免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 11508 | 回复: 7
打印 上一主题 下一主题

[网络配置] centos7中的ssh问题 [复制链接]

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2015-03-24 23:46 |只看该作者 |倒序浏览
Hi all,最近开始学习,遇见问题来请教。
centos7.0.1406。。ssh现在运行正常,但是有几个具体的问题想弄明白一下。
1.百度里看到好多都说有个known_hosts文件,我没找到,是版本关系现在没有了么?还是说换了名字?
2.我在windows用secure CRT连ssh,第一次登陆时会有如下提示
  图中的md5应该是centos发给windows的RSA公钥指纹吧,但是我在/etc/ssh/下的ssh_host_rsa_key.pub这个文件的md5根本不是这串,windows中CRT保存的centos的公钥文件的md5也不是这串,所以我就迷糊了,这是谁的指纹?
3.我尝试用RSA秘钥登陆,这样就不用密码了。经过测试,普通用户可以,但是root不行,已经修改了sshd_config文件中关于root的限制,root用密码是可以的,但是用秘钥就是不行,请教可能是什么原因?防火墙已关
4.这个问题是最关键的,按照我之前的理解,ssh应该是对称非对称同时使用的,非对称加密秘钥,对称加密数据。但是百度到几个blog都说是对称加密。所以我想确认一下,这个和每个发行版本有关么?比如我的是openssh。。。如果有比较权威的ssh原理的连接,还望不吝共享一下,想深入研究一下这个过程。


先谢谢了。~~~

论坛徽章:
0
2 [报告]
发表于 2015-03-25 00:14 |只看该作者

1. 百度里看到好多都说有个known_hosts文件,我没找到,是版本关系现在没有了么?还是说换了名字?


一般說 known_hosts 是說 ~/.ssh/known_hosts,一般是說 client 端是 linux 或是 unix-based 等系統。你是使用 windows 的軟件所以就看對方怎麼記錄的

2. 我在windows用secure CRT连ssh,第一次登陆时会有如下提示图中的md5应该是centos发给windows的RSA公钥指纹吧,但是我在/etc/ssh/下的ssh_host_rsa_key.pub这个文件的md5根本不同


先看一下我自己的 server 本身提供 RSA public key 內的 fingerprint 資訊

  1. Linux:kendlee@~> ssh-keygen -lf /etc/ssh/ssh_host_rsa_key.pub
  2. 2048 51:47:05:b9:c9:80:fc:42:b1:50:5d:de:c8:f0:63:7c   (RSA)
复制代码
對照連現畫面可以確認

  1. Linux:kendlee@~> ssh localhost
  2. The authenticity of host 'localhost (::1)' can't be established.
  3. RSA key fingerprint is 51:47:05:b9:c9:80:fc:42:b1:50:5d:de:c8:f0:63:7c.
  4. Are you sure you want to continue connecting (yes/no)? ^C
复制代码
所以看起來我的畫面應該是沒問題的

3. 我尝试用RSA秘钥登陆,这样就不用密码了。经过测试,普通用户可以,但是root不行,已经修改了sshd_config文件中关于root的限制,root用密码是可以的,但是用秘钥就是不行,请教可能是什么原因?防火墙已关


應該沒這問題才對。確認一下:

1) /root 目錄本身 owner/group 都要是 root, 權限為 700
2) /root/.ssh 目錄本身 owner/group 都要是 root, 權限為 700

另外你可以在自己 linux server 本身新增一個帳號先用 ssh-keygen -t rsa 建立必要的 ~/.ssh/id_rsa , ~/.ssh/id_rsa.pub,後續使用 ssh-copy-id 透過該軟件幫你複製產生必要的驗證資訊後登陸看看。

$ ssh-keygen -t rsa
$ ssh-copy-id -i ~/.ssh/id_rsa.pub  root@localhost

ssh-copy-id 會幫你複製好必要檔案到遠端 root 用戶的 ~/.ssh/authorized_keys ,你後續用 ssh root@localhost 登陸看看。

另外使用 ssh -v root@localhost 可以看看除錯的信息也許有幫助。最後建議請查看 /var/log/secure 查看驗證登陸失敗原因

4.这个问题是最关键的,按照我之前的理解,ssh应该是对称非对称同时使用的,非对称加密秘钥,对称加密数据。但是百度到几个blog都说是对称加密。所以我想确认一下,这个和每个发行版本有关么?比如我的是openssh。。。如果有比较权威的ssh原理的连接,还望不吝共享一下,想深入研究一下这个过程。


