ssh-keygen 命令详解

ssh-keygen 命令详解

转自: http://blog.csdn.net/wh_19910525/article/details/7433164

为了让两个Linux机器之间使用ssh不须要用户名和密码。因此采用了数字签名RSA或者DSA来完成这个操做。

模型分析

假设 A （192.168.20.59）为客户机器，B（192.168.20.60）为目标机；

要达到的目的：
A机器ssh登陆B机器无需输入密码；
加密方式选 rsa|dsa都可以，默认dsa

ssh-keygen -t rsa #使用rsa加密

2、具体操做流程

单向登录的操做过程（能知足上边的目的）：
一、登陆A机器 
二、ssh-keygen -t [rsa|dsa]，将会生成密钥文件和私钥文件 id_rsa,id_rsa.pub或id_dsa,id_dsa.pub
三、将 .pub 文件复制到B机器的 .ssh 目录， 并 cat id_dsa.pub >> ~/.ssh/authorized_keys
四、大功告成，从A机器登陆B机器的目标帐户，再也不须要密码了；（直接运行 #ssh 192.168.20.60 ）

双向登录的操做过程：

一、ssh-keygen作密码验证能够使在向对方机器上ssh ,scp不用使用密码.具体方法以下:
二、两个节点都执行操做：#ssh-keygen -t rsa
  而后所有回车,采用默认值.

三、这样生成了一对密钥，存放在用户目录的~/.ssh下。
将公钥考到对方机器的用户目录下 ，并将其复制到~/.ssh/authorized_keys中（操做命令：#cat id_dsa.pub >> ~/.ssh/authorized_keys ）。

四、设置文件和目录权限：

设置authorized_keys权限
$ chmod 600 authorized_keys 
设置.ssh目录权限
$ chmod 700 -R .ssh

五、要保证.ssh和authorized_keys都只有用户本身有写权限。不然验证无效。（今天就是遇到这个问题，找了很久问题所在），其实仔细想一想，这样作是为了避免会出现系统漏洞。

我从20.60去访问20.59的时候会提示以下错误：

 

The authenticity of host '192.168.20.59 (192.168.20.59)' can't be established.  RSA key fingerprint is 6a:37:c0:e1:09:a4:29:8d:68:d0:ca:21:20:94:be:18.  Are you sure you want to continue connecting (yes/no)? yes  Warning: Permanently added '192.168.20.59' (RSA) to the list of known hosts.  root@192.168.20.59's password:   Permission denied, please try again.  root@192.168.20.59's password:   Permission denied, please try again.  root@192.168.20.59's password:   Permission denied (publickey,gssapi-with-mic,password).  

3、总结注意事项

一、文件和目录的权限千万别设置成chmod 777.这个权限太大了，不安全，数字签名也不支持。我开始图省事就这么干了

二、生成的rsa/dsa签名的公钥是给对方机器使用的。这个公钥内容还要拷贝到authorized_keys

三、linux之间的访问直接 ssh 机器ip

四、某个机器生成本身的RSA或者DSA的数字签名，将公钥给目标机器，而后目标机器接收后设定相关权限（公钥和authorized_keys权限），这个目标机就能被生成数字签名的机器无密码访问了

 ssh-keygen设置ssh无密码登陆

ssh-keygen - 生成、管理和转换认证密钥，包括 RSA 和 DSA 两种密钥
密钥类型能够用 -t 选项指定。若是没有指定则默认生成用于SSH-2的RSA密钥
 
配置：
一、在本地机器中的~/.ssh/目录下执行下命令
ssh-keygen -t dsa
将生成两个文件,id_dsa和id_dsa.pub
 
二、将id_dsa.pub拷贝到远程机器,而且将id_dsa.pub的内容添加到~/.ssh/authorized_keys中
cat id_dsa.pub >>authorized_keys
注意:目录.ssh和文件authorized_keys的权限必须是600
 
完成以上操做以后，用户从本地机器到远程机器就不须要用密码了
 
 
几个文件的做用说明，摘自http://lamp.linux.gov.cn/OpenSSH/ssh-keygen.html
 

     ~/.ssh/identity

             该用户默认的 RSA1 身份认证私钥(SSH-1)。此文件的权限应当至少限制为"600"。

             生成密钥的时候能够指定采用密语来加密该私钥(3DES)。

             ssh将在登陆的时候读取这个文件。

     ~/.ssh/identity.pub

             该用户默认的 RSA1 身份认证公钥(SSH-1)。此文件无需保密。

             此文件的内容应该添加到全部 RSA1 目标主机的 ~/.ssh/authorized_keys 文件中。

 

     ~/.ssh/id_dsa

             该用户默认的 DSA 身份认证私钥(SSH-2)。此文件的权限应当至少限制为"600"。

             生成密钥的时候能够指定采用密语来加密该私钥(3DES)。

             ssh将在登陆的时候读取这个文件。

 

     ~/.ssh/id_dsa.pub

             该用户默认的 DSA 身份认证公钥(SSH-2)。此文件无需保密。

             此文件的内容应该添加到全部 DSA 目标主机的 ~/.ssh/authorized_keys 文件中。

 

     ~/.ssh/id_rsa

             该用户默认的 RSA 身份认证私钥(SSH-2)。此文件的权限应当至少限制为"600"。

             生成密钥的时候能够指定采用密语来加密该私钥(3DES)。

             ssh将在登陆的时候读取这个文件。

 

     ~/.ssh/id_rsa.pub

             该用户默认的 RSA 身份认证公钥(SSH-2)。此文件无需保密。

             此文件的内容应该添加到全部 RSA 目标主机的 ~/.ssh/authorized_keys 文件中。

 

     /etc/ssh/moduli

             包含用于 DH-GEX 的 Diffie-Hellman groups

 BG2BLT01 is on, BG2BLT02 is power off. They’re too noisy L

When and how to move them to data center?

 

Please update SSH key in .33 server for Git repo access.

ssh-keygen -t dsa

 

scp ~/.ssh/id_dsa.pub [YOUR_USER_NAME]@10.38.116.33:authorized_keys

 

ssh [YOUR_USER_NAME]@ 10.38.116.33

 

skip below 3 steps if you already have .ssh and .ssh/authorized_keys

mkdir -m 700 .ssh

touch .ssh/authorized_keys

chmod 600 .ssh/authorized_keys

 

cat authorized_keys >> .ssh/authorized_keys;exit

 

vi ~/.ssh/config

add lines and save quit

host 10.38.116.33

user [YOUR_USER_NAME]