服務器SSH Public Key認證指南

網(wǎng)易 NetEase 服務器SSH Public Key認證指南 一. 引言 1 1. 編寫目的 1 2. 編寫背景 1 二. Public Key 認證簡介 2 1. Public Key 認證基本原理 2 2. Public Key 認證相對于其它 SSH 認證的優(yōu)點 2 三. Public Key 認證的設置 4 1. Key Pair 的生成 4 1.1 在 Windows 客戶端生成 Key Pair 4 1.2 在 Unix/Linux 系統(tǒng)生成 Key Pair 9 2. 部署 Key Pair 9 2.1 對已有帳號部署（或更換）Key Pair 9 2.2 新添帳號并部署 Key Pair 10 3. 使用Key Pair連接服務器 11 4. 修改 Private Key 的保護口令（即 Passphrase） 12 四. SSH 其它 1 3 五. 參考文獻 1 4 引言 1. 編寫目的 本文檔是為了在公司推行采用密鑰認證方式登錄服務器而寫的，詳細介紹了實現(xiàn)服務器 Public Key認證的各個步驟，目的是讓公司員工通過Public key認證更加方便、易用、 安全地管理服務器。 2. 編寫背景 目前公司里服務器登錄采用的認證方式在不同部門間各有不同，而不同的認證方式各有 優(yōu)缺點。為了更安全地登錄服務器，更好地規(guī)范管理服務器帳號，我們推薦 Public Key 認證方式登錄服務器，本指南以 OpenSSH 為例， OpenSSH 是開源軟件，在我們公司服務 器上廣泛應用。 網(wǎng)易NET3合E w ww ■ 1~6 3 am _ _ 網(wǎng)^管理部 二.Public Key認證簡介 1. Public Key 認證基本原理 Public Key（非對稱，asymmetric）認證使用一對相關聯(lián)的Key Pair （一個公 鑰Public Key, 一個私鑰Private Key）來代替?zhèn)鹘y(tǒng)的密碼（或我們常說的口令， Password）。顧名思義，Public Key是用來公開的，可以將其放到SSH服務器自己的帳 號中，而 Private Key 只能由自己保管，用來證明自己身份。 使用Public Key加密過的數(shù)據(jù)只有用與之相對應的Private Key才能解密。這樣 在認證的過程中，Public Key擁有者便可以通過Public Key加密一些東西發(fā)送給對應 的Private Key擁有者，如果在通信的雙方都擁有對方的Public Key （自己的Private Key只由自己保管），那么就可以通過這對Key Pair來安全地交換信息，從而實現(xiàn)相互認 證。在使用中，我們把自己的Public Key放在通過安全渠道放到服務器上，Private Key 自己保管（用一個口令把 Private Key 加密后存放），而服務器的 Public Key 一般會 在第一次登錄服務器的時候存放到本地客戶端（嚴格地說來服務器的Public Key也應該 通過安全渠道放到本地客戶端，以防止別人用他自己的Public Key來欺騙登錄）。 2. Public Key 認證相對于其它 SSH 認證的優(yōu)點 在眾多SSH登錄認證中，傳統(tǒng)的單口令（Password）認證用得比較多，所以在這里 我們主要對比一下SSH認證中的口令（Password）認證和Public Key認證的區(qū)別。 a. 基于主機IP（rhost）的認證：對于某個主機（IP）信任并讓之登錄，這種認證 容易受到 IP 欺騙攻擊。 b. Kerberos 認證：一個大型的基于域的認證，這種認證安全性高，但是太大、太復 雜不方便部署。 c. PAM認證：類似于傳統(tǒng)的密碼認證，是絕大多數(shù)Unix/Linux系統(tǒng)自帶的一個認 證和記帳的模塊，它的功能比較復雜，配置起來比較麻煩。而且，容易由于配置失誤而引起 安全問題。 d. 傳統(tǒng)的Unix/Linux 口令（或密碼Password）認證：在客戶端直接輸入帳號密 碼，然后讓SSH加密傳輸?shù)椒掌鞫蓑炞C。這種認證方式有著如下明顯的缺點： 1） 為了確保密碼安全，密碼必須很長很復雜，但是這樣的密碼很難記憶； 2） 對于自己所擁有的每個帳號，為了安全，不同的帳號都要設置不同的密碼，管理起 來很不方便； 3） 對于默認帳號，默認密碼，例如裝機時用的帳號，如果一時疏忽沒有改密碼，被 其它不懷好意的人掃描到帳號和密碼，可能會造成安全漏洞； 4） 如果遠程主機已經(jīng)被攻擊，即使使用 SSH 安全通道進行保護，在網(wǎng)絡上發(fā)送的密 碼在到達遠程主機時也可能被截獲； 5） 對于每個帳號的修改都要人工登錄（為了安全，不能把Password放到腳本里）， 隨著服務器數(shù)量增多，這項工作會變得十分煩瑣。 