我有来自远程主机的指纹,根据什么是 SSH 密钥指纹以及它是如何生成的,据说它是它的公钥指纹?.
询问主机指纹:
ssh-keygen -lf <(ssh-keyscan MY_SERVER.com 2>/dev/null)
例如:
2048 SHA256:asdfaewfbadsdasfasgasefasfasdvfth56sdghjum7 id_rsa (RSA)
和以下行:
ssh -o visualhostkey=yes -o FingerprintHash=SHA256 MY_SERVER.com
达到相同:
2048 SHA256:asdfaewfbadsdasfasgasefasfasdvfth56sdghjum7 id_rsa (RSA)
并且应该足以说连接是预期的。
另一方面,我手头有服务器的公共 (MY_PUBLIC_SSH_KEY) + 私有 (MY_PRIVATE_SSH_KEY) ssh 密钥对。我可以用ssh私钥连接服务器,然后用正确的login_name,就不需要再输入密码了,这就是ssh key的思路。因此,保存在服务器上的公钥也必须是正确的:
ssh -o visualhostkey=yes -o FingerprintHash=SHA256 -i MY_PRIVATE_SSH_KEY MY_LOGIN_NAME@MY_SERVER.com
# # or the same:
# ssh -o visualhostkey=yes -o FingerprintHash=SHA256 -i MY_PRIVATE_SSH_KEY MY_LOGIN_NAME@MY_SERVER.com
但是公钥 ssh 密钥 MY_PUBLIC_SSH_KEY 的指纹与服务器的指纹不同。它不使用2048底层密钥的位大小,而是使用默认值4096:
ssh-keygen -b 2048 -t rsa -lf id_rsa.pub
给出:
4096 SHA256:asfawefbrgaqeffaefafrew546rtghhdhdfhsert45y id_rsa (RSA)
我手头的公钥如下所示:
ssh-rsa AAAABasfjjeiaj;jkaskl;dfkjsafe9w0fo-0oas[kfoamks;dfk...(4096 bits size)== MY_FILE_NAME
而服务器上的(cat .ssh/id_rsa.pub)是:
ssh-rsa AAAABasfjieajfjaei;jfi;ajisejifjdfasdf(2048 bits size)...== ANOTHER_DIFFERENT_FILENAME
指纹不一样,因为底层密钥长度和末尾添加的注释不同。然而,它们应该是同一个东西。该-b参数对任何东西都没有反应,我什至可以使用-t ecdsa并且指纹仍然是相同的,就好像它总是给出一些已经被公钥内容本身固定的东西。
ssh-keygen始终默认为 4096 位密钥大小,我需要 2048,-b 参数似乎不起作用。
从这里我看到公钥已更改为更好的 4096 标准,并且ssh-keygen可能默认为-t新公钥中使用的参数,而服务器出于任何原因仍输出旧指纹,或者公钥的指纹不能与主机的指纹相同,因为它们是根据不同的位大小计算的。
我还发现您可以更改默认值ssh-keygen,请参阅Can you make default client key length large for ssh-keygen? ,但它不仅应该与-b参数一起工作吗?4096 是一个很好的默认值,我不想更改它。还是我在这里监督一些一般性的事情?
我从其他 Q/A 中知道,执行上述两个步骤以达到相同的指纹应该已经足够了。但是,如果我不需要它来进行上述成功比较,我仍然想知道我应该如何处理那个 4096 位公钥的指纹。
我一定是误会了什么。手头有一对密钥,并且私钥正常工作,我如何在服务器上找到“对应公钥”并比较指纹?
