PJCHENder 未整理筆記

[IS] 關於 SSH

2018-05-31

[IS] 關於 SSH

@(網路管理與資訊安全)[Information Security, devops]

TL;DR

登入 Github

1
2
3
$ ssh-keygen -o -a 100 -t ed25519 -C "your_email@example.com"  # 產生 SSH 金鑰
$ ssh-add -K ~/.ssh/id_ed25519 # 將 SSH 金鑰加到 ssh-agent
$ pbcopy < ~/.ssh/id_ed25519.pub # 複製 public key 並放到 github

登入主機

1
2
3
4
5
6
7
# 產生 SSH 金鑰
$ ssh-keygen -o -a 100 -t ed25519
$ chmod 400 my-key-pair.pem # 改變 private key 的權限

# 登入
$ ssh-add wavinfo.rsa # ssh-add <private_key>
$ ssh wavinfo@192.168.1.4 # 預設是 port 22

產生的金鑰會自動被存放在 ~/.ssh 資料夾中。

關於 SSH

SSH(遠端登入協定)是一項用來連接伺服器或網路設備,必且透過 CUI/GUI 來操控連線對象的通訊協定,同時也是該連線程式的名稱,必須搭配 TCP 使用,預設的連接埠為 Port 22

SSH 的特色在於處理作業採用加密機制,因此安全性高,可避免資料被竊取而外洩的情形。

操作流程是在自己的電腦先產生 SSH Key 並將它加到 ssh-agent 中,接著將產生的 SSH 產生的 public key 新增到 Github 的帳號內,接著就可以透過 SSH 與 Github 連線。

使用 SSH 登入

SSH 主要用於遠程登錄。假定你要以用戶名 user,登錄遠程主機 host,只要一條簡單命令就可以了:

1
2
3
4
5
6
7
8
# 先將公鑰和私鑰放到 ~/.ssh 資料夾內
$ ssh-add ~/.ssh/wavinfo_rsa

# 透過 ssh 登入遠程主機
# ssh <username>@<remote-host>
$ ssh wavinfo@192.168.1.4
$ ssh -p 2022 wavinfo@192.168.1.4 # 修改成 port 2022
$ ssh -i ~/.ssh/another_key wavinfo@192.168.1.4 # 使用其他 key 登入

登入後的流程可參考 SSH原理與運用(一):遠程登錄 @ 阮一峰的網絡日誌。

「當遠程主機的公鑰被接受以後,它就會被保存在文件 /$HOME/.ssh/known_hosts 之中。下次再連接這台主機,系統就會認出它的公鑰已經保存在本地了,從而跳過警告部分,直接提示輸入密碼。

每個 SSH 用戶都有自己的 known_hosts 文件,此外系統也有一個這樣的文件,通常是 /etc/ssh/ssh_known_hosts,保存一些對所有用戶都可信賴的遠程主機的公鑰。」 - SSH原理與運用(一):遠程登錄 @ 阮一峰的網絡日誌。

使用 SSH 金鑰登入

SSH 支援安全性更高的「公開金鑰認證」。使用時需要先於客戶端建立一對公開金鑰(Public Key)秘密金鑰(Private Key),並且先將公開金鑰儲存於目的端上(例如,Github 或伺服器主機)。連線時除了使用秘密金鑰外,亦可搭配**通行密語(pass-phrase)**更提升安全性。

檢查自己是否已有金鑰

在產生 SSH 金鑰時,可以檢查是否已有金鑰。金鑰檔會被存放在 ~/.ssh 資料夾中:

1
la -al ~/.ssh

如果有找到該資料夾且裡面已有檔案,表示已有金鑰,金鑰會分成公鑰(public)私鑰(private),檔案名稱會像這樣:

1
2
3
4
5
6
# ed25519 和 rsa 指的是加密方式
# .pub 表示是公鑰
id_ed25519
id_ed25519.pub
id_rsa
id_rsa.pub

產生 SSH 金鑰(Generate SSH Key)

透過 ssh-keygen 可以產生 SSH 金鑰:

1
2
3
# 產生 ed255519(優) 或 rsa4096(佳)
$ ssh-keygen -o -a 100 -t ed25519
$ ssh-keygen -t rsa -b 4096 -C "your_email@example.com"

如果有需要的話,也可以在為金鑰添加 passphrase,類似多一組密碼,每次使用時都要再輸入此 passphrase。

將 SSH 金鑰加到 ssh-agent(ssh-add)

透過 ssh-add 指令可以加 ssh 金鑰加到 ssh-agent,加到 ssh-agent 的好處是不用每次 push 或 pull 時都要打 passphrase:

1
2
3
4
5
# 在背景啟動 ssh-agent
$ eval "$(ssh-agent -s)"

# (或者)每次開啟 terminal 時將 SSH 金鑰加到 ssh-agent
$ ssh-add id_rsa

使用 MAC KeyChain 紀錄

如果不想每次開啟 Terminal 都要將 SSH 金鑰加到 ssh-agent ,可以透過 MAC 的 key chain 紀錄:

1
2
3
4
5
# ~/.ssh/config
Host *
AddKeysToAgent yes
UseKeychain yes
IdentityFile ~/.ssh/id_rsa

接著將利用 -K 加到 MAC keychain:

1
$ ssh-add -K ~/.ssh/id_rsa

將 SSH 公鑰加到服務

將 SSH 公鑰上傳到 Github

利用 pbcopy 將公鑰複製到剪貼簿:

1
2
3
# Copies the contents of the id_rsa.pub file to your clipboard
$ pbcopy < ~/.ssh/id_rsa.pub
# $ cat ~/.ssh/id_rsa.pub | pbcopy # 這樣也可以

在服務網站的位置(例如 Github)點選 SSH and GPG keys > New SSH key/Add SSH key

將 SSH 公鑰加到遠端主機

使用 ssh-copy-id 這個 helper 指令,可以幫助我們把 SSH 的公鑰複製一份到遠端主機上:

1
2
# ssh-copy-id <username>@<remote-host>
$ ssh-copy-id root@192.168.1.4

使用 ssh-copy-id 指令時,很有可能需要輸入遠端主機的密碼。

實際上 ssh-copy-id 做的事情如下:

1
2
3
$ ssh wavinfo@192.168.1.4    # 登入遠端主機
$ cd ~/.ssh # 進入 .ssh 資料夾
$ vim authorized_keys # 允許的 keys 會被存放在 `authorized_keys` 這隻檔案

大家的公鑰都會被放在 ~/.ssh/authorized_key 這支檔案中。

1
2
3
4
5
# ~/.ssh/authorized_key
ssh-ed25519 AAAAC... calvert
ssh-rsa AAAAB3...w== Calvert_for_mongodb
ssh-rsa AAAAB3...Q+7 Andy
ssh-rsa AAAAB3...eprEQ== Aaron

其他

管理 SSH passphrase

你可以保護你的 SSH Keys 並設定 authentication agent (ssh-agent),所以就不需要在每次使用 SSH Keys 的時候都要輸入 passphrase。

新增或編輯 passphrase

1
2
# Start the SSH key creation process
$ ssh-keygen -p

設定 SSH Config

在自己的電腦上,如果經常有登入 SSH 的需要,可以建立一支 ~/.ssh/config 檔:

1
2
3
4
5
6
# ~/.ssh/config
Host wavinfo
HostName 192.168.1.4
User root
IdentityFile ~/.ssh/id_rsa
Port 22

如此可以用 wavinfo 這個 alias 便可以連進指定的主機

1
$ ssh wavinfo

將檔案在本機和遠端主機間複製 scp

keywords: scp

複製檔案

透過 scp 這個指令可以將本機的檔案複製到遠端主機上:

1
2
3
4
5
6
# scp <file> <username>@<hostname>:<path>
$ echo > foo.text
$ scp foo.text wavinfo@192.168.1.4:~/ # 從本機複製到遠端主機根目錄
$ scp wavinfo@192.168.1.4:~/foo.text ./foo.text # 從遠端主機複製到本機

$ scp -i ~/.ssh/another_key -p 2002 foo.text wavinfo@192.168.1.4:~/ # 指定 identity 和 port

複製資料夾

搭配 -r 可以複製整個資料夾:

1
2
3
$ mkdir foo
$ echo bar > foo/bar.text
$ scp -r foo wavinfo@192.168.1.7:~/

本機的 known_host 和遠端主機上的 fingerprints

在本機的 ~/.ssh/known_hosts 檔案中,記錄了所有過去曾經透過 SSH 連結到的遠端主機。ㄉ

如果想要知道遠端主機的 fingerprints 可以先透過 SSH 連進遠端主機後,輸入:

1
2
3
# 先連進遠端主機後輸入
$ ssh wavinfo@192.168.1.4
$ ssh-keygen -l -f /etc/ssh/ssh_hosts_ecdsa_key.pub

如果想要清楚本機連線到某一遠端主機的紀錄,可以輸入:

1
$ ssh-keygen -R 192.168.1.4

檢視遠端主機上的 log 檔

主機上登入記錄的 log 檔位於 /var/log/auth.log

1
2
$ ssh wavinfo@192.168.1.4
$ vim /var/log/auth.log

或者可以輸入指令 lastlog

1
2
$ lastlog    # 檢視主機上最近的登入紀錄
$ lastlog -u <username> # 檢視某一使用者最近的登入紀錄

設定遠端電腦上的 SSH 配置

遠端電腦上關於 SSH 的配置通常放在 /etc/ssh/sshd_config 這隻檔案內。

1
2
$ vim /etc/ssh/sshd_config  # 修改配置檔
$ service ssh restart # 重新載入 ssh

Public Key

在 Public Key 內容的最後,「空格」後的內容可以視為註解,因此可以隨意修改:

1
ssh-rsa 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 pjchender@gmail.com

資料來源

掃描二維條碼,分享此文章