Git认证方式https和ssh的原理及比较
常见的代码托管平台GitHub、GitLab和BitBucket等,基本都会使用Git作为版本控制工具。平台一般都提供两种认证方式https和ssh。了解该过程能够更加自由的配置和使用,本文就来简单聊一下这两种认证方式。
1.HTTPS与SSH
Git可以使用四种协议来传输数据:本地协议(Local),git 协议,HTTPs 协议和SSH(Secure Shell)协议。对于多人远程协作,多用后两者。
超文本传输协议http运行于网络应用层,是应用层通信协议,使用下层的TCP协议进行传输控制。
位于不同网络终端的两个应用进程之间可以通过http进行通信,典型的应用场景是浏览器和网站服务器,是一种C/S Model.
Https可以看做是http+ssl,ssl协议位于网络应用层和传输层之间,主要为应用层提供加密服务,https即为http协议使用ssl协议加密传输数据。
SSH为Secure Shell 的缩写,即安全外壳协议。SSH 为建立在应用层基础上的安全协议。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。
常说的ssh client如OpenSSH等只是SSH协议的一种程序实现,也就是ssh client程序支持SSH协议相关标准。
对于code repo的管理,显然是需要加密进行身份认证的。
2.https和ssh原理
2.1 https原理
https方式clone一个repo或者pull和push到远端只需要根据提示提供自己的username和password即可。
这种方式比价的简便和便于理解,使用自己在平台的账号和密码进行授权并进行repo相关操作。
账号密码以及后续repo相关的传输均使用ssl加密。ssl加密解密的过程完全透明。
ssl认证需要首先验证服务器有有效的证书,对服务器的认证是通过非对称秘钥的方式,该非对称秘钥由第三方公证机构CA提供。
然后通过该非对称密钥对和服务器私密的协商后续数据传输使用的加密算法以及用于生成对称秘钥的一些随机数据。
ssl握手协议结束后会产生只有client和server知道的对称加密秘钥,而该秘钥也用后续所有传输数据的加密。详细过程可以参考相关资料。
即两步:
- username&pwd验证对repo的操作权限 ;
- ssl对传输数据进行加密(server身份验证和加密解密过程完全透明);
实际操作只需要用到第一步,window和一些第三方git client可以支持永久保存自己的账号和密码。
Windows查看保存的账号信息:
Win键 ->搜索credential ->管理Windows 凭据 -> 普通凭据(or 控制面板 -> 用户账户 -> 管理Windows 凭据 -> 普通凭据)
2.2 ssh原理
https实际操作有一步,但是操作权限验证和传输加密是分开的。
ssh不仅可以压缩和加密传输数据还可以进行身份授权验证。
ssh方式使用非对称加密所需的key-pairs完成身份验证和传输数据加密,git client和server分别需要持有非对称秘钥对中的一个。
出于安全和保密考虑,通常由用户使用秘钥生成工具生成RSA密钥对,并将其中的public key添加到服务端,自己保留private key。
ssh client使用private key向服务端证明自己的身份。
ssh 看起来似乎更加的安全方便,因为它将身份验证和账户密码分离开来,可以单独使用秘钥来进行代码库的操作。
但是使用ssh的初始步骤可能有点麻烦,这个后面介绍。
此外,private key由文件保存,存在丢失的风险,对private key进行密码保护,需要每次使用的时候都输入密码。
不管是git bash还是其他的git client都可以直接使用https,但是使用ssh需要单独的ssh client。
The only requirement is to have the OpenSSH client installed on your system. This comes pre-installed on GNU/Linux and macOS, but not on Windows
并自己生成和管理秘钥对,而且对于非默认路径下rsa密钥对,需要额外相对复杂的处理。
2.3 比较
https方式使用账号和密码授权,简单易用,便于进行权限细分管理,而且防火墙一般会打开 http 和https协议的端口号80 和 443。可以进行匿名访问,对于开源项目,其他人即使没有任何权限也可以方便进行除提交之外的克隆和读取操作。但是可能需要每个项目成员都有一个代码托管平台的账号,而且缺乏凭证管理的话,可能要频繁的进行账号密码输入。
ssh方式单独使用非对称的秘钥进行认证和加密传输,和账号密码分离开来,不需要账号也可以访问repo。生成和管理秘钥有点繁琐,需要管理员添加成员的public key。不能进行匿名访问,ssh不利于对权限进行细分,用户必须具有通过SSH协议访问你主机的权限,才能进行下一步操作,比较适合内部项目。
总的来说,https方便快捷,ssh的使用更加灵活。
3. 配置SSH
如果git使用ssh协议,初始化设置需要三步:
- 使用秘钥生成工具(ssh-keygen、puttygen等)生成rsa秘钥;
- 将rsa公钥添加到代码托管平台;
- 将rsa秘钥添加到ssh-agent中,为ssh client指定使用的秘钥文件;
操作无误后,然后便可以使用ssh方式操作repo。
对于在默认路径~/.ssh/id_rsa下生成的id_rsa密钥对,任何ssh client是可以直接读取到。可以忽略上面的最后一步以及下面将要介绍的内容。
对于第二步,可以参照一下具体网站的操作,对于github和gitlab,可以在settings中ssh key相关的界面添加保存公钥。
下面主要介绍一下第一步和最后一步自定义秘钥对生成路径的情况。
3.1 生成SSH秘钥
生成ssh key pairs的工具有很多:
- Git Bash提供的仿真环境,可以使用部分linux命令;
- Git GUI自带的生成方式;
- PuttyGen 提供可视化的生成过程;
- Cygwin提供的众多工具;
等等。git bash生成方式较为灵活,下面以这个为例来介绍。
Git Bash下直接使用ssh-keygen命令需要指定秘钥生成路径和保护密码。下面是一种新的更为安全的ssh秘钥生成方式:
ssh-keygen -o -t rsa -b 4096 -C "your_email@163.com" -f ~/.ssh/new_dir/id_rsa
生成过程中设置的passphrase主要是为了防止别人盗用你的秘钥文件,如果设置有保护密码,首次添加id_rsa会要求输入保护密码用以证明秘钥是你的。
查看rsa秘钥fingerprints信息(standard SHA256 Key output):
ssh-keygen -lf ~/.ssh/new_dir/id_rsa.pub(output) 4096 SHA256:myo......xac your_email@163.com (RSA)
Old MD5 Format:
$ ssh-keygen -E md5 -lf ~/.ssh/new_dir/id_rsa.pub(output) 4096 MD5:ba:......fb:8e your_email@163.com (RSA)
3.2 Git Bash
官网上下载的git安装完成后会有git bash和git gui可以使用,分别对应于git client命令行和可视化图形界面。
git bash环境可以支持部分linux命令,其中ssh client默认使用的是OpenSSH.
