Linux下实现普通用户免密登录并执行root权限
需求:服务器的root和密码登录都禁用,只开放普通用户登录,这时需要给普通用户配置秘钥文件,实现无密码登录
需要注意的是使用什么用户,就把秘钥文件拷入到该用户的家目录下,如果是root用户,就直接拷贝到/root/.ssh/下(本次测试是使用普通用户oper测试的)
1) .ssh目录的权限必须是700
2) .ssh/authorized_keys文件权限必须是600
测试机器:
host1:192.168.0.131
host2:192.168.0.132
一、在新机器生成秘钥:
[root@host1 .ssh]# ssh-keygen Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub. The key fingerprint is: SHA256:O9C8LWfjT44gIJR+URWH3FFJhsgqMU8VmaDDZAGWR7k root@host1 The key's randomart image is: +---[RSA 2048]----+ | o+=oo*=Oo=+. | | ..==o. B.o.. | | o.=* . | | o Eooo | | o o.. S | | o . . + | | . * = . | | . B = | | o.o | +----[SHA256]-----+ [root@host1 .ssh]# ls id_rsa id_rsa.pub known_hosts
二、将id_rsa.pub拷入需要登录的服务器的用户家目录下的.ssh/authorized_keys中(即192.168.0.132下的/home/oper/.ssh/authorized_keys)
以下三种方法任选其一即可
2.1:通过ssh-copy-id的方式
[root@host2 oper]# mkdir /home/oper/.ssh [root@host2 oper]# chown oper:oper .ssh/ [root@host2 oper]# chmod 700 .ssh [root@host2 oper]# ls -la 总用量 20 drwx------. 3 oper oper 111 4月 23 12:58 . drwxr-xr-x. 5 root root 43 4月 23 10:18 .. -rw-------. 1 oper oper 104 4月 23 13:01 .bash_history -rw-r--r--. 1 oper oper 18 8月 3 2017 .bash_logout -rw-r--r--. 1 oper oper 193 8月 3 2017 .bash_profile -rw-r--r--. 1 oper oper 231 8月 3 2017 .bashrc drwx------. 2 oper oper 29 4月 23 14:32 .ssh [root@host1 .ssh]# ssh-copy-id -i /root/.ssh/id_rsa.pub oper@192.168.0.132 oper@192.168.0.132's password: Number of key(s) added: 1 Now try logging into the machine, with: "ssh 'oper@192.168.0.132'" and check to make sure that only the key(s) you wanted were added.
#登录测试 [root@host1 .ssh]# ssh oper@192.168.0.132 Last failed login: Mon Apr 23 14:32:40 CST 2018 from 192.168.0.131 on ssh:notty There was 1 failed login attempt since the last successful login. Last login: Mon Apr 23 14:21:57 2018 from 192.168.0.131 [oper@host2 ~]$
2.2:通过scp将内容写到对方的文件中
[root@host1 .ssh]# scp -p ~/.ssh/id_rsa.pub oper@192.168.0.132:/home/oper/.ssh/authorized_keys oper@192.168.0.132's password: id_rsa.pub
#登录测试 100% 392 16.6KB/s 00:00 [root@host1 .ssh]# ssh oper@192.168.0.132 Last login: Mon Apr 23 14:35:06 2018 from 192.168.0.131 [oper@host2 ~]$
2.3:通过ssh命令写入,此方式可写成脚本,然后批量写入主机
此方式也可直接把/root/.ssh/id_rsa.pub的内容直接复制粘贴到host2下/home/oper/.ssh/authorized_keys中
[root@host1 .ssh]# ssh oper@192.168.0.132 "echo `cat /root/.ssh/id_rsa.pub` >> /home/oper/.ssh/authorized_keys " oper@192.168.0.132's password: [root@host1 .ssh]# ssh oper@192.168.0.132 oper@192.168.0.132's password: [root@host2 .ssh]# pwd /home/oper/.ssh [root@host2 .ssh]# ll 总用量 4 -rw-rw-r--. 1 oper oper 392 4月 23 14:43 authorized_keys [root@host2 .ssh]# chmod 600 authorized_keys [root@host2 .ssh]# ll 总用量 4 -rw-------. 1 oper oper 392 4月 23 14:43 authorized_keys #登录测试 [root@host1 .ssh]# ssh oper@192.168.0.132 Last login: Mon Apr 23 14:40:54 2018 from 192.168.0.131 [oper@host2 ~]$ 出现需要密码登录是因为host2的authorized_keys权限没有设置为600;把权限设置为600后,再执行 ssh oper@192.168.0.132就可以了,如果之前有权限是600的authorized_keys;则可直接登录
PS:如果普通用户需要切换到root用户且无需输入密码,则在root用户模式下执行命令:visudo
[root@host2 ~]# visudo #最后一行加入 Cmnd_Alias SU = /bin/su oper ALL = (root) NOPASSWD: SU :wq [root@host2 ~]# su - oper
#登录测试 [oper@host2 ~]$ sudo su #最好使用sudo su - 完全切换,su会加载不出来环境变量 [root@host2 oper]#
附:文件说明
~/.ssh/identity
该用户默认的 RSA1 身份认证私钥(SSH-1)。此文件的权限应当至少限制为"600"。
生成密钥的时候可以指定采用密语来加密该私钥(3DES)。
ssh(1) 将在登录的时候读取这个文件。
~/.ssh/identity.pub
该用户默认的 RSA1 身份认证公钥(SSH-1)。此文件无需保密。
此文件的内容应该添加到所有 RSA1 目标主机的 ~/.ssh/authorized_keys 文件中。
~/.ssh/id_dsa
该用户默认的 DSA 身份认证私钥(SSH-2)。此文件的权限应当至少限制为"600"。
生成密钥的时候可以指定采用密语来加密该私钥(3DES)。
ssh(1) 将在登录的时候读取这个文件。
~/.ssh/id_dsa.pub
该用户默认的 DSA 身份认证公钥(SSH-2)。此文件无需保密。
此文件的内容应该添加到所有 DSA 目标主机的 ~/.ssh/authorized_keys 文件中。
~/.ssh/id_rsa
该用户默认的 RSA 身份认证私钥(SSH-2)。此文件的权限应当至少限制为"600"。
生成密钥的时候可以指定采用密语来加密该私钥(3DES)。
ssh(1) 将在登录的时候读取这个文件。
~/.ssh/id_rsa.pub
该用户默认的 RSA 身份认证公钥(SSH-2)。此文件无需保密。
此文件的内容应该添加到所有 RSA 目标主机的 ~/.ssh/authorized_keys 文件中。
/etc/ssh/moduli
包含用于 DH-GEX 的 Diffie-Hellman groups 。文件的格式在 moduli(5) 手册页中描述。
