ssh-keygen 的 详解
為了讓兩個linux機器之間使用ssh不需要用戶名和密碼。所以采用了數字簽名RSA或者DSA來完成這個操作。
模型分析
假設 A (192.168.20.59)為客戶機器,B(192.168.20.60)為目標機;
要達到的目的:
A機器ssh登錄B機器無需輸入密碼;
加密方式選 rsa|dsa均可以,默認dsa
ssh-keygen -t rsa #使用rsa加密
二、具體操作流程
單向登陸的操作過程(能滿足上邊的目的):
1、登錄A機器?
2、ssh-keygen -t?[rsa|dsa],將會生成密鑰文件和私鑰文件?id_rsa,id_rsa.pub或id_dsa,id_dsa.pub
3、將 .pub 文件復制到B機器的 .ssh 目錄,?并 cat id_dsa.pub >> ~/.ssh/authorized_keys
4、大功告成,從A機器登錄B機器的目標賬戶,不再需要密碼了;(直接運行?#ssh 192.168.20.60?)
雙向登陸的操作過程:
1、ssh-keygen做密碼驗證可以使在向對方機器上ssh ,scp不用使用密碼.具體方法如下:
2、兩個節點都執行操作:#ssh-keygen -t rsa
? 然后全部回車,采用默認值.
3、這樣生成了一對密鑰,存放在用戶目錄的~/.ssh下。
將公鑰考到對方機器的用戶目錄下?,并將其復制到~/.ssh/authorized_keys中(操作命令:#cat id_dsa.pub >> ~/.ssh/authorized_keys?)。
4、設置文件和目錄權限:
設置authorized_keys權限
$ chmod 600 authorized_keys?
設置.ssh目錄權限
$ chmod 700 -R .ssh
5、要保證.ssh和authorized_keys都只有用戶自己有寫權限。否則驗證無效。(今天就是遇到這個問題,找了好久問題所在),其實仔細想想,這樣做是為了不會出現系統漏洞。
我從20.60去訪問20.59的時候會提示如下錯誤:
The?authenticity?of?host?'192.168.20.59?(192.168.20.59)'?can't?be?established.??RSA?key?fingerprint?is?6a:37:c0:e1:09:a4:29:8d:68:d0:ca:21:20:94:be:18.??Are?you?sure?you?want?to?continue?connecting?(yes/no)??yes??Warning:?Permanently?added?'192.168.20.59'?(RSA)?to?the?list?of?known?hosts.??root@192.168.20.59's?password:???Permission?denied,?please?try?again.??root@192.168.20.59's?password:???Permission?denied,?please?try?again.??root@192.168.20.59's?password:???Permission?denied?(publickey,gssapi-with-mic,password).??三、總結注意事項
1、文件和目錄的權限千萬別設置成chmod 777.這個權限太大了,不安全,數字簽名也不支持。我開始圖省事就這么干了
2、生成的rsa/dsa簽名的公鑰是給對方機器使用的。這個公鑰內容還要拷貝到authorized_keys
3、linux之間的訪問直接 ssh 機器ip
4、某個機器生成自己的RSA或者DSA的數字簽名,將公鑰給目標機器,然后目標機器接收后設定相關權限(公鑰和authorized_keys權限),這個目標機就能被生成數字簽名的機器無密碼訪問了
?ssh-keygen設置ssh無密碼登錄
ssh-keygen - 生成、管理和轉換認證密鑰,包括 RSA 和 DSA 兩種密鑰 密鑰類型可以用 -t 選項指定。如果沒有指定則默認生成用于SSH-2的RSA密鑰配置: 1、在本地機器中的~/.ssh/目錄下執行下命令 ssh-keygen -t dsa 將生成兩個文件,id_dsa和id_dsa.pub2、將id_dsa.pub拷貝到遠程機器,并且將id_dsa.pub的內容添加到~/.ssh/authorized_keys中 cat id_dsa.pub >>authorized_keys 注意:目錄.ssh和文件authorized_keys的權限必須是600完成以上操作之后,用戶從本地機器到遠程機器就不需要用密碼了幾個文件的作用說明,摘自http://lamp.linux.gov.cn/OpenSSH/ssh-keygen.html?????~/.ssh/identity
?????????????該用戶默認的?RSA1?身份認證私鑰(SSH-1)。此文件的權限應當至少限制為"600"。
?????????????生成密鑰的時候可以指定采用密語來加密該私鑰(3DES)。
?????????????ssh將在登錄的時候讀取這個文件。
?????~/.ssh/identity.pub
?????????????該用戶默認的?RSA1?身份認證公鑰(SSH-1)。此文件無需保密。
?????????????此文件的內容應該添加到所有?RSA1?目標主機的?~/.ssh/authorized_keys?文件中。
?
?????~/.ssh/id_dsa
?????????????該用戶默認的?DSA?身份認證私鑰(SSH-2)。此文件的權限應當至少限制為"600"。
?????????????生成密鑰的時候可以指定采用密語來加密該私鑰(3DES)。
?????????????ssh將在登錄的時候讀取這個文件。
?
?????~/.ssh/id_dsa.pub
?????????????該用戶默認的?DSA?身份認證公鑰(SSH-2)。此文件無需保密。
?????????????此文件的內容應該添加到所有?DSA?目標主機的?~/.ssh/authorized_keys?文件中。
?
?????~/.ssh/id_rsa
?????????????該用戶默認的?RSA?身份認證私鑰(SSH-2)。此文件的權限應當至少限制為"600"。
?????????????生成密鑰的時候可以指定采用密語來加密該私鑰(3DES)。
?????????????ssh將在登錄的時候讀取這個文件。
?
?????~/.ssh/id_rsa.pub
?????????????該用戶默認的?RSA?身份認證公鑰(SSH-2)。此文件無需保密。
?????????????此文件的內容應該添加到所有?RSA?目標主機的?~/.ssh/authorized_keys?文件中。
?
?????/etc/ssh/moduli
?????????????包含用于?DH-GEX?的?Diffie-Hellman?groups
?BG2BLT01 is on, BG2BLT02 is power off. They’re too noisy L
When and how to move them to data center?
?
Please update SSH key in .33 server for?Git?repo access.
ssh-keygen -t dsa
?
scp ~/.ssh/id_dsa.pub [YOUR_USER_NAME]@10.38.116.33:authorized_keys
?
ssh [YOUR_USER_NAME]@ 10.38.116.33
?
skip below 3 steps if you already have .ssh and .ssh/authorized_keys
mkdir -m 700 .ssh
touch .ssh/authorized_keys
chmod 600 .ssh/authorized_keys
?
cat authorized_keys >> .ssh/authorized_keys;exit
?
vi ~/.ssh/config
add lines and save quit
host 10.38.116.33
user [YOUR_USER_NAME]
總結
以上是生活随笔為你收集整理的ssh-keygen 的 详解的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 深入Java关键字null
- 下一篇: Set集合以及HashSet、Linke