Linux - 配置SSH免密登入 - “ssh-keygen”的基本用法

目錄

• 1 什麼是SSH
• 2 配置SSH免密登入
  • 2.1 安裝必需的軟體
  • 2.2 ssh-keygen建立公鑰-私鑰對
  • 2.3 ssh-copy-id把A的公鑰傳送給B
  • 2.4 在A伺服器上免密登入B伺服器
• 3 擴充套件說明
  • 3.1 其他方式傳送公鑰檔案
  • 3.2 檔案許可權
  • 3.3 檔案的編輯和檢視

1 什麼是SSH

引用百度百科的說明:

SSH 為 Secure Shell的縮寫，由 IETF 的網路小組（Network Working Group）所制定；它是建立在應用層基礎上的安全協議。
SSH 是目前較可靠，專為遠端登入會話和其他網路服務提供安全性的協議。利用 SSH 協議可以有效防止遠端管理過程中的資訊洩露問題。
SSH最初是UNIX系統上的一個程式，後來又迅速擴充套件到其他操作平臺。

為了在不同平臺/網路主機之間的通訊安全, 很多時候我們都要通過ssh進行認證. ssh認證方式主要有2種:

① 基於口令的安全認證: 每次登入的時候都要輸入使用者名稱和密碼, 由於要在網路上傳輸密碼, 可能存在中間人攻擊的風險;
② 基於金鑰的安全認證: 配置完成後就可以實現免密登入, 這種方式更加安全 —— 不需要在網路上傳遞口令, 只需要傳輸一次公鑰. 常見的git的ssh方式就是通過公鑰進行認證的.

2 配置SSH免密登入

說明: 這裡演示所用的伺服器作業系統是Cent OS 7. 我們的目標是:

A伺服器(172.16.22.131) 能免密登入 B伺服器 (172.16.22.132).

注意: ssh連線是單向的, A能免密登入B, 並不能同時實現B能免密登入A.

2.1 安裝必需的軟體

在操作之前, 先確保所需要的軟體已經正常安裝.

這裡我們需要安裝ssh-keygen和ssh-copy-id, 安裝方式如下:

# 安裝ssh-keygen, 需要確保伺服器可以聯網. 博主這裡已經安裝完成, 所以沒有做任何事.
[root@localhost ~]# yum install -y ssh-keygen
Loaded plugins: fastestmirror, langpacks
base                                                         | 3.6 kB  00:00:00     
epel                                                         | 3.6 kB  00:00:00     
extras                                                       | 2.9 kB  00:00:00     
updates                                                      | 2.9 kB  00:00:00     
Loading mirror speeds from cached hostfile
No package ssh-keygen available.
Error: Nothing to do

# 安裝ssh-copy-id
[root@localhost ~]# yum install -y ssh-copy-id 
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
No package ssh-copy-id available.
Error: Nothing to do

2.2 ssh-keygen建立公鑰-私鑰對

(1) 在指定目錄下生成rsa金鑰, 並指定註釋為“shoufeng”, 實現示例:

[root@localhost ~]# ssh-keygen  -t rsa    -f ~/.ssh/id_rsa   -C "shoufeng"
#                               ~金鑰型別  ~金鑰檔案路徑及名稱  ~ 備註資訊
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase):  # 輸入密碼, 若不輸入則直接回車
Enter same passphrase again: # 再次確認密碼, 若不輸入則直接回車
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
9a:e3:94:b9:69:c8:e9:68:4b:dc:fa:43:25:7f:53:f1 shoufeng
The key's randomart image is:
+--[ RSA 2048]----+
|                 |
|          .      |
|           o     |
|    . .   . E    |
|     +  S.       |
| . .. .=o        |
|  oo.oB. .       |
| ..o=o.+         |
| .++oo+          |
+-----------------+

注意: 金鑰的檔名稱必須是id_xxx, 這裡的xxx就是-t引數指定的金鑰型別. 比如金鑰型別是rsa, 那麼金鑰檔名就必須是id_rsa.

(2) ssh-keygen常用引數說明:

-t: 金鑰型別, 可以選擇 dsa | ecdsa | ed25519 | rsa;

-f: 金鑰目錄位置, 預設為當前使用者home路徑下的.ssh隱藏目錄, 也就是~/.ssh/, 同時預設金鑰檔名以id_rsa開頭. 如果是root使用者, 則在/root/.ssh/id_rsa, 若為其他使用者, 則在/home/username/.ssh/id_rsa;

-C: 指定此金鑰的備註資訊, 需要配置多個免密登入時, 建議攜帶;

-N: 指定此金鑰對的密碼, 如果指定此引數, 則命令執行過程中就不會出現互動確認密碼的資訊了.

