linux上怎么实现ssh免密登录

news/2024/12/13 18:02:56/

这里直接写步骤,下面的有兴趣可以看看

 

1.进入到.ssh目录下

[root@wangjian /]# cd /root/.ssh/
[root@wangjian .ssh]# 

2. 执行生成密钥,所有的参数都可以为空,也就是一直回车确认: ssh-keygen -t rsa

    

[root@wangjian .ssh]# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:LbwmYfGVE/RnsDNCmiZO8eyHt+0WoFVfmaI1NI6MqX8 root@wangjian
The key's randomart image is:
+---[RSA 3072]----+
|      .  .+ oo  o|
|       + ++++*.o.|
|      + *o=+Bo=. |
|     o B.+o+ =.  |
|      +.So+.     |
|     . .o= o.    |
|      . o..E..   |
|       o  ...    |
|           ..    |
+----[SHA256]-----+
[root@wangjian .ssh]# 

3. 查看生产的文件

[root@wangjian .ssh]# ll
total 12
-rw-------. 1 root root 2602 Jun 29 21:38 id_rsa
-rw-r--r--. 1 root root  567 Jun 29 21:38 id_rsa.pub
-rw-r--r--. 1 root root  525 Jun 21 18:23 known_hosts
[root@wangjian .ssh]# 

4.如果没有authorized_keys ,就新建,这里可以看到我没有这个文件.

     touch authorized_keys

[root@wangjian .ssh]# touch authorized_keys
[root@wangjian .ssh]# ll
total 12
-rw-r--r--. 1 root root    0 Jun 29 21:41 authorized_keys
-rw-------. 1 root root 2602 Jun 29 21:38 id_rsa
-rw-r--r--. 1 root root  567 Jun 29 21:38 id_rsa.pub
-rw-r--r--. 1 root root  525 Jun 21 18:23 known_hosts
[root@wangjian .ssh]# 

5.设置权限   chmod 600 authorized_keys

[root@wangjian .ssh]# chmod 600 authorized_keys 
[root@wangjian .ssh]# ll
total 12
-rw-------. 1 root root    0 Jun 29 21:41 authorized_keys
-rw-------. 1 root root 2602 Jun 29 21:38 id_rsa
-rw-r--r--. 1 root root  567 Jun 29 21:38 id_rsa.pub
-rw-r--r--. 1 root root  525 Jun 21 18:23 known_hosts
[root@wangjian .ssh]# 

6.复制公钥到需要免登陆的服务器 scp id_rsa.pub wangjianali:/root/.ssh/

 复制时还是需要输入密码的

[root@wangjian .ssh]# scp id_rsa.pub wangjianali:/root/.ssh/
The authenticity of host 'wangjianali (101.37.18.102)' can't be established.
ECDSA key fingerprint is SHA256:k+24IDtR7DCnFjWo1R9+lZpC+m3WK+NBDFZjXpa0YgM.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added 'wangjianali,101.37.18.102' (ECDSA) to the list of known hosts.
root@wangjianali's password: 
id_rsa.pub                                                                                                              100%  567    26.8KB/s   00:00    
[root@wangjian .ssh]# 

 7.将客户端公钥追加到服务端的authorized_key文件中,完成公钥认证操作,如果服务端没有authorized_key,执行4,5步

     cat id_rsa.pub >> authorized_keys(这里需要注意,id_rsa.pub一定要是自己复制过来的文件,不要和自身的id_rsa.pu混淆)

    

[root@wangjianali .ssh]# cat id_rsa.pub >> authorized_keys 
[root@wangjianali .ssh]# cat authorized_keys 
ssh-rsa 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 root@wangjian

8.测试 ssh wangjianali 

[root@wangjian .ssh]# ssh wangjianaliWelcome to Alibaba Cloud Elastic Compute Service !Activate the web console with: systemctl enable --now cockpit.socketLast login: Mon Jun 29 21:43:27 2020 from 27.17.178.28
[root@wangjianali ~]# 

可以看到这里已经不需要密码,就直接连接到wangjianali这个服务器了 

我没有在意authorized_keys文件的权限,导致最后还是需要密码,这里大家一定要注意下

scp 传输文件 

scp(secure copy)linux系统下基于ssh登录进行安全的远程文件拷贝的命令。

# 传递文件到远程
scp local_file remote_username@remote_ip:remote_file
# 传递文件夹到远程
scp -r local_folder remote_username@remote_ip:remote_folder 
# 复制远程文件到本地,只是调换下文件参数位置即可
scp remote_username@remote_ip:remote_file local_file

scp相似的命令是cp,但是cp只能本机拷贝而不能跨服务器,因此需要与ssh合作构成scp命令。

我们直接使用scp来跨机器拷贝文件,会提示输入密码:

