rsa。
假設用戶是blue,執行 ssh-keygen 時,才會在我的home目錄底下的 .ssh/ 這個目錄里面產生所需要的兩把 Keys ,分別是私鑰 (id_rsa) 與公鑰 (id_rsa.pub)。
另外就是私鑰的密碼了,如果不是測試,不是要求無密碼ssh,那么對於passphrase,不能輸入空(直接回車),要妥當想一個有特殊字符的密碼。
ssh服務端配置
ssh服務器配置如下:
vim /etc/ssh/sshd_config #禁用root賬戶登錄,非必要,但為了安全性,請配置 PermitRootLogin no # 是否讓 sshd 去檢查用戶家目錄或相關檔案的權限數據, # 這是為了擔心使用者將某些重要檔案的權限設錯,可能會導致一些問題所致。 # 例如使用者的 ~.ssh/ 權限設錯時,某些特殊情況下會不許用戶登入 StrictModes no # 是否允許用戶自行使用成對的密鑰系統進行登入行為,僅針對 version 2。 # 至於自制的公鑰數據就放置於用戶家目錄下的 .ssh/authorized_keys 內 RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile %h/.ssh/authorized_keys #有了證書登錄了,就禁用密碼登錄吧,安全要緊 PasswordAuthentication no
配置好ssh服務器的配置了,那么我們就要把客戶端的公鑰上傳到服務器端,然后把客戶端的公鑰添加到authorized_keys
在客戶端執行命令
scp ~/.ssh/id_rsa.pub blue@<ssh_server_ip>:~
在服務端執行命令
cat id_rsa.pub >> ~/.ssh/authorized_keys
如果有修改配置/etc/ssh/sshd_config,需要重啟ssh服務器
/etc/init.d/ssh restart
客戶端通過私鑰登錄ssh服務器
ssh命令
ssh -i /blue/.ssh/id_rsa blue@<ssh_server_ip>
scp命令
scp -i /blue/.ssh/id_rsa filename blue@<ssh_server_ip>:/blue
每次敲命令,都要指定私鑰,是一個很繁瑣的事情,所以我們可以把私鑰的路徑加入ssh客戶端的默認配置里
修改/etc/ssh/ssh_config
#其實默認id_rsa就已經加入私鑰的路徑了,這里只是示例而已 IdentityFile ~/.ssh/id_rsa #如果有其他的私鑰,還要再加入其他私鑰的路徑 IdentityFile ~/.ssh/blue_rsa
其他應用場景
SecureCRT密鑰key遠連接程ssh證書登錄Linux
國內大部分人用的系統是windows,而windows下有很多ssh客戶端圖形工作,最流行,功能最強大的就是SecureCRT了,所以我會單獨針對SecureCRT簡單講下實現ssh證書登錄Linux的要點,步驟如下:
1:在SecureCRT創建私鑰和公鑰:主菜單->工具->創建公鑰->選擇RSA->填寫私鑰的密碼->密鑰長度填為1024->點擊完成,生成兩個文件,默認名為identity和identity.pub
2.把私鑰和公鑰轉換為OpenSSH格式:主菜單->工具->轉換私鑰到OpenSSH格式->選擇剛生成私鑰文件identity->輸入私鑰的密碼->生成兩個文件,指定為id_rsa,id_rsa.pub
3.把公鑰id_rsa.pub上傳到ssh服務器,按照之前配置服務器端的證書,再配置一次。
另外,如果你之前用windows的 SecureCRT的證書登錄linux的,有一天你換成了linux,並希望通過原來的私鑰登錄公司的服務器,那么可以把id_rsa拷貝倒~/.ssh/目錄下,配置ssh客戶端參考上文。
備注:ssh對證書的文件和目錄權限比較敏感,要么根據出錯提示設置好文件和目錄權限,要么是把StrictModes選項設置為no
hadoop部署的無密碼ssh登錄
hadoop要求master要無密碼跳轉到每個slave,那么master就是上文中的ssh客戶端了,步驟如下
在hadoop master上,生成公鑰私鑰,這個場景下,私鑰不能設置密碼。
把公鑰上傳到每個slave上指定的目錄,這樣就完成了ssh的無密碼跳轉了。
總結
ssh證書登錄,在實際工作才是最常用的登錄方式,本人結合了真正工作的場景普及了ssh證書登錄的知識,並根據流行的hadoop部署和windows下最常用的SecureCRT實例講解了證書登錄。