Jalena Blog

  • 首页
  • 程序开发
    • Java
    • Spring
    • SpringBoot
    • SpringMvc
    • Python
    • Odoo
    • C#
    • SQL
    • Web
    • Linux
  • 移动设备
    • Android
    • BlackBerry
    • Router
  • 杂七杂八
    • 我的废话
    • 音频
    • 视频
    • 常用软件
  • 关于
A bad workman always blames his tools.
  1. 首页
  2. Development
  3. Linux
  4. 正文

Linux 密钥登录

2020-11-30 332点热度 0人点赞 0条评论

每次登录都要输入密码很麻烦,所以采用密钥登录是非常不错的方式。

生成密钥

使用命令生成密钥及公钥,默认会存放在用户目录下的.ssh目录中。

ssh-keygen -t rsa

部署密钥

部署密钥的方式有很多,可以直接将 id_rsa.pub 文件写入服务器的authorized_keys文件,也可以使用ssh-copy-id命令。

使用ssh-copy-id将公钥部署至服务器。

ssh-copy-id -i .ssh/base_id_rsa.pub root@192.168.5.200

启用ssh-agent

ssh-agent命令是一种控制用来保存公钥身份验证所使用的私钥的程序。ssh-agent在X会话或登录会话之初启动,所有其他窗口或程序则以客户端程序的身份启动并加入到ssh-agent程序中。通过使用环境变量,可定位代理并在登录到其他使用ssh机器上时使用代理自动进行身份验证。

其实ssh-agent就是一个密钥管理器,运行ssh-agent以后,使用ssh-add将私钥交给ssh-agent保管,其他程序需要身份验证的时候可以将验证申请交给ssh-agent来完成整个认证过程。

# 查看ssh-agent服务状态
Get-Service | select -property name,starttype,status | Where-Object name -eq ssh-agent

# 设置启动类型
# Boot, System, Automatic, Manual, Disabled
Set-Service -Name ssh-agent -StartupType Automatic

# 启动ssh-agent服务
Start-Service ssh-agent

# 添加已有密钥
ssh-add .ssh/base_id_rsa 

SSH Config

配置项说明

SSH 的配置文件有两个:

$ ~/.ssh/config            # 用户配置文件
$ /etc/ssh/ssh_config      # 系统配置文件

下面来看看常用的配置参数。

Host
用于我们执行 SSH 命令的时候如何匹配到该配置。

  • *,匹配所有主机名。
  • *.example.com,匹配以 .example.com 结尾。
  • !*.dialup.example.com,*.example.com,以 ! 开头是排除的意思。
  • 192.168.0.?,匹配 192.168.0.[0-9] 的 IP。

AddKeysToAgent
是否自动将 key 加入到 ssh-agent,值可以为 no(default)/confirm/ask/yes。

如果是 yes,key 和密码都将读取文件并以加入到 agent ,就像 ssh-add。其他分别是询问、确认、不加入的意思。添加到 ssh-agent 意味着将私钥和密码交给它管理,让它来进行身份认证。

AddressFamily
指定连接的时候使用的地址族,值可以为 any(default)/inet(IPv4)/inet6(IPv6)。

BindAddress
指定连接的时候使用的本地主机地址,只在系统有多个地址的时候有用。在 UsePrivilegedPort 值为 yes 的时候无效。

ChallengeResponseAuthentication
是否响应支持的身份验证 chanllenge,yes(default)/no。

Compression
是否压缩,值可以为 no(default)/yes。

CompressionLevel
压缩等级,值可以为 1(fast)-9(slow)。6(default),相当于 gzip。

ConnectionAttempts
退出前尝试连接的次数,值必须为整数,1(default)。

ConnectTimeout
连接 SSH 服务器超时时间,单位 s,默认系统 TCP 超时时间。

ControlMaster
是否开启单一网络共享多个 session,值可以为 no(default)/yes/ask/auto。需要和 ControlPath 配合使用,当值为 yes 时,ssh 会监听该路径下的 control socket,多个 session 会去连接该 socket,它们会尽可能的复用该网络连接而不是重新建立新的。

ControlPath
指定 control socket 的路径,值可以直接指定也可以用一下参数代替:

