ssh使用秘钥免密码登录

  使用ssh远程连接服务器,有两种身份校验方式:账号密码和秘钥。使用秘钥的方式理论上更加安全,而且免去了输入密码的步骤,使用起来更方便(尤其对于sftp,scp等)。

  ssh秘钥的生成和使用,网上很多教程,感觉不太完整,这里自己总结一下。

  1. 秘钥由谁生成
    这是比较容易搞乱的一点。这里以A、B两台服务器为例,假设A需要ssh登录B,那么应该由那台服务器生成秘钥呢。可能有人以为像门锁一样,主人家负责装锁配钥匙,把钥匙交给要开门的人使用,所以由被访问的B服务器生成秘钥。

    事实恰恰相反,秘钥由访问请求方A服务器生成,并把生成的公钥交给B导入;公钥可以在多台服务器导入,一台服务器导入了A的公钥,即意味着承认A的有访问自己权限,所以A可以用一套密钥登录多台服务器。

  2. 账号
    访问和被访问的服务,需要有相同的账号,而且密钥由该账号生成。

  3. 密钥生成
    在A服务器上执行命令:
    ssh-keygen -t [rsa|dsa]
    rsa和dsa是生成密钥常用的两种加密算法,其他可选算法还有ecdsa、rsa1等。
    命令执行过程需要用户输入的地方连续回车即可(enter passphrase的别输入,否则登录的时候还是得输入密钥密码)。
    执行成功后,在用户home目录下的.ssh子目录里会生成私钥文件和公钥文件:id_rsa,id_rsa.pub或id_dsa,id_dsa.pub。

  4. 公钥导入
    方法一:
    把公钥文件id_rsa.pub上传到B服务器,然后执行:
    cat id_rsa.pub >> ~/.ssh/authorized_keys
    将id_rsa.pub的内容,追加到文件~/.ssh/authorized_keys中

    方法二:
    在A服务器上使用命令cat ~/.ssh/id_rsa.pub查看公钥内容,将内容复制追加到B服务器的文件~/.ssh/authorized_keys中(请注意不要删除或覆盖该文件中已有的内容)。

  5. 修改权限
    A服务器上的.ssh和秘钥文件的权限在ssh-keygen生成时已设好,无须特别设置。B服务器上如果是首次添加authorized_keys,需要修改权限:
    chmod 600 authorized_keys
    设置authorized_keys权限

    chmod 700 -R .ssh
    设置.ssh目录权限

  6. 登录
    在A服务器上执行:
    ssh ip/hostname(B服务器的ip或主机名)
    即可登录。
posted @ 2016-05-12 02:12 冠民 阅读(...) 评论(...) 编辑 收藏