是的,这实际上就是公钥的工作方式——所有这些参数都定义了密钥本身,而不是指纹,并且一旦生成了密钥,它们就几乎是不可变的。
该
-b参数从字面上定义了密钥的大小;如果您有一个 4096 位大小的 RSA 密钥,它的大小将始终为 4096 位,并且始终是 RSA 密钥。您不能只要求软件将其减少到 2048 位,或者将其视为 ECDSA 密钥。因此,因为
-l选项ssh-keygen -l指示它显示有关现有密钥的信息,这意味着如果它说“4096”那么它是一个 4096 位密钥,这就是它的结尾。但这些选项与计算指纹无关。SSH 密钥指纹只不过是公钥的直接 SHA256 哈希。如果查看实际的公钥文件,它由“key-type key-data comment”组成;在 Base64 解码后,它的指纹只是“key-data”字段的 SHA256()。例如:
如您所见,在此过程中,甚至没有检查密钥类型,更不用说特定类型的参数,例如 RSA 素数的位大小。
虽然 SSH 服务器通常同时具有 RSA 密钥和ECDSA 密钥,但两者通常存储在不同的文件中,因此如果您想查看 ECDSA 密钥的指纹,您必须复制正确的文件。(“公共”文件可以连接到一个文件中,然后 ssh-keygen 会自动列出多个指纹。)
这个答案只显示了我最终是如何完成的,以及为什么理论和现实在这里有点不同,因此我不得不在这里接受我自己的答案,而不要说其他答案没有帮助。对于更典型的设置,您可能会从其他答案中了解更多信息。
仅用于用户登录的服务器
服务器设置为让每个用户使用自己的“公钥之家”进入!这是一个 LDAP(轻量级目录访问协议)身份验证系统,不再在该服务器上使用。
一步步
如何找到用户公钥
我必须在映射到广泛用户的“密码文件夹名称”列表中查找
.ssh带有公钥的文件夹的位置:etc/pass(服务器的各种用户及其密码/秘密映射的长列表):因此,我的用户
www拥有.sshin/xyz/www。(旁注:在浏览服务器时没有看到终端中的目录树,您可以使用
pwd查看您所在的位置。)用户 .ssh 中的过时公钥
我切换到
/xyz/www/.ssh. 但是在文件夹中,有一个过时的 2048 位公钥“id_rsa.pub”,而不是问题的前两个命令中的服务器公钥 - 再次使用指纹命令检查。服务器公钥无处可寻
我仍然不知道问题的前两个命令的那个 2048 位服务器密钥在哪里,这不是这里的问题,但我想它是
/root我无法在终端中打开的,虽然它在那里。还有一个 root 用户/root/.ssh用于秘密和密码。由于服务器是虚拟机,因此启动时的工作目录会随用户而变化,并且会为每个用户安装不同的卷。找到 4096 位公钥
所需的 4096 位密钥位于
authorized_keys同一文件夹中的文件中。该authorized_keys文件看起来像:列表中的最后一个密钥“我的密钥”是我手头的公钥,请参见上面的问题(我在所有地方都更改了字母,但我从上面接管了示例):
旁注:MY_FILE_NAME 是您在制作密钥对时添加的注释,您可以自由选择,在我的情况下,file_name 可以是任何内容。
并且此密钥与服务器密钥不同(问题中的前两个示例),但是当我使用我的用户连接到服务器时检查的密钥
www。匹配指纹
由于两个公钥相同,因此它们的指纹也匹配,两者
给
用户公钥
.ssh因此,这与我只需要为该用户签入的用户公钥有关。它不是服务器密钥,并且仍然存在的服务器密钥不再使用并且可能已过时(仅 2048 位)。此服务器的权限和 ssh 密钥都在用户级别进行管理。我想这随着更改为 4096 位密钥的需要而增长。由于这种用户访问结构,我很难在服务器上找到 4096 位公钥,尽管它必须存在,因为我的私钥工作。包起来
问题从
至:
因为第一个问题具有误导性。不过,在询问的时候,我无法更好地了解它。它要求服务器公钥指纹,但实际上,不再使用全局服务器公钥(已过时),并且任何访问都安排在用户级别,
.ssh每个不同用户都有不同的子文件夹、密码和秘密。请相应地投票,意思是:另一个答案是针对“早期问题”的,虽然不被接受,但它当然是有帮助的。