ssh 免密_Linux下配置SSH免密通信 “sshkeygen”的基本用法

利用 SSH 協議可以有效防止遠程管理過程中的信息泄露問題。SSH最初是UNIX系統上的一個程序，后來又迅速擴展到其他操作平臺。

1 什么是SSH

引用百度百科的說明:SSH 為 Secure?Shell的縮寫，由 IETF 的網絡小組(Network Working Group)所制定；它是建立在應用層基礎上的安全協議。SSH 是目前較可靠，專為遠程登錄會話和其他網絡服務提供安全性的協議。利用 SSH 協議可以有效防止遠程管理過程中的信息泄露問題。SSH最初是UNIX系統上的一個程序，后來又迅速擴展到其他操作平臺。

為了在不同平臺/網絡主機之間的通信安全, 很多時候我們都要通過ssh進行認證. ssh認證方式主要有2種:

① 基于口令的安全認證: 每次登錄的時候都要輸入用戶名和密碼, 由于要在網絡上傳輸密碼, 可能存在中間人攻擊的風險;② 基于密鑰的安全認證: 配置完成后就可以實現免密登錄, 這種方式更加安全 —— 不需要在網絡上傳遞口令, 只需要傳輸一次公鑰. 常見的git的ssh方式就是通過公鑰進行認證的.

2 配置SSH免密登錄

說明: 這里演示所用的服務器操作系統是Cent OS 7. 我們的目標是:

A服務器(172.16.22.131) 能免密登錄 B服務器 (172.16.22.132).

注意: ssh連接是單向的, A能免密登錄B, 并不能同時實現B能免密登錄A.

2.1 安裝必需的軟件

在操作之前, 先確保所需要的軟件已經正常安裝.

這里我們需要安裝ssh-keygen和ssh-copy-id, 安裝方式如下:# 安裝ssh-keygen, 需要確保服務器可以聯網. 博主這里已經安裝完成, 所以沒有做任何事.

[root@localhost ~]# yum install -y ssh-keygenLoaded plugins: fastestmirror, langpacksbase | 3.6 kB 00:00:00epel | 3.6 kB 00:00:00extras | 2.9 kB 00:00:00updates | 2.9 kB 00:00:00Loading mirror speeds from cached hostfileNo package ssh-keygen available.Error: Nothing to do# 安裝ssh-copy-id[root@localhost ~]# yum install -y ssh-copy-idLoaded plugins: fastestmirror, langpacksLoading mirror speeds from cached hostfileNo package ssh-copy-id available.Error: Nothing to do

2.2 ssh-keygen創建公鑰-私鑰對

(1) 在指定目錄下生成rsa密鑰, 并指定注釋為“shoufeng”, 實現示例:

[root@localhost ~]# ssh-keygen -t rsa -f ~/.ssh/id_rsa -C "shoufeng"# ~密鑰類型 ~密鑰文件路徑及名稱 ~ 備注信息Generating public/private rsa key pair.Enter passphrase (empty for no passphrase): # 輸入密碼, 若不輸入則直接回車Enter same passphrase again: # 再次確認密碼, 若不輸入則直接回車Your identification has been saved in /root/.ssh/id_rsa.Your public key has been saved in /root/.ssh/id_rsa.pub.The key fingerprint is:9a:e3:94:b9:69:c8:e9:68:4b:dc:fa:43:25:7f:53:f1 shoufengThe key's randomart image is:+--[ RSA 2048]----+| || . || o || . . . E || + S. || . .. .=o || oo.oB. . || ..o=o.+ || .++oo+ |+-----------------+

注意: 密鑰的文件名稱必須是id_xxx, 這里的xxx就是-t參數指定的密鑰類型. 比如密鑰類型是rsa, 那么密鑰文件名就必須是id_rsa.

