如何安全地管理和验证 SSH 主机密钥

简介

本全面教程探讨了SSH主机密钥管理的关键方面，为开发人员和系统管理员提供了对安全服务器认证机制的深入见解。通过了解主机密钥的基本原理，读者将学习如何保护其网络连接免受潜在安全威胁，并实施SSH密钥验证的最佳实践。

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL linux(("Linux")) -.-> linux/RemoteAccessandNetworkingGroup(["Remote Access and Networking"]) linux(("Linux")) -.-> linux/PackagesandSoftwaresGroup(["Packages and Softwares"]) linux/RemoteAccessandNetworkingGroup -.-> linux/ssh("Secure Connecting") linux/RemoteAccessandNetworkingGroup -.-> linux/telnet("Network Connecting") linux/RemoteAccessandNetworkingGroup -.-> linux/scp("Secure Copying") linux/RemoteAccessandNetworkingGroup -.-> linux/sftp("Secure File Transferring") linux/RemoteAccessandNetworkingGroup -.-> linux/nc("Networking Utility") linux/PackagesandSoftwaresGroup -.-> linux/openssl("OpenSSL") subgraph Lab Skills linux/ssh -.-> lab-393029{{"如何安全地管理和验证 SSH 主机密钥"}} linux/telnet -.-> lab-393029{{"如何安全地管理和验证 SSH 主机密钥"}} linux/scp -.-> lab-393029{{"如何安全地管理和验证 SSH 主机密钥"}} linux/sftp -.-> lab-393029{{"如何安全地管理和验证 SSH 主机密钥"}} linux/nc -.-> lab-393029{{"如何安全地管理和验证 SSH 主机密钥"}} linux/openssl -.-> lab-393029{{"如何安全地管理和验证 SSH 主机密钥"}} end

SSH主机密钥基础

理解SSH主机密钥

SSH主机密钥是安全外壳（SSH）协议中使用的加密密钥，用于在网络连接期间对远程服务器的身份进行认证和验证。这些唯一的密钥通过确保你连接的服务器是真实的，来防止中间人攻击。

主机密钥类型及特性

SSH支持多种主机密钥算法，每种算法都有特定的安全属性：

密钥类型	算法	密钥长度	安全级别
RSA	公钥	2048 - 4096位	高
ECDSA	椭圆曲线	256 - 521位	非常高
Ed25519	爱德华兹曲线	256位	最高

SSH主机密钥验证过程

## 查看当前SSH主机密钥
sudo ls /etc/ssh/ssh_host_*_key.pub

## SSH安装期间主机密钥生成示例
ssh-keygen -A

当连接到新的SSH服务器时，客户端会收到服务器的公钥主机密钥。客户端会将此密钥与存储在 ~/.ssh/known_hosts 中的已知主机密钥进行比对，以验证服务器的身份。

实际主机密钥验证示例

## 连接到远程服务器并验证主机密钥
ssh [email protected]

## 首次连接时会提示进行主机密钥验证
## 指纹将被添加到known_hosts文件中

在首次连接期间，SSH会显示服务器的主机密钥指纹，以便在建立安全连接之前手动验证服务器的身份。

管理主机密钥变更

理解主机密钥修改

主机密钥变更可能由于服务器重新安装、基础设施更新或潜在的安全漏洞而发生。正确管理这些变更对于维持安全的SSH连接至关重要。

graph LR A[服务器重新安装] --> B[主机密钥重新生成] B --> C[客户端密钥验证] C --> D[更新已知主机]

检测主机密钥变更

当服务器的主机密钥发生变更时，SSH会生成一条警告以防止潜在的安全风险：

## 尝试连接到主机密钥已变更的服务器
ssh [email protected]

## 警告消息示例
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

管理已知主机文件

操作	命令	描述
删除特定主机	`ssh-keygen -R hostname`	删除特定主机的密钥
查看已知主机	`cat ~/.ssh/known_hosts`	显示存储的主机密钥
手动添加主机密钥	`ssh-keygen -F hostname`	查找并验证主机密钥

主机密钥轮换过程

## 删除服务器的现有主机密钥
ssh-keygen -R example.com

## 重新连接以重新生成并接受新的主机密钥
ssh [email protected]

## 验证新的主机密钥指纹
ssh-keygen -l -F example.com

该过程包括删除旧的主机密钥，并在下次连接尝试时通过手动验证新的服务器密钥来重新建立信任。这种方法可确保安全的服务器认证，同时允许合法的主机密钥变更。

SSH安全最佳实践

SSH配置强化

确保SSH安全需要实施多层保护，以防止未经授权的访问和潜在的安全漏洞。

graph LR A[SSH配置] --> B[认证方法] A --> C[网络限制] A --> D[密钥管理]

基本的SSH安全配置

安全参数	推荐设置	配置位置
端口	非标准端口	`/etc/ssh/sshd_config`
根用户登录	禁用	`PermitRootLogin no`
密码认证	禁用	`PasswordAuthentication no`
协议版本	SSH2	现代系统中的默认设置

实施基于密钥的认证

## 生成SSH密钥对
ssh-keygen -t ed25519 -f ~/.ssh/secure_key

## 将公钥复制到远程服务器
ssh-copy-id -i ~/.ssh/secure_key.pub [email protected]

## 为基于密钥的认证配置SSH配置
nano ~/.ssh/config
Host example
IdentityFile ~/.ssh/secure_key
PasswordAuthentication no

高级SSH安全配置

## 将SSH访问限制为特定用户
sudo nano /etc/ssh/sshd_config
AllowUsers admin developer

## 实施基于IP的访问控制
nano /etc/hosts.allow
sshd: 192.168.1.0/24

## 启用双因素认证
sudo apt-get install libpam-google-authenticator

该配置通过实施严格的认证机制、限制访问以及使用加密验证技术来确保远程服务器管理的安全性，从而致力于最小化攻击面。

总结

SSH主机密钥是建立安全网络连接的基础，能有效防范中间人攻击。通过掌握主机密钥验证过程、了解不同密钥类型并实施恰当的管理策略，专业人员能够显著增强其网络安全架构，并维护远程服务器连接的完整性。