2021-05-12 14:32:11
Linux下設定SSH免密通訊 - 「ssh-keygen」的基本用法
2020-06-16 16:32:41
1 什麼是SSH
參照百度百科的說明:
SSH 為 Secure Shell的縮寫,由 IETF 的網路小組(Network Working Group)所制定;它是建立在應用層基礎上的安全協定。
SSH 是目前較可靠,專為遠端登入對談和其他網路服務提供安全性的協定。利用 SSH 協定可以有效防止遠端管理過程中的資訊洩露問題。
SSH最初是UNIX系統上的一個程式,後來又迅速擴充套件到其他操作平台。
為了在不同平台/網路主機之間的通訊安全, 很多時候我們都要通過ssh進行認證. ssh認證方式主要有2種:
① 基於口令的安全認證: 每次登入的時候都要輸入使用者名稱和密碼, 由於要在網路上傳輸密碼, 可能存在中間人攻擊的風險;
② 基於金鑰的安全認證: 設定完成後就可以實現免密登入, 這種方式更加安全 —— 不需要在網路上傳遞口令, 只需要傳輸一次公鑰. 常見的git的ssh方式就是通過公鑰進行認證的.
2 設定SSH免密登入
說明: 這裡演示所用的伺服器作業系統是Cent OS 7. 我們的目標是:
A伺服器(172.16.22.131) 能免密登入 B伺服器 (172.16.22.132).
注意: ssh連線是單向的, A能免密登入B, 並不能同時實現B能免密登入A.
2.1 安裝必需的軟體
在操作之前, 先確保所需要的軟體已經正常安裝.
這裡我們需要安裝ssh-keygen和ssh-copy-id, 安裝方式如下:
# 安裝ssh-keygen, 需要確保伺服器可以聯網. 博主這裡已經安裝完成, 所以沒有做任何事. [root@localhost ~]# yum install -y ssh-keygen Loaded plugins: fastestmirror, langpacks base | 3.6 kB 00:00:00 epel | 3.6 kB 00:00:00 extras | 2.9 kB 00:00:00 updates | 2.9 kB 00:00:00 Loading mirror speeds from cached hostfile No package ssh-keygen available. Error: Nothing to do # 安裝ssh-copy-id [root@localhost ~]# yum install -y ssh-copy-id Loaded plugins: fastestmirror, langpacks Loading mirror speeds from cached hostfile No package ssh-copy-id available. Error: Nothing to do
2.2 ssh-keygen建立公鑰-私鑰對
(1) 在指定目錄下生成rsa金鑰, 並指定註釋為“shoufeng”, 實現範例:
[root@localhost ~]# ssh-keygen -t rsa -f ~/.ssh/id_rsa -C "shoufeng" # ~金鑰型別 ~金鑰檔案路徑及名稱 ~ 備註資訊 Generating public/private rsa key pair. Enter passphrase (empty for no passphrase): # 輸入密碼, 若不輸入則直接回車 Enter same passphrase again: # 再次確認密碼, 若不輸入則直接回車 Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub. The key fingerprint is: 9a:e3:94:b9:69:c8:e9:68:4b:dc:fa:43:25:7f:53:f1 shoufeng The key's randomart image is: +--[ RSA 2048]----+ | | | . | | o | | . . . E | | + S. | | . .. .=o | | oo.oB. . | | ..o=o.+ | | .++oo+ | +-----------------+
注意: 金鑰的檔名稱必須是id_xxx, 這裡的xxx就是-t引數指定的金鑰型別. 比如金鑰型別是rsa, 那麼金鑰檔名就必須是id_rsa.
(2) ssh-keygen常用引數說明:
-t: 金鑰型別, 可以選擇 dsa | ecdsa | ed25519 | rsa;
-f: 金鑰目錄位置, 預設為當前使用者home路徑下的.ssh隱藏目錄, 也就是~/.ssh/, 同時預設金鑰檔名以id_rsa開頭. 如果是root使用者, 則在/root/.ssh/id_rsa, 若為其他使用者, 則在/home/username/.ssh/id_rsa;
-C: 指定此金鑰的備註資訊, 需要設定多個免密登入時, 建議攜帶;
-N: 指定此金鑰對的密碼, 如果指定此引數, 則命令執行過程中就不會出現互動確認密碼的資訊了.
舉例說明: 同時指定目錄位置、密碼、注釋資訊, 就不需要輸入確認鍵即可完成建立:
ssh-keygen -t rsa -f ~/.ssh/id_rsa -N shoufeng -C shoufeng
(3) 前往~/.ssh/目錄下檢視生成的檔案:
# 生成的檔案以test_rsa開頭, test_rsa是私鑰, test_rsa.pub是公鑰: [root@localhost .ssh]# ls test_rsa test_rsa.pub # 通過cat命令檢視公鑰檔案: [root@localhost .ssh]# cat id_rsa.pub ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC2JpLMqgeg9jB9ZztOCw0WMS8hdVpFxthqG1vOQTOji/cp0+8RUZl3P6NtzqfHbs0iTcY0ypIJGgx4eXyipfLvilV2bSxRINCVV73VnydVYl5gLHsrgOx+372Wovlanq7Mxq06qAONjuRD0c64xqdJFKb1OvS/nyKaOr9D8yq/FxfwKqK7TzJM0cVBAG7+YR8lc9tJTCypmNXNngiSlipzjBcnfT+5VtcFSENfuJd60dmZDzrQTxGFSS2J34CuczTQSsItmYF3DyhqmrXL+cJ2vjZWVZRU6IY7BpqJFWwfYY9m8KaL0PZ+JJuaU7ESVBXf6HJcQhYPp2bTUyff+vdV shoufeng # 可以看到最後有一個注釋內容shoufeng
2.3 ssh-copy-id把A的公鑰傳送給B
預設用法是: ssh-copy-id root@172.16.22.132, ssh-copy-id命令連線遠端伺服器時的預設埠是22, 當然可以指定檔案、遠端主機的IP、使用者和埠:
# 指定要拷貝的本地檔案、遠端主機的IP+使用者名稱+埠號: [root@localhost .ssh]# ssh-copy-id -i ~/.ssh/id_rsa.pub -p 22 root@172.16.22.132 /usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed /usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys root@172.16.22.132's password: # 輸入密碼後, 將拷貝公鑰 Number of key(s) added: 1 Now try logging into the machine, with: "ssh -p '22' 'root@172.16.22.132'" and check to make sure that only the key(s) you wanted were added.
2.4 在A伺服器上免密登入B伺服器
[root@localhost .ssh]# ssh root@172.16.22.132 Last login: Fri Jun 14 08:46:04 2019 from 192.168.34.16 # 登入成功
相關文章