# 提示输入server端服务器的wangjianali用户密码
[root@wangjiantencent ~]# ls
authorized_keys  logs  store
[root@wangjiantencent ~]# scp store/ wangjianali:~/
root@wangjianali's password: 

原因就在于,scp是先使用ssh连接服务端机器后,再使用网络来执行远程拷贝(cp)

可以参考ssh的过程:

# 同样的提示输入server端服务器的work用户密码
[root@wangjiantencent ~]# ssh wangjianali 
root@wangjianali's password: 

SSH免密登录

我们都知道如何使用ssh登录远程服务器了,但是每次登录都要输入密码,比较麻烦。ssh提供一种免密登录的方式:公钥登录.

  1. 在客户端使用ssh-keygen生成一对密钥:公钥+私钥
  2. 将客户端公钥追加到服务端的authorized_key文件中,完成公钥认证操作
  3. 认证完成后,客户端向服务端发起登录请求,并传递公钥到服务端
  4. 服务端检索authorized_key文件,确认该公钥是否存在
  5. 如果存在该公钥,则生成随机数R,并用公钥来进行加密,生成公钥加密字符串pubKey(R)
  6. 将公钥加密字符串传递给客户端
  7. 客户端使用私钥解密公钥加密字符串,得到R
  8. 服务端和客户端通信时会产生一个会话ID(sessionKey),用MD5R和SessionKey进行加密,生成摘要(即MD5加密字符串)
  9. 客户端将生成的MD5加密字符串传给服务端
  10. 服务端同样生成MD5(R,SessionKey)加密字符串
  11. 如果客户端传来的加密字符串等于服务端自身生成的加密字符串,则认证成功
  12. 此时不用输入密码,即完成建连,可以开始远程执行shell命令

实现免密登录

ssh-genkey是生成密钥的工具,执行完成后生成公钥和密钥,这两个文件会默认保存在~/.ssh/路径下。常用的参数为:

  • -t: 指定生成密钥类型(rsa、dsa)。默认为rsa
  • -f: 指定存放私钥的文件,公钥文件名为私钥文件名加.pub后缀。默认为id_rsa
  • -P: 指定passphrase(私钥的密码),用于确保私钥的安全。默认为空
  • -C: 备注。默认为user@hostname

我们直接执行来生成密钥,所有的参数都可以为空,也就是一直回车确认:

$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/work/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in id_rsa.
Your public key has been saved in id_rsa.pub.
The key fingerprint is:
74:17:74:38:b2:c7:70:fd:1d:33:eb:e2:71:71:cc:11 work@client.com

此时,生成的文件在~/.ssh/目录下,我们会看到这些文件:

id_rsa    // 私钥文件  
id_rsa.pub    // 公钥文件
authorized_keys    // 存放客户端公钥的文件
known_hosts    // 确认过公钥指纹的可信服务器列表的文件
config    // 指定不同域名使用哪个密钥的配置文件

因为一台机器即能是客户端,又能是服务端,因此同时存在authorized_keys(在该机器为服务端时使用)和Known_hosts(在该机器为客户端时使用)。

我们的服务器会有很多的用户,如果所有的用户都用同一份密钥,可能就没办法划分权限或者区分用户,如多个用户提交git就需要按照用户名来生成密钥,用于区分用户。同时你可能也希望针对不同的服务器使用不同的密钥对,因此需要config配置文件来配置针对不同服务器的配置:

$vim ~/.ssh/config
Host a.baidu.com
User work
IdentityFile ~/.ssh/id_rsaHost b.baidu.com
User zhaoshuaiqiang
IdentityFile ~/.ssh/zhaoshuaiqiang

