深入理解 SSH authorizedkeys：密钥认证与访问控制 – wiki基地

深入理解 SSH authorized_keys：密钥认证与访问控制

SSH (Secure Shell) 是远程管理服务器的基石，它提供了一种加密的安全通信协议。在 SSH 的众多安全机制中，authorized_keys 文件扮演着至关重要的角色，它不仅实现了高效的密钥认证，更是进行精细访问控制的核心工具。深入理解 authorized_keys 的原理、配置及其中的控制选项，对于构建和维护安全的远程访问环境至关重要。

1. authorized_keys 概览

authorized_keys 文件是一个纯文本文件，通常位于用户主目录下的 .ssh/ 隐藏目录中（例如，~/.ssh/authorized_keys）。它包含了被授权可以登录到该用户账户的所有公共 SSH 密钥。当客户端尝试通过 SSH 连接时，服务器会查找此文件，以验证客户端提供的私钥是否与文件中的某个公共密钥匹配，从而允许用户无需密码即可安全登录。

2. SSH 密钥认证的工作原理

SSH 密钥认证基于公钥加密的原理，涉及一对相互关联的密钥：

• 密钥对生成: 用户在其本地机器上生成一个密钥对，包含一个私钥（例如 id_rsa）和一个公钥（例如 id_rsa.pub）。私钥必须严格保密，并建议使用密码短语加密保护；公钥则可以公开分发。
• 公钥部署: 将生成的公钥内容添加到远程服务器上目标用户账户的 ~/.ssh/authorized_keys 文件中。每一行代表一个独立的公钥。
• 认证过程:
  1. 客户端发起 SSH 连接请求。
  2. 服务器向客户端发送一个随机生成的挑战字符串。
  3. 客户端使用其本地私钥对这个挑战字符串进行数字签名。
  4. 客户端将签名后的结果发送回服务器。
  5. 服务器使用 authorized_keys 文件中存储的公共密钥来验证此签名的有效性。
  6. 如果签名验证成功，则表明客户端拥有与服务器公共密钥匹配的私钥，认证通过，用户无需密码即可登录。

这种认证方式相比传统的密码认证更加安全，因为它避免了密码在网络传输中被截获的风险，并且大大降低了暴力破解攻击的可能性。

3. 文件位置与严格的权限要求

authorized_keys 文件及其所在目录的权限设置至关重要，任何不当的权限都将导致认证失败：

• 用户主目录 (~): 建议权限为 755 或更严格，但绝不能允许组或其他用户拥有写入权限。
• .ssh 目录 (~/.ssh): 权限必须严格设置为 700 (即只有文件所有者拥有读、写、执行权限)。
• authorized_keys 文件 (~/.ssh/authorized_keys): 权限必须严格设置为 600 (即只有文件所有者拥有读、写权限)。

这些严格的权限要求是为了防止恶意用户篡改此文件，从而窃取或伪造合法用户的 SSH 访问权限。

4. authorized_keys 中的访问控制选项

authorized_keys 文件的强大之处在于，可以在每个公共密钥前面添加一系列选项，从而对该密钥的访问行为进行细粒度控制。这些选项为管理远程访问提供了极大的灵活性和安全性。

以下是一些常用的访问控制选项：

• command="your_command":
  • 当通过此密钥认证成功后，无论用户尝试执行什么命令，服务器都只会强制执行 your_command。
  • 常用于自动化脚本、SFTP 文件传输或限制特定用户只能执行预设任务，极大增强安全性。
  • 示例：command="/usr/bin/rrsync -ro /var/www/html" ssh-rsa AAAAB...
• from="pattern-list":
  • 限制此密钥只能被来自指定主机或 IP 地址列表的连接使用。pattern-list 是逗号分隔的模式，支持通配符（*, ?）。
  • 示例：from="*.example.com,192.168.1.0/24" ssh-rsa AAAAB...
• no-port-forwarding: 禁用该密钥的端口转发功能，防止用户通过 SSH 隧道绕过防火墙或访问内部网络。
• no-X11-forwarding: 禁用 X11 转发，阻止远程图形应用程序的显示。
• no-agent-forwarding: 禁用 SSH 代理转发，防止从中间服务器使用本地私钥进行二次认证。
• no-pty: 禁用伪终端分配，这意味着用户将无法获得交互式 shell，只能执行非交互式命令。
• restrict: 这是一个综合选项，等同于 no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty，提供了最严格的限制，常与 command 结合使用。
• environment="NAME=value": 在会话开始时设置一个环境变量。需要服务器端 sshd_config 中的 PermitUserEnvironment yes 生效。
• principals="name-list": 用于 OpenSSH 证书认证，指定允许使用此密钥进行认证的主体名称列表。

5. 最佳实践

为了最大限度地利用 authorized_keys 的安全性并简化管理，请遵循以下最佳实践：

1. 使用强密钥和密码短语: 生成至少 2048 位 RSA 密钥或使用 Ed25519 等更强的算法，并始终为私钥设置一个复杂且唯一的密码短语。
2. 严格控制密钥权限: 确保 ~/.ssh 目录和 authorized_keys 文件的权限正确设置（700 和 600）。
3. 遵循最小权限原则: 尽可能利用 command、from、restrict 等选项，根据实际需求限制每个密钥的权限范围。对于自动化任务，强制执行特定命令是最佳实践。
4. 禁用密码认证: 在 /etc/ssh/sshd_config 中设置 PasswordAuthentication no，强制所有用户使用更安全的密钥认证。
5. 定期审查与轮换密钥: 定期检查 authorized_keys 文件，移除不再使用的公共密钥。当密钥可能泄露时，应立即生成新密钥并撤销旧密钥。
6. 监控 SSH 日志: 启用并定期检查 SSH 日志，以便及时发现和响应任何可疑的连接尝试或活动。
7. 考虑多因素认证 (MFA): 对于高安全要求的系统，可以结合 SSH 密钥认证和多因素认证（如 Google Authenticator）来提供额外的安全层。

结论

authorized_keys 文件是 SSH 密钥认证和访问控制的核心。通过理解其工作原理、严格管理文件权限以及灵活运用各种访问控制选项，系统管理员可以构建一个既安全又高效的远程访问环境，从而有效保护服务器资源免受未经授权的访问。