在Windows 環(huán)境中的大多數身份驗證都基于用戶名-密碼對完成的,很容易受到暴力攻擊入侵。相對于Linux 環(huán)境通常使用公鑰/私鑰對來驅動身份驗證,這不要求使用可推測的密碼。“私鑰”文件和“公鑰”文件采用非對稱加密算法生成,私鑰文件等效于密碼,用于解密由公鑰加密的數據。
基于密鑰的身份驗證的工具的具體實現邏輯是:
客戶端:ssh-keygen:生成安全的密鑰,公鑰和私鑰;
客戶端:ssh-agent 和 ssh-add:安全地存儲私鑰,加載私鑰后,客戶端本地系統(tǒng)可刪除私鑰文件;
客戶端:scp 和 sftp:客戶端把公鑰上傳到SSH服務端。
那么,Windows10系統(tǒng)該如何實現基于密鑰的身份驗證呢?本期文章予以揭曉。
客戶端系統(tǒng)生成私鑰和公鑰文件。
打開系統(tǒng)命令提示符,輸入命令“ssh-keygen -t ed25519”;
按 Enter 來接受默認值,或指定要在其中生成密鑰的路徑和/或文件名,然后,系統(tǒng)會提示你使用密碼來加密你的私鑰文件;
直接按 Enter默認不設置密碼,建議使用密碼加密私鑰文件,從而實現基于密碼與密鑰文件的雙因子身份驗證。
如下圖所示:
未設置密碼加密私鑰文件;
生成的私鑰文件保存的位置:C:\Users\Administrator/.ssh/Tid_ed25519;
生成的公鑰文件保存的位置:C:\Users\Administrator/.ssh/Tid_ed25519.pub;
客戶端系統(tǒng)啟動ssh-agent服務并加載私鑰。
打開命令提示符【CMD】,輸入命令services.msc打開服務,如下圖所示;
定位到OpenSSH Authentication Agent并啟動該服務。
以管理員權限打開命令提示符【CMD】,輸入命令ssh-add C:\Users\Administrator\.ssh\Tid_ed25519加載私鑰,如下圖所示;
將私鑰加載到客戶端上的 ssh-agent 后,ssh-agent 會自動檢索本地私鑰并將其傳遞給 SSH 客戶端。
Tips:
建議將私鑰備份到一個安全位置,待ssh-agent將其加載后,即可把它從本地系統(tǒng)中刪除。此外,使用強算法Ed25519是無法從代理中檢索私鑰。
客戶端系統(tǒng)把生成的公鑰文件上傳到SSH服務端系統(tǒng)。
對于SSH服務端系統(tǒng)的管理員賬戶,將公鑰(Tid_ed25519.pub)的內容需放置在SSH服務端系統(tǒng)上的一個名為 administrators_authorized_key的文本文件中,該文件位于 C:\ProgramData\ssh\,如下圖所示;
關鍵命令釋義:
#定義變量authorizedKey,把公鑰文件賦值給它
$authorizedKey = Get-Content -Path C:\Users\Administrator\.ssh\Tid_ed25519.pub
#定義變量remotePowershell,并調用變量authorizedKey
$remotePowershell = "powershell Add-Content -Force -Path $env:ProgramData\ssh\administrators_authorized_keys -Value '$authorizedKey';icacls.exe ""$env:ProgramData\ssh\administrators_authorized_keys"" /inheritance:r /grant ""Administrators:F"" /grant ""SYSTEM:F"""
#登錄SSH服務端系統(tǒng)并調用變量remotePowershell
ssh administrator@192.168.1.10 $remotePowershell
打開命令提示符【CMD】,輸入命令“ssh 192.168.1.10”,即可登錄SSH服務端系統(tǒng),如下圖所示;
以上分享,希望各位小伙伴有所收獲,歡迎各位點贊、收藏和指正。
這一篇文章是對上一篇文章《Git-TortoiseGit完整配置流程》的拓展,所以需要對上一篇文章有所了解,當然直接往下看也可以,其中也有一些提到一些基礎的操作。
本文以配置github.com賬號和git.oschina.net賬號來逐步演示在Windows環(huán)境下配置Git多賬號支持即在同一個電腦上管理多個ssh-key,對git多一分了解。
備注:這篇文章所有執(zhí)行命令的地方都是在管理員模式下進行,即打開cmd,Git Bash客戶端用管理員身份運行程序。
執(zhí)行命令 ssh-keygen -t rsa -C email 創(chuàng)建github對應的sshkey,命名為id_rsa_github,密碼 123456
ssh-keygen -t rsa -C 774232122@qq.com
執(zhí)行命令ssh-keygen -t rsa -C email創(chuàng)建github對應的sshkey,命名為id_rsa_oschina,密碼 123456
ssh-keygen -t rsa -C 774232122@qq.com
除了秘鑰文件之外,config文件是后面的步驟中手動生產的,known_hosts文件是后續(xù)自動生產的
GitHub添加SSH key的方式如下圖所示:
git.oschina.net添加SSH key的方式如下圖所示:
每個賬號單獨配置一個Host,每個Host要取一個別名,每個Host主要配置HostName和IdentityFile兩個屬性即可
Host的名字可以取為自己喜歡的名字,不過這個會影響git相關命令,例如:
Host mygithub 這樣定義的話,命令如下,即git@后面緊跟的名字改為mygithub
git clone git@mygithub:PopFisher/AndroidRotateAnim.git
HostName 這個是真實的域名地址
IdentityFile 這里是id_rsa的地址
PreferredAuthentications 配置登錄時用什么權限認證--可設為publickey,password publickey,keyboard-interactive等
User 配置使用用戶名
config文件配置如下:
# 配置github.com Host github.com HostName github.com IdentityFile C:\\Users\\popfisher\\.ssh\\id_rsa_github PreferredAuthentications publickey User username1 # 配置git.oschina.net Host git.oschina.net HostName git.oschina.net IdentityFile C:\\Users\\popfisher\\.ssh\\id_rsa_oschina PreferredAuthentications publickey User username2
clone github上的項目AndroidRotateAnim
打開github上AndroidRotateAnim項目,復制其對應的clone命令入下圖所示
執(zhí)行clone命令如下:
clone oschina.net上的項目AndroidDevTools
打開git.oschina.net上AndroidDevTools項目,復制其對應的clone命令入下圖所示
執(zhí)行clone命令如下:
在使用git的過程中,一般都只關注單賬號的情況嗎,工作中的配置也是直接由自己的上級發(fā)一個配置文檔之類的東西,然后對著搞一遍就行了,可是當自己真正有這個需求的時候,突然發(fā)現束手無策。我自己當時也屬于這個情況,有一天在家里,突然發(fā)現自己需要一臺電腦支持多個SSH key的時候才發(fā)現自己不知道怎么下手了,于是就下定決心自己動手研究一下。對于技術,還是要親自動手實踐,實踐出來的東西才能形成自己的真理,才不那么容易忘記。
這篇文章是我基于Win10平臺上的實踐,由于知識有限,可能還是沒有總結得很完整,也可能在其他平臺上會遇到一些其他的問題,沒有時間去研究了,如果讀者有遇到什么問題,歡迎留言討論,共同學習。