一、何为UseDNS? 何为GSSAPIAuthentication?
1. 关闭UseDNS和GSSAPIAuthentication
UseDNS yse : 服务器会先根据客户端的 IP地址进行 DNS PTR反向查询出客户端的主机名,然后根据查询出的客户端主机名进行DNS正向A记录查询,并验证是否与原始 IP地址一致,通过此种措施来防止客户端欺骗。
GSSAPIAuthentication yes : 基于 GSSAPI 的用户认证,服务器端默认启用了GSSAPI。登陆的时候客户端需要对服务器端的IP地址进行反解析,如果服务器的IP地址没有配置PTR记录,那么就会在这里卡住。
2.如何关闭
echo 'UseDNS no' >>/etc/ssh/sshd_config
sed -i 's/#GSSAPIAuthentication yes/GSSAPIAuthentication no/g' /etc/ssh/sshd_config systemctl restart sshd
二、在用ssh客户端第一次登录远程Linux的时候通常会报如下的错误
The authenticity of host 'IP' can't be established. ECDSA key fingerprint is SHA256:+9UZGqPe/Rdaiz9jTg0P5ZtGMl6gVP0i+iPTh8sHwt4. Are you sure you want to continue connecting (yes/no)? Host key verification failed.
在这过程中,即使你选择了yes,也是连接不上的。
分析
原因在于每次远程登录Linux的时候,Linux都要检查一下,当前访问的计算机公钥是不是在~/.ssh/know_hosts中,这个文件时OpenSSH记录的。当下次访问相同计算机时,OpenSSH会核对公钥。如果公钥不同,OpenSSH会发出警告,避免你受到DNS Hijack之类的攻击。SSH对主机的public_key的检查等级是根据StrictHostKeyChecking变量来配置的。默认情况下,StrictHostKeyChecking=ask。简单所下它的三种配置值:
1.StrictHostKeyChecking=no
最不安全的级别,当然也没有那么多烦人的提示了,相对安全的内网测试时建议使用。如果连接server的key在本地不存在,那么就自动添加到文件中(默认是known_hosts),并且给出一个警告。
2.StrictHostKeyChecking=ask #默认的级别,就是出现刚才的提示了。如果连接和key不匹配,给出提示,并拒绝登录。
3.StrictHostKeyChecking=yes #最安全的级别,如果连接与key不匹配,就拒绝连接,不会提示详细信息。
解决方法
- 根据上面的理论,我们用下面的命令登录就不会出问题了。
ssh -o StrictHostKeyChecking=no [email protected]
修改/etc/ssh/ssh_config文件(或$HOME/.ssh/config)中的配置,添加如下两行配置:
StrictHostKeyChecking no
UserKnownHostsFile /dev/null
之后记得重启,顺便使用在什么环境下的服务器考虑一下安全性问题。
sshpass
基本用法
- 自动输入密码:使用
sshpass -p '密码' ssh 用户名@主机名命令可以自动输入密码进行远程连接。 - 远程连接指定端口:使用
sshpass -p '密码' -p 端口号 ssh 用户名@主机名可以连接到指定端口。 - 密码文件读取:使用
sshpass -f 密码文件 ssh 用户名@主机名可以从文件中读取密码进行连接。 - 执行命令:使用
sshpass -p '密码' ssh -o StrictHostKeyChecking=no 用户名@主机名 '命令'可以在远程主机上执行命令,-o StrictHostKeyChecking=no选项可以忽略密码提示。
安装方法
- 使用yum安装:在基于RPM的系统中,可以使用
yum install sshpass命令安装sshpass。 - 从源代码安装:如果yum安装不上,可以从SourceForge下载源代码包,解压后配置、编译并安装。
配置和使用示例
- 配置别名:可以在
.bashrc或.zshrc文件中配置sshpass的别名,方便快速连接主机。 - 自动接受主机指纹:使用
ssh-keyscan命令预先获取远程主机的指纹,并添加到known_hosts文件中,或者在连接时使用-o StrictHostKeyChecking=no选项临时禁用主机密钥检查。 - 脚本使用:可以编写脚本使用sshpass自动化执行远程操作,例如自动上传文件、执行命令等。