幸運的是，SSH提供的Public Key認證解決了這些問題： 1） Public Key放在服務器上，Private Key通過用口令（Passphrase自己設定 的任意口令，而非傳統(tǒng)的Password）加密后放在自己客戶端上，只有解密后的Private Key 才能登錄服務器，這樣便提供了兩層保護，比 Password 安全，因為只有加密過的 Private Key文件和Private Key的解密口令（Passphrase）同時被其它人獲得才會 丟失帳號。 2） Key認證避免了簡單密碼和默認帳號被掃描到的危險，一切的安全都放在客戶端的 Private Key 保密上，充分體現(xiàn)了帳號擁有者的責任感。 3） SSH Key認證的設置和登錄非常簡單，只需要自己安全地生成一對Key Pair， 便可以登錄任意數(shù)量的服務器（當然，首先必須要管理員給你的帳號安裝你的 Public Key），而且SSH協(xié)議里的Private Key代理（Agent）功能能讓Private Key緩存在 內存中，每次打開客戶端只需輸入一次解密Private Key的口令（Passphrase），便能 使用Private Key代理自動登錄這個Private Key控制的所有服務器。 4） 帳號的管理也十分安全和方便，因為認證過程中不需要把Password寫在腳本中， 而是讓客戶端緩存的 Private Key 自動去登錄服務器，這樣就更安全方便地實現(xiàn)批處理 （例如在客戶端同時連接并更新所有控制的服務器）。 由于 Key Pair 的不對稱的特點，使用 Key 認證時需要注意的地方：解密 Private Key的口令（Passphrase） 和 Private Key文件必須妥善保管，如果丟失其 一則會引起安全隱患，應及時修改加密Private Key的Passphrase （在本地就可以修 改，不必修改服務器上的Public Key），如果兩者都泄露了，則帳號就不安全了，應該及 時更換新的Key Pair。某些客戶端（如SecureCRT）默認會把解密后的Private Key 放緩存在內存中，以后登錄時若需要用要這個Private Key認證，SecureCRT會自動認 證，不用再手工輸入口令，所以 當有 SSH 登錄的時候，在離開自己的電腦前必須鎖定 Windows，防止別人接觸你的電腦 key的保護密碼passphrase到底是什么？ private key實際上 是代表你個人身份的關鍵信息，任何情況下不應該交給他人，包括你的上司，系統(tǒng)管理員等。 理論上來說，如果你的個人電腦足夠安全，則 private key 只需要放在自己電腦上，永 遠不傳送給他人即可保證安全。為了進一步保護private key，我們很自然的會要求對 private key 進行加密保護， passphrase 就是打開這個保護的鑰匙。這個鑰匙只對應 于個別的 private key 文件，跟其他任何系統(tǒng)無關。只需要有必要的工具，你完全可以 在自己的電腦上隨時任意修改它。但要注意，如果同一個 private key 文件，用幾個不 同的文件存儲（比如為了備份），而你只修改了其中一個文件的passphrase，那么舊的 passphrase依然可以解開用舊的passphrase力口密的private key文件。 private key的保護密碼為什么叫 passphrase而不是password? private key其實代表了你個人在無數(shù)系統(tǒng)的身份，它不像password， password只是 你在某個系統(tǒng)的身份代表，泄漏了一個系統(tǒng)的密碼并不代表你泄漏了你在所有系統(tǒng)的身份安 全（前提是你在不同的系統(tǒng)使用了不同的password）。由于實際應用中，private key 對應的public key會部署在很多很多系統(tǒng)上，因此，泄漏private key是極其危險的。 為了保護private key，有些系統(tǒng)（比如許多網(wǎng)上銀行系統(tǒng)：招行、工行的網(wǎng)上銀行系統(tǒng)） 都提供一個USB硬件用以存儲你的private key，而這個硬件刻意做到private key 無法拷貝出來，只能參與計算，這就避免了用戶因為中木馬病毒而泄漏private key的 風險。這樣的做法實際上用額外的成本，增加了一層物理上的保護（因為要盜取private key首先要物理上得到這個硬件）。即使如此，要訪問在這個硬件里的private key還是 需要密碼的。這些系統(tǒng)里甚至要求 private key 定期（比如一年）要過期，強制你換一 個新的 private key。 正是因為 private key 的保護密碼如此重要，要求大家用一個有足夠強度的密碼來 保護它。這個保護密碼除了應當包含足夠大的字符范圍（特殊字符，數(shù)字，大小寫字母）， 還應當有足夠的長度。為了強調這個區(qū)別，習慣上都用passphrase代替password這個 說法，因為phrase的意思“短語”而word是“單詞”，前者比后者長。 