可能要看一下 The Secure Shell (SSH) Transport Layer Protocol 本身 RFC 文件比較好確認您的問題

论坛徽章:
18
处女座
日期:2014-11-13 15:52:322015亚冠之胡齐斯坦钢铁
日期:2015-08-14 16:09:082015亚冠之北京国安
日期:2015-06-02 18:41:152015亚冠之广州恒大
日期:2015-06-02 18:41:15NBA常规赛纪念章
日期:2015-05-04 22:32:032015年亚洲杯之中国
日期:2015-04-01 16:38:392015小元宵徽章
日期:2015-03-06 15:58:182015年亚洲杯之阿联酋
日期:2015-03-06 09:33:432015年辞旧岁徽章
日期:2015-03-04 13:32:472015年迎新春徽章
日期:2015-03-04 10:01:44拜羊年徽章
日期:2015-03-03 16:15:43洛杉矶快船
日期:2015-03-02 16:05:34
3 [报告]
发表于 2015-03-25 12:12 |只看该作者
我一般都除掉那个取消之外的2个随便点一个。。

论坛徽章:
0
4 [报告]
发表于 2015-03-25 13:35 |只看该作者
恩我平时使用的话也是这样,这次是想了解一下具体过程。~回复 3# cu_shell


   

论坛徽章:
0
5 [报告]
发表于 2015-03-25 13:39 |只看该作者
1.我在Windows中找到了相关文件了
2.正在测试
3.今天删除root 相关的RSA文件,然后重新做了一遍,竟然就可以了。。。
4.这个我会去看看~


总之谢啦~goodluck~回复 2# kenduest


   

论坛徽章:
17
巨蟹座
日期:2014-11-20 23:04:5215-16赛季CBA联赛之北控
日期:2018-08-01 16:08:4015-16赛季CBA联赛之浙江
日期:2017-12-08 11:25:2415-16赛季CBA联赛之四川
日期:2016-11-21 00:16:50操作系统版块每日发帖之星
日期:2016-07-28 06:20:0015-16赛季CBA联赛之吉林
日期:2016-05-25 15:36:04操作系统版块每日发帖之星
日期:2016-02-12 06:20:002015亚冠之西悉尼流浪者
日期:2015-08-28 14:48:322015亚冠之平阳省
日期:2015-08-19 14:54:162015亚冠之武里南联
日期:2015-07-07 10:49:112015亚冠之城南
日期:2015-06-22 10:15:002015亚冠之山东鲁能
日期:2015-06-18 18:03:44
6 [报告]
发表于 2015-03-25 15:17 |只看该作者
1:这个文件是你centos作为客户端连接其他ssh服务器时如果保存指纹的话保存的地方
2:这个是主机指纹,如果只是正常连接,却突然指纹没记录,那就可能是中间人攻击
3:用key登录,每个用户必须使用自己单独的密钥文件,保存在自己用户目录的.ssh的文件夹下。哪怕密钥是一样,也必须单独存放
4:一般不会用非对称加密来加密通信过程,因为非对称加密更麻烦,效率更低。通常都是利用非对称加密来传输经典加密算法的密钥,然后用经典加密算法比如说aes或3des做实际通信的加密工作。

论坛徽章:
0
7 [报告]
发表于 2015-03-25 15:43 |只看该作者
RSA文件  是存用户密码的文件吧!

求职 : Linux运维
论坛徽章:
203
拜羊年徽章
日期:2015-03-03 16:15:432015年辞旧岁徽章
日期:2015-03-03 16:54:152015年迎新春徽章
日期:2015-03-04 09:57:092015小元宵徽章
日期:2015-03-06 15:58:182015年亚洲杯之约旦
日期:2015-04-05 20:08:292015年亚洲杯之澳大利亚
日期:2015-04-09 09:25:552015年亚洲杯之约旦
日期:2015-04-10 17:34:102015年亚洲杯之巴勒斯坦
日期:2015-04-10 17:35:342015年亚洲杯之日本
日期:2015-04-16 16:28:552015年亚洲杯纪念徽章
日期:2015-04-27 23:29:17操作系统版块每日发帖之星
日期:2015-06-06 22:20:00操作系统版块每日发帖之星
日期:2015-06-09 22:20:00
8 [报告]
发表于 2015-03-25 16:00 |只看该作者
但是我在/etc/ssh/下的ssh_host_rsa_key.pub这个文件的md5根本不是这串
你需要在/root目录下建立 .ssh目录,而不是/home下


selinux关了没
《urlblog.chinaunix.net/uid-21288388-id-4881582.htmlurl》
我这里有一个很详细的步骤
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP