2019独角兽企业重金招聘Python工程师标准>>>
文章图片
系统信息[root@nfs01 ~]# uname -r 2.6.32-696.el6.x86_64 [root@nfs01 ~]# uname -m x86_64 [root@nfs01 ~]# cat /etc/redhat-release CentOS release 6.9 (Final)
ssh分发公钥,进行远程免密登陆过程详解 1)客户端创建密钥对[root@web01 .ssh]# ssh-keygen -t dsa Generating public/private dsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_dsa. Your public key has been saved in /root/.ssh/id_dsa.pub. The key fingerprint is: d1:86:87:7a:d4:4a:df:d0:e9:12:4c:9f:46:3e:2b:6b root@web01 The key's randomart image is: +--[ DSA 1024]----+ |. .| |B = o| |* O O| |+ * * o| |. S + +| |.+| |E| |.| || +-----------------+ [root@web01 .ssh]# ls id_dsaid_dsa.pub
2)客户端分发公钥到服务端[root@web01 .ssh]# ssh-copy-id -i id_dsa.pub root@172.16.1.31 The authenticity of host '172.16.1.31 (172.16.1.31)' can't be established. RSA key fingerprint is d8:50:de:b6:99:02:66:dd:e8:63:1a:31:1d:b2:60:dc. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '172.16.1.31' (RSA) to the list of known hosts. root@172.16.1.31's password: Now try logging into the machine, with "ssh 'root@172.16.1.31'", and check in:.ssh/authorized_keysto make sure we haven't added extra keys that you weren't expecting.翻译: 主机'172.16.1.31(172.16.1.31)'的真实性无法建立。 RSA密钥指纹是d8:50:de:b6:99:02:66:dd:e8:63:1a:31:1d:b2:60:dc。 你确定要继续连接吗(是/否)? 警告:将“172.16.1.31”(RSA)永久添加到已知主机列表中。 现在尝试使用“ssh'root@172.16.1.31'”登录到计算机,然后签入: .ssh/authorized_keys 以确保我们没有添加您不期望的额外密钥。[root@web01 .ssh]# ls id_dsaid_dsa.pubknown_hosts来自服务端的公钥rsa [root@web01 .ssh]# cat known_hosts 172.16.1.31 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEArCjSlfwBSCHM/V4jAI5rii8W5fu2/AW2oqpFbEg5IbpnI83vPhSpNZBJWBFYrZRPngTt2cTJixJbyBaa3Dg8MNLBH+rvMq5oOvRBLCwQ3wX0VDncUfTbg/GHDy+3gOX9+5YZQp7YRt9S8oKlIEZGyScnNCPJW2f9i6hvm5uIn3gQ+TLgbGnY42d06EOqfvBtf3HPBlGyWiTiDFxFegFOiL7wefdtJXMGvWC5Cm9/xU8TROxvh6SRi0vO4pPED3WJnXwPFHnRgrPfh4taoSt403+F23u9Hcy8+kYg+f/zXkbIWWt2S5P/ElTciYBmGeDzqjhK+kRrVYB/TiOuCThEHQ==进入服务端,查看rsa公钥,是否和上面显示的是否一致 [root@nfs01 ~]# cd /etc/ssh/ [root@nfs01 ssh]# cat ssh_host_rsa_key.pub ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEArCjSlfwBSCHM/V4jAI5rii8W5fu2/AW2oqpFbEg5IbpnI83vPhSpNZBJWBFYrZRPngTt2cTJixJbyBaa3Dg8MNLBH+rvMq5oOvRBLCwQ3wX0VDncUfTbg/GHDy+3gOX9+5YZQp7YRt9S8oKlIEZGyScnNCPJW2f9i6hvm5uIn3gQ+TLgbGnY42d06EOqfvBtf3HPBlGyWiTiDFxFegFOiL7wefdtJXMGvWC5Cm9/xU8TROxvh6SRi0vO4pPED3WJnXwPFHnRgrPfh4taoSt403+F23u9Hcy8+kYg+f/zXkbIWWt2S5P/ElTciYBmGeDzqjhK+kRrVYB/TiOuCThEHQ==
从上面可知,客户端分发公钥到服务端时,会接收到服务端的rsa公钥,并将此公钥保存到文件/root/.ssh/known_hosts中,通过查看服务端/etc/ssh/ssh_host_rsa_key.pub文件内容,确定内容一致。
在接收到服务端公钥之后,输入服务端密码,将客户端公钥信息发送到服务端/root/.ssh/authorized_keys文件中
此时,服务端拥有客户端的公钥和本机的私钥,客户端拥有服务的公钥和本机的私钥。
3)进行免密登陆测试[root@web01 .ssh]# ssh 'root@172.16.1.31' Last login: Mon Mar 12 11:46:28 2018 from web01 [root@nfs01 ~]#
免密登陆成功
第三步免密登陆连接过程讲解: 在执行此命令(ssh 'root@172.16.1.31')时,首先是客户端发起建立连接请求,请求使用密钥进行安全认证,并发送客户端的公钥信息到服务端,服务端接收到请求之后,首先根据请求连接的root用户,查找服务器端root用户家目录下事先保存的客户端的公钥,比较是否和请求连接时发送的公钥一致;如果两个密钥一致,服务器端就用客户端的公钥进行加密“质询”,并发送给客户端。
客户端在接收到“质询”之后,使用本机的私钥进行解密,再把解密结果,通过服务端的公钥进行加密,然后发送给服务端,服务端接收到客户端发送的结果之后,服务端使用本机私钥进行解密,验证质询,如果验证通过,建立连接。
客户端和服务端进行数据传输时,进行加密、解密的方式进行交流。
客户端拥有服务端的公钥; 服务端拥有客户端的公钥
客户端使用服务端的公钥进行数据的加密,对接收的服务端的数据使用本机私钥解密。
服务端使用客户端的公钥进行数据的加密,对接收的客户端的数据使用本机私钥解密。
私钥不能在网络中传输---私钥可以解密公钥
公钥可以在网络中传输---公钥不能解密私钥
注:本博客基于自己的理解所写,读者可根据自己的思路进行理解,如果此博文有错误,请告知,谢谢!
文章图片
【运维|ssh服务认证---基于密钥的认证过程讲解】转载于:https://my.oschina.net/u/3285916/blog/1633297
推荐阅读
- 推荐系统论文进阶|CTR预估 论文精读(十一)--Deep Interest Evolution Network(DIEN)
- Python专栏|数据分析的常规流程
- 云原生微服务技术趋势解读
- 韵达基于云原生的业务中台建设 | 实战派
- Python|Win10下 Python开发环境搭建(PyCharm + Anaconda) && 环境变量配置 && 常用工具安装配置
- Python绘制小红花
- Pytorch学习|sklearn-SVM 模型保存、交叉验证与网格搜索
- OpenCV|OpenCV-Python实战(18)——深度学习简介与入门示例
- python|8. 文件系统——文件的删除、移动、复制过程以及链接文件
- 运维|如何限制IP 通过 SSH连接服务器