PGP手冊里有專門的章節(jié)講解如何才是足夠強的passphrase。希望大家參考一下。 以下時PGP輸入passphrase，由此可見人家允許和期待的passphrase有多長： 三■ Public Key認證的設置 1. Key Pair 的生成 不同的客戶端生成的 Key Pair 文件格式可能不一樣，但是內容實質是一樣的，只需 通過微量修改便可部署。 基于安全的理由，請在你個人的，可靠安全的電腦上生成Key Pair。 1.1 在 Windows 客戶端生成 Key Pair 在這主要介紹一下SecureCRT中OpenSSH連接的使用。（以Version5.0為準介紹） 第一步 生成 Key Pair 運行 SecureCRT， 選擇菜單欄 Tools->Create Public Key，點擊''下一步”，選 擇Key Pair的算法類型為“RSA”（也可以使用“DSA”，但推薦使用RSA） 網(wǎng)易 NetEase w w w -1 6 3 ■吐 om 輸入加密Key的保護口令(Passphrase): 請牢記此Passphrase,如果遺忘，只能重新生成Key Pair。 選擇 Key 的長度(默認的 1024 已經(jīng)基本可以滿足，可以根據(jù)需要增減長度，不過請 注意長度越短越低保障，安全強度越低): ITl K^y Gen^ration Tizard A 1 ower niuriber provides less eeciirity, t：ikes less time to generate arLd. authenticMtEE； faster. A hi gher rLmb er pr ovi de s 孕已:er s e cm- i ty』 t:也已 s more time to genera.te_, and autheiiti«:ates more tl Awl T7 1 flPd. i t + l~i ci i■- u h nmm avi i-l u A tfoItto Sei pc t thm length q kny p-a^i=--hLtb,i, e en 512 ■aTh i-l Pn«d■當 1-. i + c ＜上一步⑥］］卞一步隱羽 取消 生成Key Pair,在如下圖的程序框內隨意移動鼠標以給它生成Key的足夠的隨機量: 取消 Key Generation Vizard Flease move thei mouse until the prngi-esE bar stops m ovi ng. Thi 三 provi deE imp or t :艾nt r ：=LTLilum input that i£ used during key gerLeration 將 Key Pair 保存到妥善的地方，如 d:\sshkey\id_rsa， Public Key 即為 id_rsa.pub （建議改成登錄的用戶名作為區(qū)分） 網(wǎng)易 NetEase w wr w -1 6 3 ?u：om 取消 Fubli c key C' \Do cum ent s and Se tti ngs \ Adm mi str a t or \Ap 選取ker-ft存目錄和窯稱 K-ey Generat von Wizard Choose a directory :王nd filerL：=iiTiH for the private key. The publi c jzewi 11 use thm E：=iiTie dir e«:turF :md fi i e a.t or 'i Appl i c：±t i un Dat a'l.V^iIlyke M derLt i ty 療上一步迢） 完成 第二步 配置需要的連接 點選左上角的Connect按鈕，開啟Connect對話框，選擇需要配置的Session，如 圖 Ctrl+X Ctrl+C Del Connect Alt+ErLter CorLTLect T erm i n：=il Alt+T C uriTLH c t File Tr：=LTL5fer Alt+X C orLTLe c t Both Ctrl+V Delete Alt+M Alt+A RerL：=iJTie Create Ilesktop Shortcut Alt+S Copy Faste User Ait：=irLged Tree * Show Des cr i p tic«D.2 I三I [_1 Sessi ons ■閾 1^® 進入屬性頁填入要連接的主機名稱（或者ip地址），用戶名，再選擇基于Public Key 方式的認證 點擊 Properties 進入 Public Key Properties 對話框，在紅色圈所示的位置填 入你的 Private Key 文件 Vse global publi d. key se G1 ub ：=l1 呈泌 tingE Public Key Properties C：=LXLcel 8.tE Identity File. Uplo 口nal ore will be 在此選中剛才±簾:的厝閨対中的私開 id h：=ULge FaEEptcraEe. 