舉例說明: 同時指定目錄位置、密碼、註釋資訊, 就不需要輸入Enter鍵即可完成建立:

ssh-keygen -t rsa -f ~/.ssh/id_rsa -N shoufeng -C shoufeng

(3) 前往~/.ssh/目錄下檢視生成的檔案:

# 生成的檔案以test_rsa開頭, test_rsa是私鑰, test_rsa.pub是公鑰:
[root@localhost .ssh]# ls
test_rsa  test_rsa.pub

# 通過cat命令檢視公鑰檔案: 
[root@localhost .ssh]# cat id_rsa.pub 
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC2JpLMqgeg9jB9ZztOCw0WMS8hdVpFxthqG1vOQTOji/cp0+8RUZl3P6NtzqfHbs0iTcY0ypIJGgx4eXyipfLvilV2bSxRINCVV73VnydVYl5gLHsrgOx+372Wovlanq7Mxq06qAONjuRD0c64xqdJFKb1OvS/nyKaOr9D8yq/FxfwKqK7TzJM0cVBAG7+YR8lc9tJTCypmNXNngiSlipzjBcnfT+5VtcFSENfuJd60dmZDzrQTxGFSS2J34CuczTQSsItmYF3DyhqmrXL+cJ2vjZWVZRU6IY7BpqJFWwfYY9m8KaL0PZ+JJuaU7ESVBXf6HJcQhYPp2bTUyff+vdV shoufeng
# 可以看到最後有一個註釋內容shoufeng

2.3 ssh-copy-id把A的公鑰傳送給B

預設用法是: ssh-copy-id root@172.16.22.132, ssh-copy-id命令連線遠端伺服器時的預設埠是22, 當然可以指定檔案、遠端主機的IP、使用者和埠:

# 指定要拷貝的本地檔案、遠端主機的IP+使用者名稱+埠號:
[root@localhost .ssh]# ssh-copy-id -i ~/.ssh/id_rsa.pub -p 22 root@172.16.22.132
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@172.16.22.132's password:  # 輸入密碼後, 將拷貝公鑰

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh -p '22' 'root@172.16.22.132'"
and check to make sure that only the key(s) you wanted were added.

2.4 在A伺服器上免密登入B伺服器

[root@localhost .ssh]# ssh root@172.16.22.132
Last login: Fri Jun 14 08:46:04 2019 from 192.168.34.16    # 登入成功?

3 擴充套件說明

3.1 其他方式傳送公鑰檔案

上述2.3步驟是通過ssh-copy-id工具傳送公鑰檔案的, 當然我們也可以通過其他方式實現:

(1) 將A的公鑰檔案發給B:

通過scp命令將A伺服器的 公鑰檔案 傳送到B伺服器的使用者目錄下, 因為還沒有配置成功免密登入, 所以期間需要輸入B伺服器對應使用者的密碼:

[root@localhost .ssh]# scp id_rsa.pub root@172.16.22.132:/root/.ssh 
root@172.16.22.132's password: 
id_rsa.pub                                           100%  390     0.4KB/s   00:00 

(2) 在B上建立authorized_keys檔案:

[root@localhost .ssh]# cd /root/.ssh/
[root@localhost .ssh]# ls
id_rsa.pub
# 通過A伺服器的公鑰生成"authorized_keys"檔案:
[root@localhost .ssh]# cat id_rsa.pub >> authorized_keys
[root@localhost .ssh]# cat authorized_keys 
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC2JpLMqgeg9jB9ZztOCw0WMS8hdVpFxthqG1vOQTOji/cp0+8RUZl3P6NtzqfHbs0iTcY0ypIJGgx4eXyipfLvilV2bSxRINCVV73VnydVYl5gLHsrgOx+372Wovlanq7Mxq06qAONjuRD0c64xqdJFKb1OvS/nyKaOr9D8yq/FxfwKqK7TzJM0cVBAG7+YR8lc9tJTCypmNXNngiSlipzjBcnfT+5VtcFSENfuJd60dmZDzrQTxGFSS2J34CuczTQSsItmYF3DyhqmrXL+cJ2vjZWVZRU6IY7BpqJFWwfYY9m8KaL0PZ+JJuaU7ESVBXf6HJcQhYPp2bTUyff+vdV shoufeng

注意: 上述重定向時使用>>進行追加, 不要用>, 那會清空原有內容.

3.2 檔案許可權

為了讓私鑰檔案和公鑰檔案能夠在認證中起作用, 需要確保許可權的正確性:

① 對於.ssh目錄以及其內部的公鑰、私鑰檔案, 當前使用者至少要有執行許可權, 其他使用者最多隻能有執行許可權.

② 不要圖省事設定成777許可權: 太大的許可權不安全, 而且數字簽名也不支援這種許可權策略.

③ 對普通使用者, 建議設定成600許可權: chmod 600 authorized_keys id_rsa id_rsa.pub;

④ 對root使用者, 建議設定成644許可權: chmod 644 authorized_keys id_rsa id_rsa.pub.

3.3 檔案的編輯和檢視

在Liunx環境下, 如果要檢視、複製私鑰、公鑰, 以及authorized_keys等檔案, 不要使用vim等編輯器開啟, 因為它會產生不必要的回車;

應該通過cat、more、less等檢視命令把內容列印到終端上, 再作檢視、複製等操作.

參考資料

linux配置ssh免密碼登入

ssh-keygen 基本用法

版權宣告

作者: 瘦風(https://healchow.com)

出處: 部落格園 瘦風的部落格(https://www.cnblogs.com/shoufeng)

感謝閱讀, 如果文章有幫助或啟發到你, 點個[好文要頂?] 或 [推薦?] 吧?

本文版權歸博主所有, 歡迎轉載, 但 [必須在文章頁面明顯位置標明原文連結], 否則博主保留追究相關人員法律責任的權利.