(2) ssh-keygen常用參數說明:

-t: 密鑰類型, 可以選擇 dsa | ecdsa | ed25519 | rsa;

-f: 密鑰目錄位置, 默認為當前用戶home路徑下的.ssh隱藏目錄, 也就是~/.ssh/, 同時默認密鑰文件名以id_rsa開頭. 如果是root用戶, 則在/root/.ssh/id_rsa, 若為其他用戶, 則在/home/username/.ssh/id_rsa;

-C: 指定此密鑰的備注信息, 需要配置多個免密登錄時, 建議攜帶;

-N: 指定此密鑰對的密碼, 如果指定此參數, 則命令執行過程中就不會出現交互確認密碼的信息了.

舉例說明: 同時指定目錄位置、密碼、注釋信息, 就不需要輸入回車鍵即可完成創建:

ssh-keygen -t rsa -f ~/.ssh/id_rsa -N shoufeng -C shoufeng

(3) 前往~/.ssh/目錄下查看生成的文件:

# 生成的文件以test_rsa開頭, test_rsa是私鑰, test_rsa.pub是公鑰:[root@localhost .ssh]# lstest_rsa test_rsa.pub# 通過cat命令查看公鑰文件:[root@localhost .ssh]# cat id_rsa.pubssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC2JpLMqgeg9jB9ZztOCw0WMS8hdVpFxthqG1vOQTOji/cp0+8RUZl3P6NtzqfHbs0iTcY0ypIJGgx4eXyipfLvilV2bSxRINCVV73VnydVYl5gLHsrgOx+372Wovlanq7Mxq06qAONjuRD0c64xqdJFKb1OvS/nyKaOr9D8yq/FxfwKqK7TzJM0cVBAG7+YR8lc9tJTCypmNXNngiSlipzjBcnfT+5VtcFSENfuJd60dmZDzrQTxGFSS2J34CuczTQSsItmYF3DyhqmrXL+cJ2vjZWVZRU6IY7BpqJFWwfYY9m8KaL0PZ+JJuaU7ESVBXf6HJcQhYPp2bTUyff+vdV shoufeng# 可以看到最后有一個注釋內容shoufeng

2.3 ssh-copy-id把A的公鑰發送給B

默認用法是: ssh-copy-id root@172.16.22.132, ssh-copy-id命令連接遠程服務器時的默認端口是22, 當然可以指定文件、遠程主機的IP、用戶和端口:

# 指定要拷貝的本地文件、遠程主機的IP+用戶名+端口號:[root@localhost .ssh]# ssh-copy-id -i ~/.ssh/id_rsa.pub -p 22 root@172.16.22.132/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keysroot@172.16.22.132's password: # 輸入密碼后, 將拷貝公鑰Number of key(s) added: 1Now try logging into the machine, with: "ssh -p '22' 'root@172.16.22.132'"and check to make sure that only the key(s) you wanted were added.

2.4 在A服務器上免密登錄B服務器

[root@localhost .ssh]# ssh root@172.16.22.132Last login: Fri Jun 14 08:46:04 2019 from 192.168.34.16 # 登錄成功?

3 擴展說明

3.1 其他方式發送公鑰文件

上述2.3步驟是通過ssh-copy-id工具發送公鑰文件的, 當然我們也可以通過其他方式實現:

(1) 將A的公鑰文件發給B:

通過scp命令將A服務器的公鑰文件發送到B服務器的用戶目錄下, 因為還沒有配置成功免密登錄, 所以期間需要輸入B服務器對應用戶的密碼:

[root@localhost .ssh]# scp id_rsa.pub root@172.16.22.132:/root/.sshroot@172.16.22.132's password:id_rsa.pub 100% 390 0.4KB/s 00:00

(2) 在B上創建authorized_keys文件:

[root@localhost .ssh]# cd /root/.ssh/[root@localhost .ssh]# lsid_rsa.pub# 通過A服務器的公鑰生成"authorized_keys"文件:[root@localhost .ssh]# cat id_rsa.pub >> authorized_keys[root@localhost .ssh]# cat authorized_keysssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC2JpLMqgeg9jB9ZztOCw0WMS8hdVpFxthqG1vOQTOji/cp0+8RUZl3P6NtzqfHbs0iTcY0ypIJGgx4eXyipfLvilV2bSxRINCVV73VnydVYl5gLHsrgOx+372Wovlanq7Mxq06qAONjuRD0c64xqdJFKb1OvS/nyKaOr9D8yq/FxfwKqK7TzJM0cVBAG7+YR8lc9tJTCypmNXNngiSlipzjBcnfT+5VtcFSENfuJd60dmZDzrQTxGFSS2J34CuczTQSsItmYF3DyhqmrXL+cJ2vjZWVZRU6IY7BpqJFWwfYY9m8KaL0PZ+JJuaU7ESVBXf6HJcQhYPp2bTUyff+vdV shoufeng

注意: 上述重定向時使用>>進行追加, 不要用>, 那會清空原有內容.

3.2 文件權限

為了讓私鑰文件和公鑰文件能夠在認證中起作用, 需要確保權限的正確性:

① 對于.ssh目錄以及其內部的公鑰、私鑰文件, 當前用戶至少要有執行權限, 其他用戶最多只能有執行權限.

② 不要圖省事設置成777權限: 太大的權限不安全, 而且數字簽名也不支持這種權限策略.

③ 對普通用戶, 建議設置成600權限: chmod 600 authorized_keys id_rsa id_rsa.pub;

④ 對root用戶, 建議設置成644權限: chmod 644 authorized_keys id_rsa id_rsa.pub.

3.3 文件的編輯和查看

在Liunx環境下, 如果要查看、復制私鑰、公鑰, 以及authorized_keys等文件, 不要使用vim等編輯器打開, 因為它會產生不必要的回車;

應該通過cat、more、less等查看命令把內容打印到終端上, 再作查看、復制等操作.

4 常見問題及解決

(1) 問題描述:

通過ssh-copy-id命令拷貝公鑰文件之后, 嘗試免密登錄另一臺服務器時發生錯誤:

權限錯誤導致免密登錄失敗

[root@localhost ~]# ssh root@172.16.22.131@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ WARNING: UNPROTECTED PRIVATE KEY FILE! @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@Permissions 0644 for '/root/.ssh/id_rsa' are too open.It is required that your private key files are NOT accessible by others.This private key will be ignored.bad permissions: ignore key: /root/.ssh/id_rsaroot@172.16.22.131's password:

(2) 問題原因:

提示信息說明密鑰文件不受保護, 具體是說這里的密鑰文件權限是0644, 而數字簽名機制要求密鑰文件不能被其他用戶訪問(讀取), 所以該密鑰文件被強制忽略處理了.

(3) 問題解決:

只要修改該密鑰文件的權限即可:

chmod 600 /root/.ssh/id_rsa

這里/root/.ssh/id_rsa就是warning里給出的密鑰文件名.

讓您學習到的每一節課都有所收獲

《Linux就該這么學》是一本由資深運維專家劉遄老師及國內多名紅帽架構師(RHCA)基于最新RHEL7系統共同編寫的高質量Linux技術自學教程，極其適合用于Linux技術入門教程或講課輔助教材。榮獲雙11、雙12購物狂歡節IT品類書籍銷量冠軍，2017年、2018年國內讀者增速最快的技術書籍，您可以在京東、當當、亞馬遜及天貓搜索書名后購買，亦可加劉遄老師微信交流學習(手指按住下圖3秒鐘即可自動掃描)~
劉遄老師QQ：5604922
??Linux技術交流群：2265381(新群，火熱加群中……)
??官方站點：www.linuxprobe.com
? 書籍在線學習(電腦在線閱讀效果更佳)：
http://www.linuxprobe.com/chapter-00.html

《Linux就該這么學》是一本基于最新Linux系統編寫，面向零基礎讀者的技術書籍。從Linux基礎知識講起，然后漸進式地提高內容難度，詳細講解Linux系統中各種服務的工作原理和配置方式，以匹配真實生產環境對運維人員的要求，突顯內容的實用性。想要學習Linux系統的讀者可以點擊按鈕了解這本書，同時這本書也適合專業的運維人員閱讀，作為一本非常有參考價值的工具書！