$ ssh -VOpenSSH_7.7p1, OpenSSL 1.0.2o 27 Mar 2018
ssh client运行时会默认使用~/.ssh/id_rsa,假设该秘钥存在的情况下。对于非默认路径下的秘钥,需要为ssh client指定。
OpenSSH
OpenSSH的参数来源主要是通过ssh_config(OpenSSH SSH client configuration files)
对于Openssh配置方式以及优先级低到高依次为:
- etc/ssh/ssh_config ,# (system-wide file)
- ~/.ssh/config, # (user-specific file)
- 命令行配置 # (command line options)
ssh_config文件的基本结构是:keyword arguments(参数名 参数值),#为行注释符,具体细节可以参考 man 5 ssh_config。
实际可以使用其中的任何一个设定ssh client,下面分别介绍这三种方式,这里我们只关注非默认路径下秘钥文件的指定操作。
a). ssh_config
在Windows中安装完git for windows之后,Git安装目录/etc/ssh/ssh_config找到ssh_config,该文件的大部分配置默认均被注释掉了。
通过添加下面的内容进行自定义秘钥的指定:
Host github.com Preferredauthentications publickey IdentityFile ~/.ssh/github/id_rsaHost gitlab.com Preferredauthentications publickey IdentityFile ~/.ssh/gitlab/id_rsa
b). config
~/.ssh/目录下是没有config文件的,需要自己添加,内容和上面的ssh_config一样。
c). command line
eval $(ssh-agent -s)ssh-add ~/.ssh/other_id_rsa
直接运行ssh-add会添加默认的~/.ssh/id_rsa,可以使用指令ssh-add -l查看命令行添加的id_rsa.
命令行相对于另外两种配置方式,每次打开git bash都需要进行重新添加,比较麻烦。
用上面任何一种方式添加指定的秘钥,测试添加成功与否可以使用下面的命令:
$ ssh -T git@github.comor$ ssh -T git@gitlab.com
认证成功和失败分别返回:
Welcome to GitLab, @your username!git@gitlab.com: Permission denied (publickey).
相比较与命令行,使用ssh config的方式更加方便,而且配置文件也可以被git gui使用。
注意:
- window平台上~表示的是%userprofile% (e.g. echo %userprofile% ==> C:\Users\username )
- 上面通过在~/.ssh/config中添加额外的密钥对是针对ssh Client为OpenSSH,每个host下面可以添加多个认证的密钥对,使用SSH认证过程中会依次验证,直到找到正确的秘钥。
- SSH密钥对设置的保护密码,会在使用秘钥的时候要求输入,主要为了证明秘钥的确是你的。
3.3 SourceTree
SourceTree是一个较为流行git client。会自动保存https方式认证的账户名和密码,可在tools -> options -> authentication中管理。
在sourcetree中使用ssh方式只需要指定使用的ssh client,然后添加对应的ssh密钥即可。
方式一:tools -> options -> general -> ssh client configuration;
方式二:tools -> add ssh key;
第一种方法可以批量添加ssh key,之间使用分号;分开。
ssh client configuration中可以看到已经添加的所有的ssh key,同时这里可以指定特定的ssh client(PuTTY/Plink or OpenSSH )。
由于ssh-agent会在sourcetree启动的时候开启并添加指定的ssh key,因此方式一添加的ssh key,可能要重启sourcetree才能生效。
配置完成后,使用ssh方式clone一个库的时候,sourcetree能够自动识别repository type说明配置是正确的。
4.其他:
1. Git全局设置
首次使用git需要配置一下自己的用户名和邮箱,作为每次提交者的身份,会被记录在提交日志中。
git config --global user.name "your username"git config --global user.email "your email"
这里设置的全局信息存放在~/.gitconfig中,可以使用git config -l 查看所有全局设置的信息。
2. https方式缓存账号和密码
除了操作系统和第三方工具提供的凭证保存方案,可以参考一下github介绍的一种方式:Caching your GitHub password in Git。
还可以通过为git指定凭据管理器的方式缓存凭证:
新建文件~/.git-credentials,内容为:https://{username}:{passwd}@github.com
为~/.gitconfig添加凭据地址:
可以通过执行命令$ git config --global credential.helper store来完成。建议使用系统凭据管理器,不推荐这种方式。
3.knows_hosts文件
文件~/.ssh/known_hosts中存放的是所有已经安全连接过的服务器(hosts)的公钥。
Warning: Permanently added 'gitlab.com,35.231.145.151' (ECDSA) to the list of known hosts.
参考:
https://docs.gitlab.com/ee/ssh/