Linux - 配置SSH免密登陆 - “ssh-keygen”的基本用法

目录

• 1 什么是SSH
• 2 配置SSH免密登陆
  • 2.1 安装必需的软件
  • 2.2 ssh-keygen建立公钥-私钥对
  • 2.3 ssh-copy-id把A的公钥发送给B
  • 2.4 在A服务器上免密登陆B服务器
• 3 扩展说明
  • 3.1 其余方式发送公钥文件
  • 3.2 文件权限
  • 3.3 文件的编辑和查看

1 什么是SSH

引用百度百科的说明:

SSH 为 Secure Shell的缩写，由 IETF 的网络小组（Network Working Group）所制定；它是创建在应用层基础上的安全协议。
SSH 是目前较可靠，专为远程登陆会话和其余网络服务提供安全性的协议。利用 SSH 协议能够有效防止远程管理过程当中的信息泄露问题。
SSH最初是UNIX系统上的一个程序，后来又迅速扩展到其余操做平台。

为了在不一样平台/网络主机之间的通讯安全, 不少时候咱们都要经过ssh进行认证. ssh认证方式主要有2种:

① 基于口令的安全认证: 每次登陆的时候都要输入用户名和密码, 因为要在网络上传输密码, 可能存在中间人攻击的风险;
② 基于密钥的安全认证: 配置完成后就能够实现免密登陆, 这种方式更加安全 —— 不须要在网络上传递口令, 只须要传输一次公钥. 常见的git的ssh方式就是经过公钥进行认证的.

2 配置SSH免密登陆

说明: 这里演示所用的服务器操做系统是Cent OS 7. 咱们的目标是:

A服务器(172.16.22.131) 能免密登陆 B服务器 (172.16.22.132).

注意: ssh链接是单向的, A能免密登陆B, 并不能同时实现B能免密登陆A.

2.1 安装必需的软件

在操做以前, 先确保所须要的软件已经正常安装.

这里咱们须要安装ssh-keygen和ssh-copy-id, 安装方式以下:

# 安装ssh-keygen, 须要确保服务器能够联网. 博主这里已经安装完成, 因此没有作任何事.
[root@localhost ~]# yum install -y ssh-keygen
Loaded plugins: fastestmirror, langpacks
base                                                         | 3.6 kB  00:00:00     
epel                                                         | 3.6 kB  00:00:00     
extras                                                       | 2.9 kB  00:00:00     
updates                                                      | 2.9 kB  00:00:00     
Loading mirror speeds from cached hostfile
No package ssh-keygen available.
Error: Nothing to do

# 安装ssh-copy-id
[root@localhost ~]# yum install -y ssh-copy-id 
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
No package ssh-copy-id available.
Error: Nothing to do

2.2 ssh-keygen建立公钥-私钥对

(1) 在指定目录下生成rsa密钥, 并指定注释为“shoufeng”, 实现示例:

[root@localhost ~]# ssh-keygen  -t rsa    -f ~/.ssh/id_rsa   -C "shoufeng"
#                               ~密钥类型  ~密钥文件路径及名称  ~ 备注信息
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase):  # 输入密码, 若不输入则直接回车
Enter same passphrase again: # 再次确认密码, 若不输入则直接回车
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
9a:e3:94:b9:69:c8:e9:68:4b:dc:fa:43:25:7f:53:f1 shoufeng
The key's randomart image is:
+--[ RSA 2048]----+
|                 |
|          .      |
|           o     |
|    . .   . E    |
|     +  S.       |
| . .. .=o        |
|  oo.oB. .       |
| ..o=o.+         |
| .++oo+          |
+-----------------+

注意: 密钥的文件名称必须是id_xxx, 这里的xxx就是-t参数指定的密钥类型. 好比密钥类型是rsa, 那么密钥文件名就必须是id_rsa.

(2) ssh-keygen经常使用参数说明:

-t: 密钥类型, 能够选择 dsa | ecdsa | ed25519 | rsa;

-f: 密钥目录位置, 默认为当前用户home路径下的.ssh隐藏目录, 也就是~/.ssh/, 同时默认密钥文件名以id_rsa开头. 若是是root用户, 则在/root/.ssh/id_rsa, 若为其余用户, 则在/home/username/.ssh/id_rsa;

-C: 指定此密钥的备注信息, 须要配置多个免密登陆时, 建议携带;

-N: 指定此密钥对的密码, 若是指定此参数, 则命令执行过程当中就不会出现交互确认密码的信息了.