使用global public key,您可以方便使用一個key登陸不同的服務器，而且 只需維護一個key即可；使用session public key，您需要使用不同的key登陸不同 的服務器，需要維護若干個key。 建議：針對重要的應用系統(tǒng)請使用 session public key。 1.2 在 Unix/Linux 系統(tǒng)生成 Key Pair # ssh-keygen -b 1024 -t rsa Generating public/private rsa key pair。 Enter file in which to save the key （/home/$username/.ssh/id_rsa）： （Key Pair 將要保存的路徑，括號內為默認） Created directory '/home/$username/.ssh'。 Enter passphrase （empty for no passphrase）： （輸入口令） Enter same passphrase again： （再次輸入口令，千萬不要忘記否則就只有從新生 成密鑰了） Your identification has been saved in /home/$username/.ssh/id_rsa。 （你的私鑰） Your public key has been saved in /home/$username/.ssh/id_rsa.pub。 （你的公鑰） The key fingerprint is： bb：1b：f5：1c：77：62：90：21：59：7e：c6：65：e5：24：c6：e5 $username@freebsd 2. 部署 Key Pair 2.1對已有帳號部署（或更換）Key Pair 將前面生成的Public Key安全地傳給Unix/Linux服務端，Private Key要保存 在客戶端安全的地方。將Public Key放在/home/$username/.ssh目錄中。并改名為 authorized_keys。 # su $username # cd /home/$username/.ssh # cat id_rsa.pub >> authorized_keys 對于SecureCRT生成的Public Key,還需要在服務器端運行命令修改Public Key 文件，SecureCRT生成的Pubkic Key文件格式如下例： BEGIN SSH2 PUBLIC KEY Subject： somebody Comment： "somebody@test" ModBitSize： 1024 AAAAB3NzaC1yc2EAAAADAQABAAAAgQC9s07Uev+qQ8/aYA0GO2f0ltbwt3DTdeqTt KMm7LZi7nEqHPDtxBZDGXoEeim/WYEQTV0kUBtDaX5RwPihHBk4n3Q2zTZ4ypa3cb Azl48lhVtQlDrUYFnQee+unP0waSykeIrCtDzZVeMrb0WqkeeulYhe6FPBaWHd1q8 Q2VqCpQ== END SSH2 PUBLIC KEY 使用 ssh-keygen -i f pubkey.file 來轉換非 OpenSSH 的 pubkey 格式，這 樣Public Key文件變成如下格式 ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQC9s07Uev+qQ8/aYA0GO2f0ltbwt3DTdeqTt KMm7LZi7nEqHPDtxBZDGXoEeim/WYEQTV0kUBtDaX5RwPihHBk4n3Q2zTZ4ypa3cb Azl48IhVtQlDrUYFnQee+unP0waSykeIrCtDzZVeMrb0WqkeeulYhe6FPBaWHd1q8 Q2VqCpQ== 注意：上面所有內容都在同一行中。 2.2 新添帳號并部署 Key Pair 將以上任一種方法生成的Key Pair中的Public Key （username_pubkey）傳送 給管理員，管理員可按以下示例添加用戶，其中 username 為用戶的登陸名，可作相應替 換： FreeBSD 為例： username_pubkey="ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCnL5nGNUasf/LN8SXcO+jGbtq2SYTRQtjKO K2hnnGhTeFClkgjeYQ2VmHWawdUlnDAHE6M/P1yUmwLNuxZjXKMk1n4fm8GyiXTeZ FOqMNolw7PqOpdvvgpSRqoooNb94uY5DXeyiRCmZIpz2gcgtz3u2gCmbDv5flvQsj