碼上快樂

相關內容    簡體    繁體

Linux 配置免密登錄

本文轉載自   查看原文   2022-04-20 14:40   3364    Linux/ 隨筆/ SSH

Linux 配置免密登錄



實例

  1. 生成公鑰和私鑰

    ssh-keygen -t rsa

    Tips: 執行后會在~/.ssh/目錄下創建 id_rsaid_rsa.pub 文件

  2. 生成省份認證文件

    ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.0.18

    Tips: 三次回車; 作用是將本地公鑰填充到一個遠程主機192.168.0.18的 authorized_keys 文件中(遠程主機沒有該文件時會自動創建)

  3. SSH 連接驗證

    ssh root@192.168.0.18

    Tips:

    • 此時 SSH 連接就不用再輸入密碼了;
    • 需要配置哪台主機免密,只需要執行 ssh-copy-id 即可; CentOS_6 支持將遠程主機的 authorized_keys 文件拷貝到需要免密的主機中(比如:A主機免密到B主機后,A主機還需要免密到C主機,那我們可以把B主機的 authorized_keys 文件拷貝到C主機中即可)

SSH 協議

SSH 為 Secure Shell 的縮寫,由 IETF 的網絡小組(Network Working Group)所制定;SSH 為建立在應用層基礎上的安全協議。SSH 是目前較可靠,專為遠程登錄會話和其他網絡服務提供安全性的協議。利用 SSH 協議可以有效防止遠程管理過程中的信息泄露問題。簡單來說ssh是一種加密的用於遠程登錄的協議。

更多SSH協議內容移步:SSH協議(從對稱加密到非對稱加密)


免密配置介紹

術語解釋

  • known_hosts:是做服務器認證的,當你用ssh連接到一個新的服務器的時候,ssh會讓你確認服務器的信息(域名、IP、公鑰),然后寫到known_hosts里,以后你再連接到這個服務器就不用再確認了。如果信息改變了(通常是公鑰改變了),就會提示你服務器信息改變了,你可以把它從known_hosts里刪除,然后重新確認;
  • authorized_keys:該文件用於保存其他主機的公鑰;(比如:A主機要免密登錄到B主機,就要把A主機的公鑰保存到B主機的authorized_keys文件中)
  • id_rsa.pub rsa公鑰,可以發送到其他機子,用於加密;
  • id_rsa rsa私鑰,只能保存在本機,用於解密;

生成公鑰和私鑰

SSH提供了公鑰登錄,可以省去輸入密碼的步驟。所謂"公鑰登錄",就是用戶將自己的公鑰(id_rsa.pub)儲存在遠程主機上。登錄的時候,遠程主機會向用戶發送一段用用戶機器公鑰加密的隨機字符串,用戶機器收到加密的字符串后,用自己的私鑰解密后,再發回來。遠程主機用事先儲存的公鑰進行解密,如果成功,就證明用戶是可信的,直接允許登錄shell,不再要求密碼。

  1. 用法:

    ssh-keygen [-t rsa | ed25519] [-N new_passphrase] [-C comment] [-f output_keyfile]

    執行后,可三次回車,三次回車意義如下:

    • 一次回車: 輸出文件,即參數 -f; 回車表示輸出文件使用默認位置,即 ~/.ssh/
    • 二次回車:口令(回車表示口令為空),即參數 -N;
    • 三次回車:確定口令

  2. 常用參數:

    • -t: 指定使用的數字簽名算法, 分別有dsa、rsa、ecdsa、ed25519;默認為 rsa;
    • -N: 口令內容,可以為空;
    • -C: 注解,備注;默認為 user@hostname;
    • -f: 指定文件輸出位置,默認為 ~/.ssh/;

    Tips:

    • rsa 是目前兼容性最好的,應用最廣泛的key類型,在用ssh-keygen工具生成key的時候,默認使用的也是這種類型。不過在生成key時,如果指定的key size太小的話,也是有安全問題的,推薦key size是3072或更大。
    • ed25519 是目前最安全、加解密速度最快的key類型,由於其數學特性,它的key的長度比rsa小很多,優先推薦使用。它目前唯一的問題就是兼容性,即在舊版本的ssh工具集中可能無法使用。(centos 6中無法使用ed25519)
    • 優先推薦 ed25519,如果您使用的是不支持 Ed25519 算法的舊系統,請使用 RSA,感興趣的可以點擊Ed25519和 RSA詳情入口了解;

生成認證文件

ssh-copy-id [-i [identity_file]] [user@]hostname

Tips:

  • -i: 指定公鑰文件; 默認使用 ~/.ssh/identity_file.pub 作為默認公鑰;
  • 如果多次運行 ssh-copy-id,CentOS_6 不會檢查重復,會在遠程主機中多次寫入 authorized_keys;
  • user: 指定遠程的用戶,默認為當前用戶;
  • 執行成功之后,會在目標機器~/.ssh/目錄已經生成authorized_keys 的文件,里面保存的正是原機器上 ssh-keygen 生成的公鑰(如:id_rsa.pub)的內容。
  • 此命令的效果是將本地公鑰填充到一個遠程主機的 authorized_keys 文件中。



免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 windows配置ssh免密登錄linux windows配置ssh免密登錄linux linux下免密登錄配置 linux下配置遠程免密登錄 SSH配置Linux免密登錄 Linux系列——配置SSH免密登錄 linux 配置ssh免密登錄 Linux免密登錄 git配置免密登錄 ssh免密登錄配置
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM