目录
1 什么是 SSH
2 配置 SSH 免密登录
2.1 安装必需的软件
2.2 SSH-keygen 创建公钥 - 私钥对
2.3 SSH-copy-id 把 A 的公钥发送给 B
2.4 在 A 服务器上免密登录 B 服务器
3 扩展说明
3.1 其他方式发送公钥文件
3.2 文件权限
3.3 文件的编辑和查看
1 什么是 SSH
引用百度百科的说明:
SSH 为 Secure Shell 的缩写, 由 IETF 的网络小组 (Network Working Group) 所制定; 它是建立在应用层基础上的安全协议.
SSH 是目前较可靠, 专为远程登录会话和其他网络服务提供安全性的协议. 利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题.
SSH 最初是 UNIX 系统上的一个程序, 后来又迅速扩展到其他操作平台.
为了在不同平台 / 网络主机之间的通信安全, 很多时候我们都要通过 SSH 进行认证. SSH 认证方式主要有 2 种:
1 基于口令的安全认证: 每次登录的时候都要输入用户名和密码, 由于要在网络上传输密码, 可能存在中间人攻击的风险;
2 基于密钥的安全认证: 配置完成后就可以实现免密登录, 这种方式更加安全 -- 不需要在网络上传递口令, 只需要传输一次公钥. 常见的 Git 的 SSH 方式就是通过公钥进行认证的.
2 配置 SSH 免密登录
说明: 这里演示所用的服务器操作系统是 Cent OS 7. 我们的目标是:
A 服务器(172.16.22.131) 能免密登录 B 服务器 (172.16.22.132).
注意: SSH 连接是单向的, A 能免密登录 B, 并不能同时实现 B 能免密登录 A.
2.1 安装必需的软件
在操作之前, 先确保所需要的软件已经正常安装.
这里我们需要安装 SSH-keygen 和 SSH-copy-id, 安装方式如下:
- # 安装 SSH-keygen, 需要确保服务器可以联网. 博主这里已经安装完成, 所以没有做任何事.
- [root@localhost ~]# yum install -y SSH-keygen
- Loaded plugins: fastestmirror, langpacks
- base | 3.6 kB 00:00:00
- epel | 3.6 kB 00:00:00
- extras | 2.9 kB 00:00:00
- updates | 2.9 kB 00:00:00
- Loading mirror speeds from cached hostfile
- No package SSH-keygen available.
- Error: Nothing to do
- # 安装 SSH-copy-id
- [root@localhost ~]# yum install -y SSH-copy-id
- Loaded plugins: fastestmirror, langpacks
- Loading mirror speeds from cached hostfile
- No package SSH-copy-id available.
- Error: Nothing to do
2.2 SSH-keygen 创建公钥 - 私钥对
(1) 在指定目录下生成 rsa 密钥, 并指定注释为 "shoufeng", 实现示例:
- [root@localhost ~]# SSH-keygen -t rsa -f ~/.SSH/id_rsa -C "shoufeng"
- # ~ 密钥类型 ~ 密钥文件路径及名称 ~ 备注信息
- Generating public/private rsa key pair.
- Enter passphrase (empty for no passphrase): # 输入密码, 若不输入则直接回车
- Enter same passphrase again: # 再次确认密码, 若不输入则直接回车
- Your identification has been saved in /root/.SSH/id_rsa.
- Your public key has been saved in /root/.SSH/id_rsa.pub.
- The key fingerprint is:
- 9a:e3:94:b9:69:c8:e9:68:4b:dc:fa:43:25:7f:53:f1 shoufeng
- The key's randomart image is:
- +--[ RSA 2048]----+
- | |
- | . |
- | o |
| . . . E |
- | + S. |
- | . .. .=o |
| oo.oB. . |
- | ..o=o.+ |
- | .++oo+ |
- +-----------------+
注意: 密钥的文件名称必须是 id_xxx, 这里的 xxx 就是 - t 参数指定的密钥类型. 比如密钥类型是 rsa, 那么密钥文件名就必须是 id_rsa.
(2) SSH-keygen 常用参数说明:
-t: 密钥类型, 可以选择 dsa | ecdsa | ed25519 | rsa;
-f: 密钥目录位置, 默认为当前用户 home 路径下的. SSH 隐藏目录, 也就是~/.SSH/, 同时默认密钥文件名以 id_rsa 开头. 如果是 root 用户, 则在 / root/.SSH/id_rsa, 若为其他用户, 则在 / home/username/.SSH/id_rsa;
-C: 指定此密钥的备注信息, 需要配置多个免密登录时, 建议携带;
-N: 指定此密钥对的密码, 如果指定此参数, 则命令执行过程中就不会出现交互确认密码的信息了.