YP8SQ3Xm39QTmB/dov3d/TIHTaZaLyFhG75wk7RNKbZDCj2lEhNWwgI67Wu2ECEIn /i9oEfwsumjTxBQGJYbio4g5vSm9kIoEJ/mWeoBB2rqjkW5kmRENECgnq1Ne0g4Lk 5reUJXTDwjERQPnX+qbM7hAqBiTPQtX4GYlf4RHIgH8wvCz" pw useradd -n $username -m -G wheel -c username -w no -s /bin/csh （假 設需要添加一個屬于 wheel 組的用戶） su $username -c "mkdir -p /home/username/.ssh" su $username -c "echo $username_pubkey >/home/username/.ssh/authorized_keys" su $username -c "chmod 700 /home/username/.ssh" su $username -c "chmod 600 /home/username/.ssh/authorized_keys" Linux 為例： username_pubkey="ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCnL5nGNUasf/LN8SXcO+jGbtq2SYTRQtjKO K2hnnGhTeFClkgjeYQ2VmHWawdUlnDAHE6M/P1yUmwLNuxZjXKMk1n4fm8GyiXTeZ FOqMNolw7PqOpdvvgpSRqoooNb94uY5DXeyiRCmZIpz2gcgtz3u2gCmbDv5flvQsj YP8SQ3Xm39QTmB/dov3d/TIHTaZaLyFhG75wk7RNKbZDCj2lEhNWwgI67Wu2ECEIn /i9oEfwsumjTxBQGJYbio4g5vSm9kIoEJ/mWeoBB2rqjkW5kmRENECgnq1Ne0g4Lk 5reUJXTDwjERQPnX+qbM7hAqBiTPQtX4GYlf4RHIgH8wvCz" /usr/sbin/useradd $username -m -G root -c username （假設需要添加一個 屬于root組的用戶） su $username -c "mkdir -p /home/username/.ssh" su $username -c "echo $username_pubkey >/home/username/.ssh/authorized_keys" su $username -c "chmod 700 /home/username/.ssh" su $username -c "chmod 600 /home/username/.ssh/authorized_keys" passwd -f -u username （默認狀態(tài)下 Linux 下面的 Account 是 Locked 的，需要 打開） 3. 使用 Key Pair 連接服務器 第一步 修改 OpenSSH 服務端配置 確定您機器中的sshd_config的位置，一般在/etc/ssh/下，我們以此為例。腳本 中的注釋僅供閱讀使用，輸入命令的時候請去掉。 sed -e 's/入Port/#Port/' -e 's/入Protocol/#Protocol/' \ -e 's/入PermitRootLogin/#PermitRootLogin/' \ -e 's/入PubkeyAuthentication/#PubkeyAuthentication/' \ -e 's/入AuthorizedKeysFile/#AuthorizedKeysFile/' \ -e 's/入PasswordAuthentication/#PasswordAuthentication/' \ -e 's/入ChallengeResponseAuthentication/#ChallengeResponseAuthenticat ion/' \ -e 's/入PermitEmptyPasswords/#PermitEmptyPasswords/' \ -e 's/入UsePAM/#UsePAM/' /etc/ssh/sshd_config > /etc/ssh/sshd_config.new if [ -f /etc/ssh/sshd_config.new ]; then cat << _EOF >> /etc/ssh/sshd_config.new Port 18822 # 使用非常用的 ssh 服務端口，減低被掃描的可能性 Protocol 2 #要求使用較為新并且安全的版本2的ssh協(xié)議 PermitRootLogin no#不允許直接以root用戶登陸。需要以普通用戶登陸后再su PubkeyAuthentication yes # 打開 Public Key 認證的支持 AuthorizedKeysFile .ssh/authorized_keys # 用戶默認 public key 的位 置。這里可以根據(jù)情況自行設置恰當?shù)闹担總€用戶必須有獨立的key文件。共享帳號 是錯誤的。 PasswordAuthentication no # 建議禁止使用 Password 的認證方式登陸 PermitEmptyPasswords no # 不允許使用空密碼登陸 ChallengeResponseAuthentication no # 不允許使用 ChallengeResponse 方式的認證。在 FreeBSD 下，打開 ChallengeResponse 會打開 PAM 認證。并且， ChallengeResponse方式的認證存在較多漏洞，容易受到DoS攻擊。 UsePAM no # 不允許使用 PAM 認證。上文中提到 PAM 是一種配置較為復雜而且容 易因為配置失誤而產(chǎn)生安全漏洞的機制，因此不允許使用。 UseDNS no #禁止SSHD使用反向域名解析，判斷用戶登陸位置，容易收到DNS欺 騙攻擊而失效。同時，如果服務器域名解析出錯，將會導致認證超時而不能登陸服務器。所 以應該關閉。 _EOF cp -f /etc/ssh/sshd_config.new /etc/ssh/sshd_config if [ $? ]; then echo “Fail to modify sshd_config. Please check!!” else echo “Finish modifing sshd_config.” else echo “Fail to modify sshd_config. Please check!!” fi 重新啟動OpenSSH進程sshd，使配置文件生效。（可使用系統(tǒng)自帶的sshd腳本來重 啟，也可使用kill HUP 'head -1 /var/run/sshd.pid'進程來重啟，以免當前連 接中斷） 第二步 測試連接 用設置好的 SecureCRT 連接，將會出現(xiàn)如下登陸框，輸入保護 PrivateKey 的密碼 即可。 在第一次連接服務器時，會彈出服務器主機Key （服務器的Public Key）對話框， 這時我們點擊接受并保存這個Public Key，如果在以后使用的過程中再次出現(xiàn)這樣的對 話框，表明服務器Public Key已經(jīng)被修改了，此時應該向服務器管理員咨詢是否修改了 服務器Public Key,否則懷疑服務器受到攻擊。 4. 修改 Private Key 的保護口令（即 Passphrase） 當Private Key文件或Private Key 口令(Passphrase)存在安全隱患時(如 被泄漏),應該及時修改Private Key保護口令(Passphrase)，重新加密Private Key。 Unix 平臺： ssh-keygen -p [-P old_passphrase] [-N new_passphrase] [-f keyfile] Windows 平臺： 以SecureCRT為例 進入Public Key屬性頁，選擇Change Passphrase，修改即可， 四? SSH其它 SSH提供了很多強大的安全功能，上面我們已經(jīng)描述了它的Key認證功能，在SSH 家族里， 還有 scp（for SSH1.X）， sftp（for SSH2.X）， 密鑰轉發(fā)，端口轉發(fā)， X 轉發(fā)等等安全功能，其中scp和sftp是用SSH協(xié)議安全地傳輸文件（文件被加密壓縮傳 輸），密鑰轉發(fā)可以通過服務器連接服務器（類似于proxy），端口轉發(fā)是用SSH協(xié)議封裝 其它協(xié)議（如POP3 ）來進行安全通信OOOOOO 這里簡要介紹 scp 和 sftp 兩個常用命令拷貝文件的使用方式： 用scp拷貝文件 SSH提供了一些命令和shell用來登錄遠程服務器，在默認情況下它不允許你拷貝文 件，但是還是提供了一個scp命令。 假定你想把本地計算機當前目錄下的一個名為“ dumb ”的文件拷貝到遠程服務器 上你的家目錄下。而且你在遠程服務器上的帳號名為“somebody”?？?以用這個命令： scp dumb somebody@: 把文件拷貝回來用這個命令： scp somebody@:dumb . scp調用SSH進行登錄，然后拷貝文件，最后調用SSH關閉這個連接。（scp假定你 在遠程主機上的/home/somebody目錄為你的工作目錄。如果你使用相對目錄就要相對于 /home/somebody 目錄。） 用sftp拷貝文件 如果你習慣使用ftp的方式拷貝文件，可以試著用sftpO sftp建立用SSH加密的安 全的FTP連接通道，允許使用標準的ftp命令。 例如：sftp somebody@ 網(wǎng)易 HetEase w w w - *1 6 3 ■吐 om 五?參考文獻 《SSH權威指南》O'REILLY 中國電力出版社 網(wǎng)絡管理部 2006-4-19