举例说明: 同时指定目录位置、密码、注释信息, 就不须要输入回车键便可完成建立:

ssh-keygen -t rsa -f ~/.ssh/id_rsa -N shoufeng -C shoufeng

(3) 前往~/.ssh/目录下查看生成的文件:

# 生成的文件以test_rsa开头, test_rsa是私钥, test_rsa.pub是公钥:
[root@localhost .ssh]# ls
test_rsa  test_rsa.pub

# 经过cat命令查看公钥文件: 
[root@localhost .ssh]# cat id_rsa.pub 
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC2JpLMqgeg9jB9ZztOCw0WMS8hdVpFxthqG1vOQTOji/cp0+8RUZl3P6NtzqfHbs0iTcY0ypIJGgx4eXyipfLvilV2bSxRINCVV73VnydVYl5gLHsrgOx+372Wovlanq7Mxq06qAONjuRD0c64xqdJFKb1OvS/nyKaOr9D8yq/FxfwKqK7TzJM0cVBAG7+YR8lc9tJTCypmNXNngiSlipzjBcnfT+5VtcFSENfuJd60dmZDzrQTxGFSS2J34CuczTQSsItmYF3DyhqmrXL+cJ2vjZWVZRU6IY7BpqJFWwfYY9m8KaL0PZ+JJuaU7ESVBXf6HJcQhYPp2bTUyff+vdV shoufeng
# 能够看到最后有一个注释内容shoufeng

2.3 ssh-copy-id把A的公钥发送给B

默认用法是: ssh-copy-id root@172.16.22.132, ssh-copy-id命令链接远程服务器时的默认端口是22, 固然能够指定文件、远程主机的IP、用户和端口:

# 指定要拷贝的本地文件、远程主机的IP+用户名+端口号:
[root@localhost .ssh]# ssh-copy-id -i ~/.ssh/id_rsa.pub -p 22 root@172.16.22.132
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@172.16.22.132's password:  # 输入密码后, 将拷贝公钥

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh -p '22' 'root@172.16.22.132'"
and check to make sure that only the key(s) you wanted were added.

2.4 在A服务器上免密登陆B服务器

[root@localhost .ssh]# ssh root@172.16.22.132
Last login: Fri Jun 14 08:46:04 2019 from 192.168.34.16    # 登陆成功😄

3 扩展说明

3.1 其余方式发送公钥文件

上述2.3步骤是经过ssh-copy-id工具发送公钥文件的, 固然咱们也能够经过其余方式实现:

(1) 将A的公钥文件发给B:

经过scp命令将A服务器的 公钥文件 发送到B服务器的用户目录下, 由于尚未配置成功免密登陆, 因此期间须要输入B服务器对应用户的密码:

[root@localhost .ssh]# scp id_rsa.pub root@172.16.22.132:/root/.ssh 
root@172.16.22.132's password: 
id_rsa.pub                                           100%  390     0.4KB/s   00:00

(2) 在B上建立authorized_keys文件:

[root@localhost .ssh]# cd /root/.ssh/
[root@localhost .ssh]# ls
id_rsa.pub
# 经过A服务器的公钥生成"authorized_keys"文件:
[root@localhost .ssh]# cat id_rsa.pub >> authorized_keys
[root@localhost .ssh]# cat authorized_keys 
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC2JpLMqgeg9jB9ZztOCw0WMS8hdVpFxthqG1vOQTOji/cp0+8RUZl3P6NtzqfHbs0iTcY0ypIJGgx4eXyipfLvilV2bSxRINCVV73VnydVYl5gLHsrgOx+372Wovlanq7Mxq06qAONjuRD0c64xqdJFKb1OvS/nyKaOr9D8yq/FxfwKqK7TzJM0cVBAG7+YR8lc9tJTCypmNXNngiSlipzjBcnfT+5VtcFSENfuJd60dmZDzrQTxGFSS2J34CuczTQSsItmYF3DyhqmrXL+cJ2vjZWVZRU6IY7BpqJFWwfYY9m8KaL0PZ+JJuaU7ESVBXf6HJcQhYPp2bTUyff+vdV shoufeng

注意: 上述重定向时使用>>进行追加, 不要用>, 那会清空原有内容.

3.2 文件权限

为了让私钥文件和公钥文件可以在认证中起做用, 须要确保权限的正确性:

① 对于.ssh目录以及其内部的公钥、私钥文件, 当前用户至少要有执行权限, 其余用户最多只能有执行权限.

② 不要图省事设置成777权限: 太大的权限不安全, 并且数字签名也不支持这种权限策略.

③ 对普通用户, 建议设置成600权限: chmod 600 authorized_keys id_rsa id_rsa.pub;

④ 对root用户, 建议设置成644权限: chmod 644 authorized_keys id_rsa id_rsa.pub.

3.3 文件的编辑和查看

在Liunx环境下, 若是要查看、复制私钥、公钥, 以及authorized_keys等文件, 不要使用vim等编辑器打开, 由于它会产生没必要要的回车;

应该经过cat、more、less等查看命令把内容打印到终端上, 再做查看、复制等操做.

参考资料

linux配置ssh免密码登陆

ssh-keygen 基本用法

版权声明

做者: 瘦风(https://healchow.com)

出处: 博客园 瘦风的博客(https://www.cnblogs.com/shoufeng)

感谢阅读, 若是文章有帮助或启发到你, 点个[好文要顶👆] 或 [推荐👍] 吧😜

本文版权归博主全部, 欢迎转载, 但 [必须在文章页面明显位置标明原文连接], 不然博主保留追究相关人员法律责任的权利.