举例说明: 同时指定目录位置, 密码, 注释信息, 就不需要输入回车键即可完成创建:
SSH-keygen -t rsa -f ~/.SSH/id_rsa -N shoufeng -C shoufeng
(3) 前往~/.SSH / 目录下查看生成的文件:
- # 生成的文件以 test_rsa 开头, test_rsa 是私钥, test_rsa.pub 是公钥:
- [root@localhost .SSH]# ls
- test_rsa test_rsa.pub
- # 通过 cat 命令查看公钥文件:
- [root@localhost .SSH]# cat id_rsa.pub
- SSH-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC2JpLMqgeg9jB9ZztOCw0WMS8hdVpFxthqG1vOQTOji/cp0+8RUZl3P6NtzqfHbs0iTcY0ypIJGgx4eXyipfLvilV2bSxRINCVV73VnydVYl5gLHsrgOx+372Wovlanq7Mxq06qAONjuRD0c64xqdJFKb1OvS/nyKaOr9D8yq/FxfwKqK7TzJM0cVBAG7+YR8lc9tJTCypmNXNngiSlipzjBcnfT+5VtcFSENfuJd60dmZDzrQTxGFSS2J34CuczTQSsItmYF3DyhqmrXL+cJ2vjZWVZRU6IY7BpqJFWwfYY9m8KaL0PZ+JJuaU7ESVBXf6HJcQhYPp2bTUyff+vdV shoufeng
- # 可以看到最后有一个注释内容 shoufeng
2.3 SSH-copy-id 把 A 的公钥发送给 B
默认用法是: SSH-copy-id root@172.16.22.132, SSH-copy-id 命令连接远程服务器时的默认端口是 22, 当然可以指定文件, 远程主机的 IP, 用户和端口:
- # 指定要拷贝的本地文件, 远程主机的 IP + 用户名 + 端口号:
- [root@localhost .SSH]# SSH-copy-id -i ~/.SSH/id_rsa.pub -p 22 root@172.16.22.132
- /usr/bin/SSH-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
- /usr/bin/SSH-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
- root@172.16.22.132's password: # 输入密码后, 将拷贝公钥
- Number of key(s) added: 1
- Now try logging into the machine, with: "ssh -p'22''root@172.16.22.132'"
- and check to make sure that only the key(s) you wanted were added.
2.4 在 A 服务器上免密登录 B 服务器
- [root@localhost .SSH]# SSH root@172.16.22.132
- Last login: Fri Jun 14 08:46:04 2019 from 192.168.34.16 # 登录成功
3 扩展说明
3.1 其他方式发送公钥文件
上述 2.3 步骤是通过 SSH-copy-id 工具发送公钥文件的, 当然我们也可以通过其他方式实现:
(1) 将 A 的公钥文件发给 B:
通过 scp 命令将 A 服务器的 公钥文件 发送到 B 服务器的用户目录下, 因为还没有配置成功免密登录, 所以期间需要输入 B 服务器对应用户的密码:
- [root@localhost .SSH]# scp id_rsa.pub root@172.16.22.132:/root/.SSH
- root@172.16.22.132's password:
- id_rsa.pub 100% 390 0.4KB/s 00:00
(2) 在 B 上创建 authorized_keys 文件:
- [root@localhost .SSH]# cd /root/.SSH/
- [root@localhost .SSH]# ls
- id_rsa.pub
- # 通过 A 服务器的公钥生成 "authorized_keys" 文件:
- [root@localhost .SSH]# cat id_rsa.pub>> authorized_keys
- [root@localhost .SSH]# cat authorized_keys
- SSH-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC2JpLMqgeg9jB9ZztOCw0WMS8hdVpFxthqG1vOQTOji/cp0+8RUZl3P6NtzqfHbs0iTcY0ypIJGgx4eXyipfLvilV2bSxRINCVV73VnydVYl5gLHsrgOx+372Wovlanq7Mxq06qAONjuRD0c64xqdJFKb1OvS/nyKaOr9D8yq/FxfwKqK7TzJM0cVBAG7+YR8lc9tJTCypmNXNngiSlipzjBcnfT+5VtcFSENfuJd60dmZDzrQTxGFSS2J34CuczTQSsItmYF3DyhqmrXL+cJ2vjZWVZRU6IY7BpqJFWwfYY9m8KaL0PZ+JJuaU7ESVBXf6HJcQhYPp2bTUyff+vdV shoufeng
注意: 上述重定向时使用>>进行追加, 不要用>, 那会清空原有内容.
3.2 文件权限
为了让私钥文件和公钥文件能够在认证中起作用, 需要确保权限的正确性:
1 对于. SSH 目录以及其内部的公钥, 私钥文件, 当前用户至少要有执行权限, 其他用户最多只能有执行权限.
2 不要图省事设置成 777 权限: 太大的权限不安全, 而且数字签名也不支持这种权限策略.
3 对普通用户, 建议设置成 600 权限: chmod 600 authorized_keys id_rsa id_rsa.pub;
4 对 root 用户, 建议设置成 644 权限: chmod 644 authorized_keys id_rsa id_rsa.pub.
3.3 文件的编辑和查看
在 Liunx 环境下, 如果要查看, 复制私钥, 公钥, 以及 authorized_keys 等文件, 不要使用 VIM 等编辑器打开, 因为它会产生不必要的回车;
应该通过 cat,more,Less 等查看命令把内容打印到终端上, 再作查看, 复制等操作.
参考资料
Linux 配置 SSH 免密码登录 https://my.oschina.net/lwenhao/blog/2878731
SSH-keygen 基本用法 https://www.liaohuqiu.net/cn/posts/ssh-keygen-abc/
来源: https://www.cnblogs.com/shoufeng/p/11022258.html