Linux命令之远程登陆/无密码登陆-ssh,ssh-keygen,ssh-copy-id

SSH是一种安全通道协议,主要用来远程登陆。在RHEL 5系统中使用的是OpenSSH服务器由openssh，openssh-server等软件包提供的(默认已经安装)，并以将sshd添加为标准的系统服务。使用方法以下：

$ ssh host

$ ssh username@host

$ ssh -p 222 username@host

-p:指定访问端口;若是省略该参数,则默认访问SSH服务的默认端口22;

若是是第一次登陆对方主机,则系统会出现一下提示:

The authenticity of host 'host(192.168.0.21)' can't be established.

RSA key fingerprint is 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d.

Are you sure you want to continue connecting (yes/no)?

这段话是说，没法确认host主机的真实性，只知道它的公钥指纹，问你还想继续链接吗？

输入yes以后，系统会出现一句提示，表示host主机已经获得承认。

Warning: Permanently added 'host,192.168.0.21' (RSA) to the list of known hosts.

而后要求输入秘密：

$ Password: (enter password)

此时，若是秘密正确，就能够登陆了。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

在信任环境下，若是每次远程登陆时，都要输入密码，感受太浪费时间了，尤为是密码很复杂、维护的服务器比较多的状况下。

因而有了正常需求：不用输入密码便可实现远程登陆。

实现步骤以下：

一、本地生成一对秘钥文件(公钥和私钥);

$ ssh-keygen

#以上命令等价于 ssh-keygen -t rsa

#-t:指定密钥的类型,默认为SSH-2 的rsa类型;

运行上面的命令后，系统会出现一系列提示，能够一路回车。特别说明，其中有一个问题是，要不要对私钥设置口令（passphrase），若是担忧私钥的安全，能够设置一个。运行结束之后，会在 ~/.ssh/ 目录下新生成两个文件：id_rsa.pub和id_rsa。前者公钥，后者是私钥。

二、将公钥传送到远程主机host上面;

$ ssh-copy-id user@host

通过以上两步以后，就能够实现无密码远程登陆了(远程主机将用户的公钥保存在~/.ssh/authorized_keys文件中)。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

常见问题：

一、生成密钥并上传至远程主机后，仍然没法实现无密码登陆？

打开远程主机的 /etc/ssh/sshd_config 这个文件，如下几行取消注释。

#RSAAuthentication=yes

#PubkeyAuthentication=yes

#AuthorizedKeysFile=.ssh/authorized_keys

而后，重启远程主机的ssh服务。

#ubuntu系统

$ service ssh restart

#debian系统

$ /etc/init.d/ssh restart

二、执行ssh-copy-id 命令时，远程服务器的SSH服务端口不是22，以下：

$ ssh-copy-id nameB@machineB

ssh: connect to host machineB port 22: Connection refused

则使用以下命令：

$ ssh-copy-id "-p 22000 nameB@machineB"

三、ssh链接远程主机时，出现 WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED 警告。

 

分析缘由：系统重装、账号信息修改等都会形成密钥失效。
解决方法：删除无效的密钥，从新生成便可。
vi ~/.ssh/known_hosts
找到和远程主机ip一致的密钥，将其删除便可。

补充内容：

$ ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.0.2

$ ssh-copy-id -u eucalyptus -i /home/eucalyptus/.ssh/id_rsa.pubeucalyptus@remote_host

#-u：给eucalyptus用户设置无密码登录

#-i：当没有值传递时或 ~/.ssh/identity.pub 文件不可访问(不存在),ssh-copy-id将显示以下错误

/usr/bin/ssh-copy-id: ERROR: No identities found

SSH提供两种方式的登陆验证：

一、密码验证：以服务器中本地系统用户的登陆名称，密码进行验证。

二、秘钥对验证：要求提供相匹配的秘钥信息才能经过验证。一般先在客户机中建立一对秘钥文件(公钥和私钥)，而后将公钥文件放到服务器中的指定位置。

注意：当密码验证和私钥验证都启用时，服务器将优先使用秘钥验证。

SSH服务的配置文件：

sshd服务的配置文件默认在/etc/ssh/sshd_config，正确调整相关配置项，能够进一步提升sshd远程登陆的安全性。

配置文件的内容能够分为如下三个部分：

#SSH服务器监听的选项
#监听的端口
Port 22 
#使用SSH V2协议
Protocol 2
#监听的地址为全部地址
ListenAdderss 0.0.0.0
#//禁止DNS反向解析
UseDNS no

#用户登陆控制选项
#是否容许root用户登陆
PermitRootLogin no
#是否容许空密码用户登陆
PermitEmptyPasswords no
#登陆验证时间(2分钟)
LoginGraceTime 2m
#最大重试次数
MaxAuthTries 6
#只容许user用户登陆，与DenyUsers选项相反
AllowUsers user

#登陆验证方式
#启用密码验证
PasswordAuthentication yes
#启用秘钥验证
PubkeyAuthentication yes
#指定公钥数据库文件
AuthorsizedKeysFile .ssh/authorized_keys

查看SSH服务状态命令：/etc/init.d/sshd status

从新启动SSH服务命令：/etc/init.d/sshd restart

查看ssh软件的版本号命令：$ ssh -V 
OpenSSH_3.9p1, OpenSSL 0.9.7a Feb 19 2003 #代表该系统正在使用OpenSSH

ssh: SSH Secure Shell 3.2.9.1 (non-commercial version) on i686-pc-linux-gnu #代表该系统正在使用SSH2

当远程主机的公钥被接受之后，它就会被保存在文件$HOME/.ssh/known_hosts之中。下次再链接这台主机，系统就会认出它的公钥已经保存在本地了，从而跳过警告部分，直接提示输入密码。

每一个SSH用户都有本身的known_hosts文件，此外系统也有一个这样的文件，一般是/etc/ssh/ssh_known_hosts，保存一些对全部用户均可信赖的远程主机的公钥。