  • %L 本地主机名的第一个组件
  • %l 本地主机名(包括域名)
  • %h 远程主机名(命令行输入)
  • %n 远程原始主机名
  • %p 远程主机端口
  • %r 远程登录用户名
  • %u 本地 ssh 正在使用的用户名
  • %i 本地 ssh 正在使用 uid
  • %C 值为 %l%h%p%r 的 hash

请最大限度的保持 ControlPath 的唯一。至少包含 %h,%p,%r(或者 %C)。

ControlPersist
结合 ControlMaster 使用,指定连接打开后后台保持的时间。值可以为 no/yes/整数,单位 s。如果为 no,最初的客户端关闭就关闭。如果 yes/0,无限期的,直到杀死或通过其它机制,如:ssh -O exit。

GatewayPorts
指定是否允许远程主机连接到本地转发端口,值可以为 no(default)/yes。默认情况,ssh 为本地回环地址绑定了端口转发器。

HostName
真实的主机名,默认值为命令行输入的值(允许 IP)。你也可以使用 %h,它将自动替换,只要替换后的地址是完整的就 ok。

IdentitiesOnly
指定 ssh 只能使用配置文件指定的 identity 和 certificate 文件或通过 ssh 命令行通过身份验证,即使 ssh-agent 或 PKCS11Provider 提供了多个 identities。值可以为 no(default)/yes。

IdentityFile
指定读取的认证文件路径,允许 DSA,ECDSA,Ed25519 或 RSA。值可以直接指定也可以用一下参数代替:

  • %d,本地用户目录 ~
  • %u,本地用户
  • %l,本地主机名
  • %h,远程主机名
  • %r,远程用户名

LocalCommand
指定在连接成功后,本地主机执行的命令(单纯的本地命令)。可使用 %d,%h,%l,%n,%p,%r,%u,%C 替换部分参数。只在 PermitLocalCommand 开启的情况下有效。

LocalForward
指定本地主机的端口通过 ssh 转发到指定远程主机。格式:LocalForward [bind_address:]post host:hostport,支持 IPv6。

PasswordAuthentication
是否使用密码进行身份验证,yes(default)/no。

PermitLocalCommand
是否允许指定 LocalCommand,值可以为 no(default)/yes。

Port
指定连接远程主机的哪个端口,22(default)。

ProxyCommand
指定连接的服务器需要执行的命令。%h,%p,%r

如:ProxyCommand /usr/bin/nc -X connect -x 192.0.2.0:8080 %h %p

User
登录用户名

相关技巧

管理多组密钥对

有时候你会针对多个服务器有不同的密钥对,每次通过指定 -i 参数也是非常的不方便。比如你使用 github 和 coding。那么你需要添加如下配置到 ~/.ssh/config:

Host github
    HostName %h.com
    IdentityFile ~/.ssh/id_ecdsa_github
    User git
Host coding
    HostName git.coding.net
    IdentityFile ~/.ssh/id_rsa_coding
    User git

当你克隆 coding 上的某个仓库时:

# 原来
$ git clone git@git.coding.net:deepzz/test.git

# 现在
$ git clone coding:deepzz/test.git

vim 访问远程文件

vim 可以直接编辑远程服务器上的文件:

$ vim scp://root@example.com//home/centos/docker-compose.yml
$ vim scp://example//home/centos/docker-compose.yml

远程服务当本地用

通过 LocalForward 将本地端口上的数据流量通过 ssh 转发到远程主机的指定端口。感觉你是使用的本地服务,其实你使用的远程服务。如远程服务器上运行着 Postgres,端口 5432(未暴露端口给外部)。那么,你可以:

Host db
    HostName db.example.com
    LocalForward 5433 localhost:5432

当你连接远程主机时,它会在本地打开一个 5433 端口,并将该端口的流量通过 ssh 转发到远程服务器上的 5432 端口。

首先,建立连接:

$ ssh db

之后,就可以通过 Postgres 客户端连接本地 5433 端口:

$ psql -h localhost -p 5433 orders

多连接共享

什么是多连接共享?在你打开多个 shell 窗口时需要连接同一台服务器,如果你不想每次都输入用户名,密码,或是等待连接建立,那么你需要添加如下配置到 ~/.ssh/config:

ControlMaster auto
ControlPath /tmp/%r@%h:%p

禁用密码登录

如果你对服务器安全要求很高,那么禁用密码登录是必须的。因为使用密码登录服务器容易受到暴力破解的攻击,有一定的安全隐患。那么你需要编辑服务器的系统配置文件 /etc/ssh/sshd_config:

PasswordAuthentication no
ChallengeResponseAuthentication no

关键词登录

为了更方便的登录服务器,我们也可以省略用户名和主机名,采用关键词登录。那么你需要添加如下配置到 ~/.ssh/config:

Host deepzz                        # 别名
    HostName deepzz.com            # 主机地址
    User root                      # 用户名
    # IdentityFile ~/.ssh/id_ecdsa # 认证文件
    # Port 22                      # 指定端口

那么使用 $ ssh deepzz 就可以直接登录服务器了。

代理登录

有的时候你可能没法直接登录到某台服务器,而需要使用一台中间服务器进行中转,如公司内网服务器。首先确保你已经为服务器配置了公钥访问,并开启了agent forwarding,那么你需要添加如下配置到 ~/.ssh/config:

Host gateway
    HostName proxy.example.com
    User root
Host db
    HostName db.internal.example.com                  # 目标服务器地址
    User root                                         # 用户名
    # IdentityFile ~/.ssh/id_ecdsa                    # 认证文件
    ProxyCommand ssh gateway netcat -q 600 %h %p      # 代理命令

那么你现在可以使用 $ ssh db 连接了。

远程执行命令

日常情况我们需要到服务器上去执行一些命令或拷贝文件,本来是很简单的一件事情,但做得多了就比较繁琐了。通过 SSH 帮我们远程执行相关命令或脚本,非常棒。

如有不了解的知识点,请阅读前面。利用 SSH 来帮我们在本地执行命令:

1、执行远程命令:

$ ssh example "cd /; ls"
bin
boot
data
...

2、执行多行命令:

$ ssh example "
dquote> cd / 
dquote> ls
dquote> "
bin
boot
data
...

3、执行本地脚本 有时候,我们会将经常用到命令,如将一个复杂命令写入到一个 shell 脚本中,但又不想拷贝到服务器上,那么:

# 示例脚本
$ echo "cd /; ls" > test.sh
# 为脚本添加可执行权限
$ chmod +x test.sh

# 远程执行本地脚本
$ ssh example < test.sh
Pseudo-terminal will not be allocated because stdin is not a terminal.
bin
boot
data
...

4、执行需要交互的命令

ssh -t example "top"

Config内容转载至:https://deepzz.com/post/how-to-setup-ssh-config.html

本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可
标签: Linux ssh
最后更新:2020-12-28

Jalena

原创内容,转载请注明出处! 部分内容来自网络,请遵守法律适用!

点赞
< 上一篇
下一篇 >

文章评论

取消回复

Jalena

原创内容,转载请注明出处! 部分内容来自网络,请遵守法律适用!

腾讯云
最新 热点 随机
最新 热点 随机
Docker overlay2 清理 & 数据转移 PowerShell 升级 & 增强 Python pip 升级 ESXI & Alpine & Clash Premium 旁路网关 ESXi install Alpine & Clash Proxy 打造自己的Aria2c专属设置 ESXI 升级 Centos 7 离线安装Nginx Centos nmcli 网络管理命令 Linux 密钥登录
PowerShell 升级 & 增强Docker overlay2 清理 & 数据转移
Odoo 10.0 64位 绿色版 PostgreSql 常用操作 软路由(ESXi)安装OpenWrt 博客认领 The KMPlayer 2.9.4.1435 Release Filming Screen Titles Node.js 绿色版安装及配置 Python pip 升级 浏览器扩展之用户脚本 Gmail 客户端跳板
标签聚合
解码 wordpress java 生活 odoo Edius 其他 Centos
Links
  • 时空镜像
  • Feng Blog
  • ninja911
  • ZWWoOoOo
  • Emin.ink
  • 猿人学网站

COPYRIGHT © 2021 Jalena Blog. ALL RIGHTS RESERVED.

THEME KRATOS MADE BY VTROIS