这样在连接不同的服务器时,就会使用不同的密钥文件来登录。

在客户端生成密钥对之后,将公钥追加到服务器的authorized_keys文件中即可。

 ...15 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAn30bjwtkLW82vTlLMQnI/a42J2g7o+HBCpSzBgNG+xfZuSNQOAU8+FNKQvriT4AL7ToiTtrZDLOEGqyQzaxQejuNnWG6aQ9ETh96qXhVLecWidaBieFGuv+FuXz6x551xtFXx64AzG+706dhnv1nOACYlrnfvXhi5kZzWzprET+CxMIeYhJQwwc19pF5zCWeU9QUvd1mOu0n8JVycevmuXRdVx9WpXq2+aaaaaaaa3uYGMBxvSLtT40O1AiEZ+k9EeYCnTEVtnGoVWCyxpwv6rR/GDOtJL/d+/Wb6I0HEKxxe087yZz8GWpQN5TEIAjq3oEjI/aiGw== work@a.baidu.com16 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAzRmK+CAVLnryXqQwweu8Yji8bGAvqzf8PSDzYn1nmE6ZeDkBbrWvFlVZ2yOip3IX8RjvuPc28mTCr0LsIOOmpvET0SzOkt0hzLBPiyCN/QvbKU/RbUv8v5y2hEAlbUkMEzv7qOHQEruGEvA5y99gf/nYjK5OFKVpmg838OScUV3i88Xbqk8rtcuRZHWuZLnuB5spBsEE5r1UrnH/Ik7frZr8Vb4X6aZWbAp1yc0SqZ8JXVbmOiakqq0WqkLm+zqhEwr+Ooh2guH23x9zjMqYUy+aaaaaBEBC+LepCvskArBt/SRwJDJkcItz8T7kBC3CP0Y0X4hB+6k6/yM/pup5w== work@b.baidu.com

此时,即可免密登录服务器。

私钥的安全性

假设你已经实现了服务器集群的免密登录,那么如果你的一台客户端被攻击成功了,那么整个集群的安全性便荡然无存了。因此,我们有时还需要对密钥做安全性保障,即设置私钥密码:

// 使用rsa方法加密,生成test密钥对,私钥密码为123456
ssh-keygen -t rsa -f test -P 123456 

此时,各机器仍然是免密登录,但是需要你输入私钥密码:

$ssh work@a.baidu.com
Enter passphrase for key '/home/work/.ssh/test': 

http://www.ppmy.cn/news/168100.html

相关文章

【LED子系统深度剖析】八、小试牛刀

个人主页:董哥聊技术 我是董哥,高级嵌入式软件开发工程师,从事嵌入式Linux驱动开发和系统开发,曾就职于世界500强公司! 创作理念:专注分享高质量嵌入式文章,让大家读有所得! 文章目录 1、硬件管脚确定2、设备树配置3、子系统配置4、编译烧录5、验证5.1 设备树验证5.2 驱…

人工智能数学基础之线性代数(二)

前言 本文只会记录人工智能中所用到的线性代数知识,并不会记录大学线性代数教材中的所有知识。 现在CSDN不能发超长的文章了,只能分成多篇发布。 人工智能数学基础之线性代数(一) 人工智能数学基础之线性代数(二) 人工智能数学基础之线性代数(三) 行列…

华硕java安装教程win10_华硕电脑怎么安装win10?华硕电脑安装win10的图文教程

华硕电脑的性价比比较高,所以很多用户在购买电脑时都选择了这个品牌。现在有很多用户都喜欢使用win10系统,当新买的华硕电脑预装系统不是win10系统时,我们就需要给电脑重装系统了,那么具体应该怎么操作做呢?下面&#…

四阶代数余子式怎么求_已知四阶行列式,试求A41+A42与A43+A44,其中A4j(j=1,2,3,4)是D4中第4行第j个元素的代数余子式. - 搜题宝...

阅读理解:选择题 FREE MASSIVE ONLINE OPEN COURSES (MOOCS) A class with hundreds or even thousands of students might sound like a teachers worst nightmare. But a big idea in higher education these days is Massive Open Online Courses, or MOOCs. Som…

log4j2漏洞复现

log4j2漏洞复现 漏洞描述影响版本漏洞复现环境准备靶场搭建执行命令 修复建议 漏洞描述 Apache Log4j2是一款Java日志框架,是Log4j 的升级版。可以控制每一条日志的输出格式。通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。 Apache …

ubuntu20安装xrdp以及解决黑屏问题

1、安装xrdp sudo apt-get install xrdp 2、将xrdp用户加入到如下用户组 sudo adduser xrdp ssl-cert 3、重启xrdp sudo service xrdp restart 4、打开windows远程面,连接,如果出现黑屏 sudo -s sudo vim /etc/xrdp/startwm.sh 加入如下内容&#xff…

Redis五大数据结构的底层实现

一)String类型:可以使用object encoding name就可以查看字符串的编码 SDS,flags的值不同,那么len和alloc所表示的值的数据范围也不同,所以flags的只是为了标识SDS头的总大小; alloc和len刚开始进行申请内存空间的时候都是相同的 S…

VS Code的launch.json配置文件如何编写?

文章目录 launch.jsonconfigurationsnametypelaunch.json {"version": "0.2.0","configurations": [{"name": "g++ - Build and debug active file"