Linux 配置免密登錄
栗子
-
生成公鑰和私鑰
ssh-keygen -t rsa
Tips: 執行后會在
~/.ssh/目錄下創建id_rsa和id_rsa.pub檔案 -
生成省份認證檔案
ssh-copy-id -i ~/.ssh/id_rsa.pub [email protected]
Tips: 三次回車; 作用是將本地公鑰填充到一個遠程主機192.168.0.18的
authorized_keys檔案中(遠程主機沒有該檔案時會自動創建) -
SSH 連接驗證
Tips:
- 此時 SSH 連接就不用再輸入密碼了;
- 需要配置哪臺主機免密,只需要執行
ssh-copy-id即可;或者將遠程主機的authorized_keys檔案拷貝到需要免密的主機中(比如:A主機免密到B主機后,A主機還需要免密到C主機,那我們可以把B主機的authorized_keys檔案拷貝到C主機中即可)
SSH 協議
SSH 為 Secure Shell 的縮寫,由 IETF 的網路小組(Network Working Group)所制定;SSH 為建立在應用層基礎上的安全協議,SSH 是目前較可靠,專為遠程登錄會話和其他網路服務提供安全性的協議,利用 SSH 協議可以有效防止遠程管理程序中的資訊泄露問題,簡單來說ssh是一種加密的用于遠程登錄的協議,
更多SSH協議內容移步:SSH協議(從對稱加密到非對稱加密)
免密配置介紹
術語解釋
known_hosts:是做服務器認證的,當你用ssh連接到一個新的服務器的時候,ssh會讓你確認服務器的資訊(域名、IP、公鑰),然后寫到known_hosts里,以后你再連接到這個服務器就不用再確認了,如果資訊改變了(通常是公鑰改變了),就會提示你服務器資訊改變了,你可以把它從known_hosts里洗掉,然后重新確認;authorized_keys:該檔案用于保存其他主機的公鑰;(比如:A主機要免密登錄到B主機,就要把A主機的公鑰保存到B主機的authorized_keys檔案中)id_rsa.pubrsa公鑰,可以發送到其他機子,用于加密;id_rsarsa私鑰,只能保存在本機,用于解密;
生成公鑰和私鑰
SSH提供了公鑰登錄,可以省去輸入密碼的步驟,所謂"公鑰登錄",就是用戶將自己的公鑰(id_rsa.pub)儲存在遠程主機上,登錄的時候,遠程主機會向用戶發送一段用用戶機器公鑰加密的隨機字串,用戶機器收到加密的字串后,用自己的私鑰解密后,再發回來,遠程主機用事先儲存的公鑰進行解密,如果成功,就證明用戶是可信的,直接允許登錄shell,不再要求密碼,
-
用法:
ssh-keygen [-t rsa] [-f /path/identity_file] [-C "備注"]
執行后,可三次回車,三次回車意義如下:
- 一次回車: 輸入保存密鑰的檔案;回車表示輸出檔案使用默認位置,即
~/.ssh/(使用-f引數則不會出現) - 二次回車:輸入口令(回車表示口令為空)
- 三次回車:再次輸入口令
- 一次回車: 輸入保存密鑰的檔案;回車表示輸出檔案使用默認位置,即
-
引數:
-t: 指定使用的數字簽名演算法, 分別有dsa、rsa、 ecdsa、ed25519;默認為rsa-f: 指定檔案輸出位置,默認為~/.ssh/-C: 注釋,備注;默認為user@hostname
Tips:
rsa是目前兼容性最好的,應用最廣泛的key型別,在用ssh-keygen工具生成key的時候,默認使用的也是這種型別,不過在生成key時,如果指定的key size太小的話,也是有安全問題的,推薦key size是3072或更大,ed25519是目前最安全、加解密速度最快的key型別,由于其數學特性,它的key的長度比rsa小很多,優先推薦使用,它目前唯一的問題就是兼容性,即在舊版本的ssh工具集中可能無法使用,(centos 6中無法使用ed25519)- 優先推薦
ed25519,如果您使用的是不支持 Ed25519 演算法的舊系統,請使用 RSA,感興趣的可以點擊Ed25519和 RSA詳情入口了解;
生成認證檔案
ssh-copy-id [-i [identity_file]] [user@]machine
Tips:
-i: 指定公鑰檔案; 默認使用~/.ssh/identity_file.pub作為默認公鑰;- 該命令不會檢查重復,如果多次運行
ssh-copy-id,會在遠程主機中多次寫入 authorized_keys user: 指定遠程的用戶,默認為當前用戶;- 執行成功之后,會在目標機器~/.ssh/目錄已經生成
authorized_keys的檔案,里面保存的正是原機器上 ssh-keygen 生成的公鑰(如:id_rsa.pub)的內容, - 此命令的效果是將本地公鑰填充到一個遠程主機的 authorized_keys 檔案中,
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/459477.html
標籤:Linux
下一篇:Centos7搭建Harbor