linux配置ssh免密码,Linux下配置SSH免密通信 - “ssh-keygen”的基本用法
一、什么是SSH
引用百度百科的说明:
SSH 为 Secure Shell的缩写,由 IETF 的网络小组(Network Working Group)所制定;它是建立在应用层基础上的安全协议。
SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。
SSH最初是UNIX系统上的一个程序,后来又迅速扩展到其他操作平台。
为了在不同平台/网络主机之间的通信安全,很多时候我们都要通过ssh进行认证。ssh认证方式主要有2种:
① 基于口令的安全认证:每次登录的时候都要输入用户名和密码, 由于要在网络上传输密码, 可能存在中间人攻击的风险;
② 基于密钥的安全认证:配置完成后就可以实现免密登录, 这种方式更加安全 —— 不需要在网络上传递口令, 只需要传输一次公钥。常见的git的ssh方式就是通过公钥进行认证的。
二、配置SSH免密登录
说明: 这里演示所用的服务器操作系统是Cent OS 7. 我们的目标是:
A服务器(172.16.22.131) 能免密登录 B服务器 (172.16.22.132).
注意: ssh连接是单向的, A能免密登录B, 并不能同时实现B能免密登录A.
2.1 安装必需的软件
在操作之前, 先确保所需要的软件已经正常安装.
这里我们需要安装ssh-keygen和ssh-copy-id, 安装方式如下:
# 安装ssh-keygen, 需要确保服务器可以联网. 博主这里已经安装完成, 所以没有做任何事.[root@localhost ~]# yum install -y ssh-keygen
Loaded plugins: fastestmirror, langpacks
base | 3.6 kB 00:00:00
epel | 3.6 kB 00:00:00
extras | 2.9 kB 00:00:00
updates | 2.9 kB 00:00:00
Loading mirror speeds from cached hostfile
No package ssh-keygen available.
Error: Nothing to do
# 安装ssh-copy-id
[root@localhost ~]# yum install -y ssh-copy-id
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
No package ssh-copy-id available.
Error: Nothing to do
2.2 ssh-keygen创建公钥-私钥对
(1) 在指定目录下生成rsa密钥, 并指定注释为“shoufeng”, 实现示例:[root@localhost ~]# ssh-keygen -t rsa -f ~/.ssh/id_rsa -C "shoufeng"# ~密钥类型 ~密钥文件路径及名称 ~ 备注信息
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase): # 输入密码, 若不输入则直接回车
Enter same passphrase again: # 再次确认密码, 若不输入则直接回车
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
9a:e3:94:b9:69:c8:e9:68:4b:dc:fa:43:25:7f:53:f1 shoufeng
The key's randomart image is:
+--[ RSA 2048]----+
| |
| . |
| o |
| . . . E |
| + S. |
| . .. .=o |
| oo.oB. . |
| ..o=o.+ |
| .++oo+ |
+-----------------+
注意: 密钥的文件名称必须是id_xxx, 这里的xxx就是-t参数指定的密钥类型. 比如密钥类型是rsa, 那么密钥文件名就必须是id_rsa.
(2) ssh-keygen常用参数说明:
-t: 密钥类型, 可以选择 dsa | ecdsa | ed25519 | rsa;
-f: 密钥目录位置, 默认为当前用户home路径下的.ssh隐藏目录, 也就是~/.ssh/, 同时默认密钥文件名以id_rsa开头. 如果是root用户, 则在/root/.ssh/id_rsa, 若为其他用户, 则在/home/username/.ssh/id_rsa;
-C: 指定此密钥的备注信息, 需要配置多个免密登录时, 建议携带;
-N: 指定此密钥对的密码, 如果指定此参数, 则命令执行过程中就不会出现交互确认密码的信息了.
举例说明: 同时指定目录位置、密码、注释信息, 就不需要输入回车键即可完成创建:ssh-keygen -t rsa -f ~/.ssh/id_rsa -N shoufeng -C shoufeng
(3) 前往~/.ssh/目录下查看生成的文件:
# 生成的文件以test_rsa开头, test_rsa是私钥, test_rsa.pub是公钥:[root@localhost .ssh]# ls
test_rsa test_rsa.pub
# 通过cat命令查看公钥文件:
[root@localhost .ssh]# cat id_rsa.pub
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC2JpLMqgeg9jB9ZztOCw0WMS8hdVpFxthqG1vOQTOji/cp0+8RUZl3P6NtzqfHbs0iTcY0ypIJGgx4eXyipfLvilV2bSxRINCVV73VnydVYl5gLHsrgOx+372Wovlanq7Mxq06qAONjuRD0c64xqdJFKb1OvS/nyKaOr9D8yq/FxfwKqK7TzJM0cVBAG7+YR8lc9tJTCypmNXNngiSlipzjBcnfT+5VtcFSENfuJd60dmZDzrQTxGFSS2J34CuczTQSsItmYF3DyhqmrXL+cJ2vjZWVZRU6IY7BpqJFWwfYY9m8KaL0PZ+JJuaU7ESVBXf6HJcQhYPp2bTUyff+vdV shoufeng
# 可以看到最后有一个注释内容shoufeng
2.3 ssh-copy-id把A的公钥发送给B
默认用法是: ssh-copy-id root@172.16.22.132, ssh-copy-id命令连接远程服务器时的默认端口是22, 当然可以指定文件、远程主机的IP、用户和端口:# 指定要拷贝的本地文件、远程主机的IP+用户名+端口号:
[root@localhost .ssh]# ssh-copy-id -i ~/.ssh/id_rsa.pub -p 22 root@172.16.22.132
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@172.16.22.132's password: # 输入密码后, 将拷贝公钥
Number of key(s) added: 1
Now try logging into the machine, with: "ssh -p '22' 'root@172.16.22.132'"
and check to make sure that only the key(s) you wanted were added.
2.4 在A服务器上免密登录B服务器[root@localhost .ssh]# ssh root@172.16.22.132
Last login: Fri Jun 14 08:46:04 2019 from 192.168.34.16 # 登录成功
三、扩展说明
3.1 其他方式发送公钥文件
上述2.3步骤是通过ssh-copy-id工具发送公钥文件的, 当然我们也可以通过其他方式实现:
(1) 将A的公钥文件发给B:
通过scp命令将A服务器的 公钥文件 发送到B服务器的用户目录下, 因为还没有配置成功免密登录, 所以期间需要输入B服务器对应用户的密码:[root@localhost .ssh]# scp id_rsa.pub root@172.16.22.132:/root/.ssh
root@172.16.22.132's password:
id_rsa.pub 100% 390 0.4KB/s 00:00
(2) 在B上创建authorized_keys文件:[root@localhost .ssh]# cd /root/.ssh/[root@localhost .ssh]# lsid_rsa.pub# 通过A服务器的公钥生成"authorized_keys"文件:[root@localhost .ssh]# cat id_rsa.pub >> authorized_keys[root@localhost .ssh]# cat authorized_keys ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC2JpLMqgeg9jB9ZztOCw0WMS8hdVpFxthqG1vOQTOji/cp0+8RUZl3P6NtzqfHbs0iTcY0ypIJGgx4eXyipfLvilV2bSxRINCVV73VnydVYl5gLHsrgOx+372Wovlanq7Mxq06qAONjuRD0c64xqdJFKb1OvS/nyKaOr9D8yq/FxfwKqK7TzJM0cVBAG7+YR8lc9tJTCypmNXNngiSlipzjBcnfT+5VtcFSENfuJd60dmZDzrQTxGFSS2J34CuczTQSsItmYF3DyhqmrXL+cJ2vjZWVZRU6IY7BpqJFWwfYY9m8KaL0PZ+JJuaU7ESVBXf6HJcQhYPp2bTUyff+vdV shoufeng
注意: 上述重定向时使用>>进行追加, 不要用>, 那会清空原有内容.
3.2 文件权限
为了让私钥文件和公钥文件能够在认证中起作用, 需要确保权限的正确性:
① 对于.ssh目录以及其内部的公钥、私钥文件, 当前用户至少要有执行权限, 其他用户最多只能有执行权限.
② 不要图省事设置成777权限: 太大的权限不安全, 而且数字签名也不支持这种权限策略.
③ 对普通用户, 建议设置成600权限: chmod 600 authorized_keys id_rsa id_rsa.pub
④ 对root用户, 建议设置成644权限: chmod 644 authorized_keys id_rsa id_rsa.pub
3.3 文件的编辑和查看
在Liunx环境下, 如果要查看、复制私钥、公钥, 以及authorized_keys等文件, 不要使用vim等编辑器打开, 因为它会产生不必要的回车;
应该通过cat、more、less等查看命令把内容打印到终端上, 再作查看、复制等操作.
四、常见问题及解决
(1) 问题描述:
通过ssh-copy-id命令拷贝公钥文件之后, 尝试免密登录另一台服务器时发生错误:
权限错误导致免密登录失败[root@localhost ~]# ssh root@172.16.22.131
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: UNPROTECTED PRIVATE KEY FILE! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0644 for '/root/.ssh/id_rsa' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
bad permissions: ignore key: /root/.ssh/id_rsa
root@172.16.22.131's password:
(2) 问题原因:
提示信息说明密钥文件不受保护, 具体是说这里的密钥文件权限是0644, 而数字签名机制要求密钥文件不能被其他用户访问(读取), 所以该密钥文件被强制忽略处理了.
(3) 问题解决:
只要修改该密钥文件的权限即可:chmod 600 /root/.ssh/id_rsa
这里/root/.ssh/id_rsa就是warning里给出的密钥文件名.
本文来自投稿,不代表访得立场,如若转载,请注明出处:http://www.found5.com//view/593.html
linux配置ssh免密码,Linux下配置SSH免密通信 - “ssh-keygen”的基本用法相关推荐
- wsl2设置挂载_Windows下的Linux子系统安装,WSL 2下配置docker
Windows下的Linux子系统安装,WSL 2下配置docker 前提条件: 安装WSL 2需要Windows 10版本是Build 18917或更高,首先先确认系统版本已升级. 在"启 ...
- ssh免密码登录快速配置方法
环境需求: 两台Linux主机 A (192.168.3.101)和 B(192.168.3.102),如何使用主机 A 免密码登录 主机B ? 配置步骤: 首页登录主机 A ,在主机A上生成自己 ...
- linux vnc 改端口号,RHEL6下配置vncserver服务(包括修改vnc端口)
RHEL6下配置vncserver服务(包括修改vnc端口) (2012-04-13 23:36:07) 标签: it 配置完vsftpd后,还必须要开的服务就是vnc啦, 首先,在root用户下利用 ...
- Linux、Mac、windows 系统下 配置Python虚拟环境 virtualenvwrapper教程,workon切换环境, 非常简单方便
前言 开发及测试过程中每个环境都有各自的作用,避免破坏其他环境所以建议每个项目新建一个虚拟环境,经过对比最终我选择了virtualenvwrapper来作为我开发中虚拟环境管理工具,接下来一起来看一下 ...
- vscode linux新建c语言,Ubuntu16.04下配置VScode的C/C++开发环境
1. Vscode安装 Visual studio code是微软发布的一个运行于 Mac OS X.Windows和 Linux 之上的,针对于编写现代 Web 和云应用的跨平台源代码编辑器.第一种 ...
- linux一键搭建ddns,在CentOS下配置DDNS并实现动态更新
由于项目需要,最近在CentOS 6系统中配置了一个DDNS(Dynamic DNS)服务器, 从而实现了动态对域名的添加删除等操作,记录一下步骤,备忘. 第一步 安装BIND BIND全称是Berk ...
- linux ssh无需密码,linux下 ssh 实现无需密码的远程登陆
主机A(OpenSUSE12.1):119.78.222.95 主机B (Fedora16): 202.122.25.36 1.主机A:生成秘钥对id_rsa和id_rsa.pub linux-9ju ...
- linux上mysql忘记密码,linux下mysql忘记密码解决方案
一.写随笔的原因:之前自己服务器上的mysql很久不用了,忘记了密码,所以写一下解决方案,以供以后参考 二.具体的内容: 1. 检查mysql服务是否启动,如果启动,关闭mysql服务 运行命令:ps ...
- 服务器免密码传输文件,CentOS7,使用 scp 命令, ssh 连接方式,免密码传输文件到远程服务器,免密执行远程服务器上的 shell 脚本...
如题 如果提示:-bash: scp: command not found, 执行下面的命令安装:1 yum install -y openssh-clients 免密码配置通常用 scp 命令通过 ...
最新文章
- 广播风暴及STP生成树协议
- python2 urllib 笔记
- 写给正在入坑linux系统的伙伴
- 知识图谱( 知识图谱管理)
- git stash pop冲突_这有一份 git 日常使用清单,你需要吗?
- python爬取b站用户_用Python爬取bilibili全站用户信息
- mysql数据库补救措施_关于MySql数据库误操作数据找回的办法
- 又拍云 php,GitHub - NoDurex/php-sdk: 又拍云存储PHP SDK
- Java Web项目在Linux服务器自动化部署
- 华为主题包hwt下载_华为主题开发工具
- 设置Idea护眼背景色 简单明了
- SQL标准语句——思维导图
- 基于https的harbor部署与升级
- OpenDaylight-Boron学习笔记: 6 VTN模块
- 提示缺少unicode打开乱码_教你如何破译乱码
- js移除某个样式_JS removeAttribute()方法:删除元素的某个属性
- hyperlink的学习
- python罗盘时钟代码_jQuery css3创意的罗盘时钟代码
- python根据词频绘制词云的函数_根据词频生成词云(Python wordcloud实现)
- 怎样才能让青少年培养起阅读习惯?听听猿辅导这四位嘉宾怎么说
热门文章
- golang 打印调用堆栈
- fs:[124]对应CurrentThread
- Linux0.11进程分配时间片的策略
- socket 与 vfs
- 数据结构 - 二元查找树
- go语言学习(一)——go语言简介和环境搭建
- quickbuild php,QuickBooks API(php)集成
- 谷歌浏览器怎么改html5,关于谷歌浏览器不支持html5中audio的autoplay解决方法(js代码解决)...
- ubuntu下amd超频工具_Ubuntu 16.04 LTS 推荐开源 AMDGPU 和 Radeon 驱动程序-阿里云开发者社区...
- c语言编码表白,C语言告白代码,一闪一闪亮晶晶~