ssh证书登陆(实例详解)

前言

本文基于实际Linux管理工做，实例讲解工做中使用ssh证书登陆的实际流程，讲解ssh证书登陆的配置原理，基于配置原理，解决实际工做中，windows下使用SecureCRT证书登陆的各类问题，以及实现hadoop集群部署要求的无密码跳转问题。

ssh有密码登陆和证书登陆，初学者都喜欢用密码登陆，甚至是root帐户登陆，密码是123456。可是在实际工做中，尤为是互联网公司，基本都是证书登陆的。内网的机器有多是经过密码登陆的，但在外网的机器，若是是密码登陆，很容易受到攻击，真正的生产环境中，ssh登陆都是证书登陆。

证书登陆的步骤

1.客户端生成证书:私钥和公钥，而后私钥放在客户端，稳当保存，通常为了安全，访问有黑客拷贝客户端的私钥，客户端在生成私钥时，会设置一个密码，之后每次登陆ssh服务器时，客户端都要输入密码解开私钥(若是工做中，你使用了一个没有密码的私钥，有一天服务器被黑了，你是跳到黄河都洗不清)。

2.服务器添加信用公钥：把客户端生成的公钥，上传到ssh服务器，添加到指定的文件中，这样，就完成ssh证书登陆的配置了。

假设客户端想经过私钥要登陆其余ssh服务器，同理，能够把公钥上传到其余ssh服务器。

真实的工做中:员工生成好私钥和公钥(千万要记得设置私钥密码)，而后把公钥发给运维人员，运维人员会登记你的公钥，为你开通一台或者多台服务器的权限，而后员工就能够经过一个私钥，登陆他有权限的服务器作系统维护等工做，因此，员工是有责任保护他的私钥的，若是被别人恶意拷贝，你又没有设置私钥密码，那么，服务器就全完了，员工也能够放长假了。

客户端创建私钥和公钥

在客户端终端运行命令

ssh-keygen -t rsa

rsa是一种密码算法，还有一种是dsa，证书登陆经常使用的是rsa。

假设用户是blue,执行 ssh-keygen 时，才会在个人home目录底下的 .ssh/ 这个目录里面产生所须要的两把 Keys ，分别是私钥 (id_rsa) 与公钥 (id_rsa.pub)。

另外就是私钥的密码了，若是不是测试，不是要求无密码ssh，那么对于passphrase，不能输入空(直接回车),要稳当想一个有特殊字符的密码。

ssh服务端配置

ssh服务器配置以下:

vim /etc/ssh/sshd_config
#禁用root帐户登陆，非必要，但为了安全性，请配置
PermitRootLogin no

# 是否让 sshd 去检查用户家目录或相关档案的权限数据，
# 这是为了担忧使用者将某些重要档案的权限设错，可能会致使一些问题所致。
# 例如使用者的 ~.ssh/ 权限设错时，某些特殊状况下会不准用户登入
StrictModes no

# 是否容许用户自行使用成对的密钥系统进行登入行为，仅针对 version 2。
# 至于自制的公钥数据就放置于用户家目录下的 .ssh/authorized_keys 内
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile      %h/.ssh/authorized_keys

#有了证书登陆了，就禁用密码登陆吧，安全要紧
PasswordAuthentication no

配置好ssh服务器的配置了，那么咱们就要把客户端的公钥上传到服务器端，而后把客户端的公钥添加到authorized_keys

在客户端执行命令

scp ~/.ssh/id_rsa.pub blue@<ssh_server_ip>:~

在服务端执行命令

cat  id_rsa.pub >> ～/.ssh/authorized_keys

若是有修改配置/etc/ssh/sshd_config，须要重启ssh服务器

/etc/init.d/ssh restart

 

客户端经过私钥登陆ssh服务器

ssh命令

ssh -i /blue/.ssh/id_rsa blue@<ssh_server_ip>

scp命令

scp -i /blue/.ssh/id_rsa filename blue@<ssh_server_ip>:/blue

每次敲命令，都要指定私钥，是一个很繁琐的事情，因此咱们能够把私钥的路径加入ssh客户端的默认配置里

修改/etc/ssh/ssh_config

#其实默认id_rsa就已经加入私钥的路径了,这里只是示例而已
IdentityFile ~/.ssh/id_rsa
#若是有其余的私钥，还要再加入其余私钥的路径
IdentityFile ~/.ssh/blue_rsa

其余应用场景

SecureCRT密钥key远链接程ssh证书登陆Linux

  国内大部分人用的系统是windows，而windows下有不少ssh客户端图形工做，最流行，功能最强大的就是SecureCRT了，因此我会单独针对SecureCRT简单讲下实现ssh证书登陆Linux的要点,步骤以下:

  1:在SecureCRT建立私钥和公钥:主菜单->工具->建立公钥->选择RSA->填写私钥的密码->密钥长度填为1024->点击完成，生成两个文件,默认名为identity和identity.pub

  2.把私钥和公钥转换为OpenSSH格式:主菜单->工具->转换私钥到OpenSSH格式->选择刚生成私钥文件identity->输入私钥的密码->生成两个文件，指定为id_rsa,id_rsa.pub 

  3.把公钥id_rsa.pub上传到ssh服务器，按照以前配置服务器端的证书，再配置一次。

  另外，若是你以前用windows的 SecureCRT的证书登陆linux的，有一天你换成了linux，并但愿经过原来的私钥登陆公司的服务器，那么能够把id_rsa拷贝倒~/.ssh/目录下，配置ssh客户端参考上文。

  备注:ssh对证书的文件和目录权限比较敏感，要么根据出错提示设置好文件和目录权限，要么是把StrictModes选项设置为no

hadoop部署的无密码ssh登陆

hadoop要求master要无密码跳转到每一个slave,那么master就是上文中的ssh客户端了，步骤以下

   在hadoop master上，生成公钥私钥，这个场景下，私钥不能设置密码。

   把公钥上传到每一个slave上指定的目录，这样就完成了ssh的无密码跳转了。

总结

ssh证书登陆，在实际工做才是最经常使用的登陆方式，本人结合了真正工做的场景普及了ssh证书登陆的知识，并根据流行的hadoop部署和windows下最经常使用的SecureCRT实例讲解了证书登陆。