服务器SSHPublicKey认证指南预览.docVIP

服务器SSH认证指南 一. 引言 1 1. 编写目的 1 2. 编写背景 1 二. Public Key认证简介 2 1. Public Key认证基本原理 2 2. Public Key认证相对于其它SSH认证的优点 2 三. Public Key认证的设置 4 1. Key Pair的生成 4 1.1 在Windows客户端生成Key Pair 4 1.2 在Unix/Linux系统生成Key Pair 9 2. 部署Key Pair 9 2.1 对已有帐号部署（或更换）Key Pair 9 2.2 新添帐号并部署Key Pair 10 3. 使用Key Pair连接服务器 11 4. 修改Private Key的保护口令（即Passphrase） 12 四. SSH其它 13 五. 参考文献 14 引言 编写目的 本文档是为了在公司推行采用钥认证方式登录服务器而写的，详细介绍了实现服务器认证的各个步骤，目的是让公司员工通过认证更加、易用、安全地服务器。 编写背景 目前公司里服务器登录采用的认证方式在不同部门间各有不同，而不同的认证方式各有优缺点为了更安全地登录服务器，更好规范管理服务器帐号，我们推荐认证方式登录服务器，本指南以OpenSSH为例，OpenSSH是开源软件，在我们公司服务器上广泛应用。 认证简介 认证基本原理 （非对称，asymmetric）认证使用一对相关联的Key Pair（一个公钥Public Key，一个私钥Private Key）来代替传统的密码（或我们常说的口令，Password）。顾名思义，是用来公开的，可以将其放到SSH服务器自己的帐号中，而只能由自己保管，用来证明自己身份。 使用加密过的数据只有用与之相对应的才能解密。这样在认证的过程中，拥有者便可以通过加密一些东西发送给对应的拥有者，如果在通信的双方都拥有对方的（自己的只由自己保管），那么就可以通过这对Key Pair来安全地交换信息，从而实现相互认证。在使用中，我们把自己的放在通过安全渠道放到服务器上，自己保管（用一个口令把加密后存放），而服务器的一般会在第一次登录服务器的时候存放到本地客户端（严格地说来服务器的也应该通过安全渠道放到本地客户端，以防止别人用他自己的来欺骗登录）。 认证相对于其它SSH认证的优点 在众多SSH登录认证中，传统的单口令（Password）认证用得比较多，所以在这里我们主要对比一下SSH认证中的口令（Password）认证和认证的区别。 a. 基于主机IP（rhost）的认证：对于某个主机（IP）信任并让之登录，这种认证容易受到IP欺骗攻击。 b. Kerberos认证：一个大型的基于域的认证，这种认证安全性高，但是太大太复杂不方便部署。 c. PAM认证：类似于传统的密码认证，是绝大多数Unix/Linux系统自带的一个认证和记帐的模块，它的功能比较复杂，配置起来比较麻烦而且，容易由于配置失误而引起安全问题。 d. 传统的Unix/Linux口令（或密码Password）认证：在客户端直接输入帐号密码，然后让SSH加密传输到服务器端验证。这种认证方式有着如下明显的缺点： 1）为了确保密码安全，密码必须很长很复杂，但是这样的密码很难记忆； 2）对于自己所拥有的每个帐号，为了安全，不同的帐号都要设置不同的密码，管理起来很不方便； 3） 对于默认帐号，默认密码，例如装机时用的帐号，如果一时疏忽没有改密码，被其它不怀好意的人扫描到帐号和密码，可能会造成安全漏洞； 4） 如果远程主机已经被攻击，即使使用SSH安全通道进行保护，在网络上发送的密码在到达远程主机时也可能被截获； 5）对于每个帐号的修改都要人工登录（为了安全，不能把Password放到脚本里），随着服务器数量增多，这项工作会变得十分烦琐。 幸运的是，SSH提供的认证解决了这些问题： 1）放在服务器上，通过用口令（Passphrase自己设定的任意口令，而非传统的Password）加密后放在自己客户端上，只有解密后的才能登录服务器，这样便提供了两层保护，比Password安全，因为只有加密过的文件和的解密口令（Passphrase）同时被其它人获得才会丢失帐号。 2）认证避免了简单密码和默认帐号被扫描到的危险，一切的安全都放在客户端的保密上，充分体现了帐号拥有者的责任感。 3）SSH认证的设置和登录非常简单，只需要自己安全地生成一对Key Pair，便可以登录任意数量的服务器（当然，首先必须要管理员给你的帐号安装你的），而且SSH协议里的代理（Agent）功能能让缓存在内存中，每次打开客户端只需输入一次解密的口令，便能使用代理自动登录这个控制的所有服务器。 4）帐号的管理也十分安全和方便，因为认证过程中不需要把Password写在