Linux 配置免密登錄 慄子 生成公鑰和私鑰 ssh-keygen -t rsa Tips: 執行後會在~/.ssh/目錄下創建 id_rsa 和 id_rsa.pub 文件 生成省份認證文件 ssh-copy-id -i ~/.ssh/id_rsa.pub [email protected] T ...
Linux 配置免密登錄
慄子
-
生成公鑰和私鑰
ssh-keygen -t rsa
Tips: 執行後會在
~/.ssh/目錄下創建id_rsa和id_rsa.pub文件 -
生成省份認證文件
ssh-copy-id -i ~/.ssh/id_rsa.pub [email protected]
Tips: 三次回車; 作用是將本地公鑰填充到一個遠程主機192.168.0.18的
authorized_keys文件中(遠程主機沒有該文件時會自動創建) -
SSH 連接驗證
Tips:
- 此時 SSH 連接就不用再輸入密碼了;
- 需要配置哪台主機免密,只需要執行
ssh-copy-id即可;或者將遠程主機的authorized_keys文件拷貝到需要免密的主機中(比如:A主機免密到B主機後,A主機還需要免密到C主機,那我們可以把B主機的authorized_keys文件拷貝到C主機中即可)
SSH 協議
SSH 為 Secure Shell 的縮寫,由 IETF 的網路小組(Network Working Group)所制定;SSH 為建立在應用層基礎上的安全協議。SSH 是目前較可靠,專為遠程登錄會話和其他網路服務提供安全性的協議。利用 SSH 協議可以有效防止遠程管理過程中的信息泄露問題。簡單來說ssh是一種加密的用於遠程登錄的協議。
更多SSH協議內容移步:SSH協議(從對稱加密到非對稱加密)
免密配置介紹
術語解釋
known_hosts:是做伺服器認證的,當你用ssh連接到一個新的伺服器的時候,ssh會讓你確認伺服器的信息(功能變數名稱、IP、公鑰),然後寫到known_hosts里,以後你再連接到這個伺服器就不用再確認了。如果信息改變了(通常是公鑰改變了),就會提示你伺服器信息改變了,你可以把它從known_hosts里刪除,然後重新確認;authorized_keys:該文件用於保存其他主機的公鑰;(比如:A主機要免密登錄到B主機,就要把A主機的公鑰保存到B主機的authorized_keys文件中)id_rsa.pubrsa公鑰,可以發送到其他機子,用於加密;id_rsarsa私鑰,只能保存在本機,用於解密;
生成公鑰和私鑰
SSH提供了公鑰登錄,可以省去輸入密碼的步驟。所謂"公鑰登錄",就是用戶將自己的公鑰(id_rsa.pub)儲存在遠程主機上。登錄的時候,遠程主機會向用戶發送一段用用戶機器公鑰加密的隨機字元串,用戶機器收到加密的字元串後,用自己的私鑰解密後,再發回來。遠程主機用事先儲存的公鑰進行解密,如果成功,就證明用戶是可信的,直接允許登錄shell,不再要求密碼。
-
用法:
ssh-keygen [-t rsa] [-f /path/identity_file] [-C "備註"]
執行後,可三次回車,三次回車意義如下:
- 一次回車: 輸入保存密鑰的文件;回車表示輸出文件使用預設位置,即
~/.ssh/(使用-f參數則不會出現) - 二次回車:輸入口令(回車表示口令為空)
- 三次回車:再次輸入口令
- 一次回車: 輸入保存密鑰的文件;回車表示輸出文件使用預設位置,即
-
參數:
-t: 指定使用的數字簽名演算法, 分別有dsa、rsa、 ecdsa、ed25519;預設為rsa-f: 指定文件輸出位置,預設為~/.ssh/-C: 註釋,備註;預設為user@hostname
Tips:
rsa是目前相容性最好的,應用最廣泛的key類型,在用ssh-keygen工具生成key的時候,預設使用的也是這種類型。不過在生成key時,如果指定的key size太小的話,也是有安全問題的,推薦key size是3072或更大。ed25519是目前最安全、加解密速度最快的key類型,由於其數學特性,它的key的長度比rsa小很多,優先推薦使用。它目前唯一的問題就是相容性,即在舊版本的ssh工具集中可能無法使用。(centos 6中無法使用ed25519)- 優先推薦
ed25519,如果您使用的是不支持 Ed25519 演算法的舊系統,請使用 RSA,感興趣的可以點擊Ed25519和 RSA詳情入口瞭解;
生成認證文件
ssh-copy-id [-i [identity_file]] [user@]machine
Tips:
-i: 指定公鑰文件; 預設使用~/.ssh/identity_file.pub作為預設公鑰;- 該命令不會檢查重覆,如果多次運行
ssh-copy-id,會在遠程主機中多次寫入 authorized_keys user: 指定遠程的用戶,預設為當前用戶;- 執行成功之後,會在目標機器~/.ssh/目錄已經生成
authorized_keys的文件,裡面保存的正是原機器上 ssh-keygen 生成的公鑰(如:id_rsa.pub)的內容。 - 此命令的效果是將本地公鑰填充到一個遠程主機的 authorized_keys 文件中。
