密钥登陆步骤(免密码登陆)
ssh登陆提供两种认证方式:口令(密码)认证方式和密钥认证方式。其中口令(密码)认证方式是咱们最经常使用的一种,出于安全方面的考虑,介绍密钥认证方式登陆到linux/unix的方法。
使用密钥登陆分为3步:
一、生成密钥(公钥与私钥);
二、放置公钥到服务器~/.ssh/authorized_key文件中;
三、配置ssh客户端使用密钥登陆。
---------------------
1、经过ssh-keygen命令生成密钥对,密钥类型为RSA,也能够经过其余软件生产密钥对。
==========================================================================
pipci@ubuntu:~$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/pipci/.ssh/id_rsa): <==这里输入私钥名,直接回车就能够名字就为括号中默认的名字
Enter passphrase (empty for no passphrase): <==输入密码,自动登陆设置为空,直接回车就能够
Enter same passphrase again: <==输入确认密码,直接回车就能够
Your identification has been saved in /home/pipci/.ssh/id_rsa. <==生成的私钥名和位置
Your public key has been saved in /home/pipci/.ssh/id_rsa.pub. <==生成的公钥名和位置
The key fingerprint is:
SHA256:Hsi5oo0Yr1a9eXtgNeLlu/UAJx1EiH34Gghv96FeXEs pipci@ubuntu
The key's randomart image is:
+---[RSA 2048]----+ <==密钥的位数
| o +o |
| . . +.. |
| o . o. |
| . B *.o.E |
| . * SoBo+ . |
| . . * =++ . |
|. . . = + oo |
| = + + . +. o |
|+.+ . ..o.. . |
+----[SHA256]-----+
pipci@ubuntu:~$
===================================================================
查看生成的密钥文件:
===================================================================
pipci@ubuntu:~$ ls -l .ssh/
-rw------- 1 pipci pipci 1679 10月 19 11:45 id_rsa
-rw-r--r-- 1 pipci pipci 394 10月 19 11:45 id_rsa.pub
pipci@ubuntu:~$
===================================================================
注意两点:
一、生成密钥对输入密码的做用是保护本地私有密钥的密码,也就是说,即便有人到用了你的计算机或私钥文件,没有这个密码依然不能使用你的私钥,在使用密钥登陆时候也会要求你输入密码,这个密码就是生成密钥对时候输入的密码,用来解锁私钥文件,密码最低5个字符。
二、生成密钥对的私钥权限必须是600公钥权限是644,即只能本人能够查看私钥文件,除了本人之外的任何用户都不能产看,别人能够查看也就意味着任何人均可以经过这个私钥登陆了,显然这是不安全的,公钥能够随便查看,可是不能修改内容,修改了还怎么配对登陆。同时密钥对的父目录.ssh的权限必须是700即只有本人能够查看和进入。若是是经过命令新建立的.ssh默认就是700权限,建立完查看下就能够,若是不是更改权限。若是不是上面说的权限,客户端登陆时候可能会出错。
2、经过scp命令将id_rsa.pub公钥文件复制到远程服务器:
====================================================================
pipci@ubuntu:~$ scp /home/pipci/.ssh/id_rsa.pub laopi@192.168.1.166:/home/laopi/.ssh/
laopi@192.168.1.166's password:
id_rsa.pub 100% 394 0.4KB/s 00:00
pipci@ubuntu:~$
=====================================================================
经过scp命令复制,前提是远程服务器已经开启ssh密码登陆,将公钥文件复制到用来管理用户主目录下面的.ssh目录若是不存在先建立这个目录。这个.ssh的目录权限
也要设置成700不让其余用户进入更改,上面的例子远程服务器的ip地址为192.168.1.166用户名为laopi(普通用户)
3、远程服务器的配置
一、将上传的公钥文件导成或重命名成authorized_keys文件或
laopi@debian:~$ cat .ssh/id_rsa.pub >> .ssh/authorized_keys #导成
二、编辑ssh的配置文件。
vim /etc/ssh/sshd_config
要确保下面这两项目前面没有#使之生效
---------------------------------------------------------------
PubkeyAuthentication yes #容许公钥认证
AuthorizedKeysFile .ssh/authorized_keys #指定包含用于用户身份验证的公钥的文件
---------------------------------------------------------------
为了安全考虑禁用root帐户登陆
PermitRootLogin no #选项前面能够加#号注释掉,一样会禁用root用户
有了证书登陆了,就禁用密码登陆吧,安全要紧
PasswordAuthentication no #选项前面能够加#号注释掉,一样会禁用密码登陆
重启一下ssh服务,这样ssh配置才能生效:
root@debian:~# systemctl restart sshd.service
4、ssh-keygen 命令经常使用参数
$ ssh-keygen 参数
经常使用参数:
-t 指定要建立的密钥类型,如:-t dsa(SSH-2) | ecdsa | ed25519 | rsa(SSH-2)| rsa1(SSH-1)
-b bits 指定密钥长度。对于 RSA 密钥,最小要求 768 位,默认是 2048 位
-C comment 提供一个注释。
-N new_passphrase 提供一个新的密语。
-F hostname
在 known_hosts 文件中搜索指定的 hostname ,并列出全部的匹配项。 这个选项主要用于查找散列过的主机名/ip地址,还能够和 -H 选项联用打印找到的公钥的散列值。
-H 对 known_hosts 文件进行散列计算。这将把文件中的全部主机名/ip地址替换为相应的散列值。原来文件的内容将会添加一个".old"后缀后保存。这些散列值只能被 ssh 和 sshd 使用。这个选项不会修改已经通过散列的主机名/ip地址,所以能够在部分公钥已经散列过的文件上安全使用。
-R hostname
从 known_hosts 文件中删除全部属于 hostname 的密钥。这个选项主要用于删除通过散列的主机(参见 -H 选项)的密钥。
-f filename 指定密钥文件名
-l 显示公钥文件的指纹数据。它也支持 RSA1 的私钥。对于 RSA 和 DSA 密钥,将会寻找对应的公钥文件,而后显示其指纹数据。
一、查看id_rsa.pub的公钥指纹
pipci@ubuntu:~$ ssh-keygen -lf .ssh/id_rsa.pub
2048 SHA256:Hsi5oo0Yr1a9eXtgNeLlu/UAJx1EiH34Gghv96FeXEs pipci@ubuntu (RSA)
一、用 md5 的方式查看指纹数据
pipci@ubuntu:~$ ssh-keygen -E md5 -lf .ssh/id_rsa.pub
2048 MD5:fa:ba:4b:35:18:7f:5f:94:f0:6b:b5:7a:89:98:f9:a5 pipci@ubuntu (RSA)
html