authorized_keys文件详解：SSH免密登录原理与配置 – wiki基地

authorized_keys文件详解：SSH免密登录原理与配置

SSH（Secure Shell）是一种广泛使用的网络协议，用于安全地访问远程计算机。虽然每次都输入密码进行SSH登录是可靠的，但在频繁访问远程服务器时，这种方式会变得繁琐。这时，SSH免密登录就显得非常实用。免密登录通过使用公钥加密技术，允许用户无需输入密码即可安全地登录到远程服务器。而authorized_keys文件则是实现SSH免密登录的核心。本文将深入探讨authorized_keys文件的作用、工作原理、配置方法以及安全注意事项，帮助你更好地理解和使用SSH免密登录。

一、SSH免密登录的原理

SSH免密登录的核心是公钥加密技术。它基于两个密钥：公钥和私钥。

1. 密钥对生成： 首先，用户在本地机器上生成一对密钥，一个公钥和一个私钥。私钥必须严格保密，任何持有私钥的人都可以以你的身份登录。公钥则可以自由地分发。

2. 公钥上传： 将公钥复制到远程服务器上的authorized_keys文件中。通常，这个文件位于远程用户的~/.ssh/目录下。如果该目录不存在，需要手动创建。

3. SSH登录过程： 当用户尝试通过SSH登录到远程服务器时，SSH客户端会使用私钥与服务器进行身份验证。具体过程如下：

4. 客户端发起连接： SSH客户端发起与服务器的连接请求。

5. 服务器发送挑战： 服务器接收到连接请求后，会在客户端的authorized_keys文件中查找与客户端公钥匹配的条目。如果找到匹配的公钥，服务器会生成一个随机数，并使用客户端的公钥对其进行加密。
6. 客户端解密挑战： 加密后的随机数被发送回客户端。客户端使用自己的私钥解密该随机数。
7. 客户端发送响应： 客户端将解密后的随机数（即原始的随机数）发送回服务器。
8. 服务器验证： 服务器验证客户端发送的随机数是否与其之前生成的随机数一致。如果一致，则验证通过，允许客户端免密码登录。

简单来说，免密登录的原理就是服务器使用客户端提供的公钥加密一个信息，然后客户端使用自己的私钥解密该信息，并将解密后的结果返回给服务器。如果服务器验证结果正确，则认为客户端持有与公钥对应的私钥，从而验证了客户端的身份。

二、authorized_keys文件的作用和位置

authorized_keys文件是存储公钥的关键文件，它位于远程用户的~/.ssh/目录下。

• 作用： authorized_keys文件存储了所有允许通过公钥认证登录到该用户的公钥。每一行包含一个公钥条目，允许相应的私钥持有者免密码登录。

• 位置： 通常位于远程用户的主目录下的.ssh目录中，即~/.ssh/authorized_keys。 如果.ssh目录不存在，则需要手动创建，并确保其权限正确。

• 权限： .ssh目录的权限必须是700（drwx------），authorized_keys文件的权限必须是600（-rw-------）。 这些权限设置至关重要，因为不安全的权限设置可能会导致SSH登录失败甚至安全漏洞。

三、authorized_keys文件的格式

authorized_keys文件的每一行都代表一个公钥条目，其基本格式如下：

<options> <key_type> <public_key> <comment>

其中：

• <options> (可选): 指定公钥的各种选项，可以限制该公钥的使用方式，增强安全性。 多个选项之间用逗号分隔。

• <key_type>: 指定公钥的类型，常见的类型包括 ssh-rsa, ssh-dss, ecdsa-sha2-nistp256, ecdsa-sha2-nistp384, ecdsa-sha2-nistp521, ssh-ed25519。

• <public_key>: 实际的公钥内容，通常是一长串字符。

• <comment> (可选): 注释信息，用于标识该公钥，方便管理。

示例：

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC7V... user@localmachine

这条记录表示一个ssh-rsa类型的公钥，其公钥内容是AAAAB3NzaC1yc2EAAAADAQABAAABAQC7V...，注释是user@localmachine。 当本地用户（拥有对应私钥）尝试登录时，服务器会使用该公钥进行验证。

四、authorized_keys文件中常用的选项

authorized_keys文件中的选项可以进一步限制公钥的使用，提高安全性。以下是一些常用的选项：

• command="<command>": 限制该公钥只能执行指定的命令。 当用户使用该公钥登录时，不会启动shell，而是直接执行指定的命令。 这对于限制用户权限非常有用。

command="/usr/bin/uptime" ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC7V... user@localmachine

在这个例子中，用户使用该公钥登录后，只会执行uptime命令，而不能执行其他命令。

• from="<pattern>": 限制该公钥只能从指定的IP地址或域名登录。 可以指定多个IP地址或域名，用逗号分隔。

from="192.168.1.10,example.com" ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC7V... user@localmachine

在这个例子中，只有从IP地址192.168.1.10或域名example.com登录的用户才能使用该公钥。

• no-port-forwarding: 禁止端口转发。 防止用户通过该公钥建立SSH隧道进行端口转发。

no-port-forwarding ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC7V... user@localmachine

• no-X11-forwarding: 禁止X11转发。 防止用户通过该公钥进行X11转发。

no-X11-forwarding ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC7V... user@localmachine

• no-agent-forwarding: 禁止agent转发。 防止用户通过该公钥进行SSH agent转发，避免私钥泄露的风险。

no-agent-forwarding ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC7V... user@localmachine

• permitopen="<host:port>": 允许端口转发到指定的host:port。 这个选项可以与no-port-forwarding配合使用，实现更精细的端口转发控制。

no-port-forwarding,permitopen="localhost:8080" ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC7V... user@localmachine

在这个例子中，禁止了所有的端口转发，但是允许转发到localhost:8080。

• principals="<username>": 限制该公钥只能以指定的用户身份登录。 可以指定多个用户名，用逗号分隔。

principals="user1,user2" ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC7V... user@localmachine

在这个例子中，只有以user1或user2身份登录的用户才能使用该公钥。

五、配置SSH免密登录的步骤

配置SSH免密登录的步骤如下：

1. 生成密钥对： 在本地机器上打开终端，使用ssh-keygen命令生成密钥对。

bash
ssh-keygen -t rsa -b 4096

• -t rsa 指定密钥类型为RSA。
• -b 4096 指定密钥长度为4096位，长度越长安全性越高，但同时也会增加计算开销。

执行命令后，会提示你输入密钥保存的位置和密码（Passphrase）。 如果不想设置密码，直接回车即可。 建议设置一个强密码保护你的私钥。

生成成功后，会在~/.ssh/目录下生成两个文件：id_rsa（私钥）和id_rsa.pub（公钥）。

1. 上传公钥到远程服务器： 将公钥id_rsa.pub的内容复制到远程服务器的~/.ssh/authorized_keys文件中。 有多种方法可以实现这个步骤：

2. 使用ssh-copy-id命令 (推荐):

   bash
ssh-copy-id user@remote_host

   这个命令会自动将公钥复制到远程服务器的authorized_keys文件中，并设置正确的权限。 如果远程服务器端口不是默认的22端口，可以使用-p选项指定端口：

   bash
ssh-copy-id -p 2222 user@remote_host

3. 手动复制公钥：

   • 首先，使用cat ~/.ssh/id_rsa.pub命令查看公钥的内容。
   • 然后，通过SSH登录到远程服务器。
   • 创建.ssh目录（如果不存在）： mkdir -p ~/.ssh
   • 设置.ssh目录的权限： chmod 700 ~/.ssh
   • 使用文本编辑器（如vi或nano）打开~/.ssh/authorized_keys文件（如果不存在，则创建）。
   • 将复制的公钥内容粘贴到authorized_keys文件中。
   • 保存并关闭authorized_keys文件。
   • 设置authorized_keys文件的权限： chmod 600 ~/.ssh/authorized_keys

4. 测试免密登录： 完成公钥上传后，尝试使用SSH登录到远程服务器，看看是否需要输入密码。

bash
ssh user@remote_host

如果配置正确，你应该可以直接登录，而无需输入密码。

六、安全注意事项

虽然SSH免密登录非常方便，但也需要注意安全性：

• 保护你的私钥： 私钥是免密登录的核心，必须严格保密。 不要将私钥泄露给任何人。 建议设置一个强密码保护你的私钥。

• 设置authorized_keys文件的权限： authorized_keys文件的权限必须是600，确保只有用户本人才能读取和修改该文件。

• 使用authorized_keys文件中的选项： 使用authorized_keys文件中的选项可以进一步限制公钥的使用，提高安全性。 例如，可以使用from选项限制公钥只能从指定的IP地址登录，或者使用command选项限制公钥只能执行指定的命令。

• 定期更换密钥： 定期更换密钥可以降低密钥泄露带来的风险。

• 禁用密码登录： 在配置好免密登录后，可以考虑禁用密码登录，进一步提高安全性。 可以通过修改SSH服务器的配置文件 /etc/ssh/sshd_config 来禁用密码登录。 找到PasswordAuthentication选项，将其设置为no。 然后，重启SSH服务。

PasswordAuthentication no

注意： 在禁用密码登录之前，务必确保你可以使用免密登录成功登录到服务器，否则可能会导致无法登录。

• 使用双因素认证 (2FA): 为了更高的安全性，可以考虑在SSH登录中使用双因素认证。 这将需要除了密钥之外的另一种身份验证方式，例如手机上的验证码。

七、总结

authorized_keys文件是SSH免密登录的关键组成部分，理解其作用、格式和选项对于配置安全可靠的免密登录至关重要。通过本文的详细介绍，你应该能够更好地理解SSH免密登录的原理，并正确配置authorized_keys文件，实现方便快捷且安全的SSH登录。 同时，也要牢记安全注意事项，保护你的私钥，设置正确的权限，并合理使用authorized_keys文件中的选项，以最大限度地降低安全风险。 记住，安全始终是第一位的，在追求便利的同时，也要时刻关注安全性。