Linux使用ssh-keygen实现SSH无密码登录

一、原理简介:

1、SSH公钥认证的基本原理:

    SSH是一个专为远程登录会话和其他网络服务提供安全性的协议。默认状态下SSH链接是需要密码认证的,可以通过添加系统认证(即公钥-私钥)的修改,修改后系统间切换可以避免密码输入和SSH认证。

    对信息的加密和解密采用不同的key,这对key分别称作private key和public key,其中,public key存放在欲登录的服务器上,而private key为特定的客户机所持有。

    当客户机向服务器发出建立安全连接的请求时,首先发送自己的public key,如果这个public key是被服务器所允许的,服务器就发送一个经过public key加密的随机数据给客户机,这个数据只能通过private key解密,客户机将解密后的信息发还给服务器,服务器验证正确后即确认客户机是可信任的,从而建立起一条安全的信息通道。

    通过这种方式,客户机不需要向外发送自己的身份标志“private key”即可达到校验的目的,并且private key是不能通过public key反向推断出来的。这避免了网络窃听可能造成的密码泄露。客户机需要小心的保存自己的private key,以免被其他人窃取,一旦这样的事情发生,就需要各服务器更换受信的public key列表。

2、要实现的效果:

   网络拓扑图如下:共4台服务器,主机名分别为flower1~4,要实现flower1到另外3台服务器的免密码登录。

    flower

3、基本步骤:

  1. 设置主机名。
  2. 在服务器flower1上利用ssh-keygen命令生成公钥私钥对。
  3. 将flower1上的公钥分别拷贝到flower2~4服务器上。
  4. 修改相关文件的权限。
  5. 验证免密码登录。

二、实际操作流程:

1、修改4台服务器上的主机名:

    这里以主机1为例,hostname修改为flower1。那么有几种修改方式呢?下面4种方式都可以做到,但是效果有所不同。

1hostname flower1     --运行后立即生效(新会话生效),但是在系统重启后会丢失所做的修改

2echo flower1   > /proc/sys/kernel/hostname  --运行后立即生效(新会话生效),但是在系统重启后会丢失所做的修改

3: sysctl kernel.hostname=flower1    --运行后立即生效(新会话生效),但是在系统重启后会丢失所做的修改

4: 修改/etc/sysconfig/network下的HOSTNAME变量  --需要重启生效,永久性修改。

    上面4种方式的区别在哪呢?

    hostname是Linux系统下的一个内核参数,它保存在/proc/sys/kernel/hostname下,但是它的值是Linux启动时从/etc/rc.d/rc.sysinit读取的。

    而/etc/rc.d/rc.sysinit中HOSTNAME的取值来自与/etc/sysconfig/network下的HOSTNAME。

    所以,如果服务器重启,就肯定以/etc/sysconfig/network为准。其余3种方式都是临时的修改。

    另外,从上面的逻辑上看,hostname的取值跟/etc/hosts中的配置没什么关系。

    所以,如果要服务器的hostname立刻生效,并保证重启后生效,该如何操作呢?

    只要修改/etc/sysconfig/network中的HOSTNAME,并在命令行执行 hostname flower1即可。

[root@iZ940419pwoZ ~]# vim /etc/sysconfig/network
[root@iZ940419pwoZ ~]# hostname flower1
[root@iZ940419pwoZ ~]# hostname
flower1
[root@iZ940419pwoZ ~]# reboot

    重启看一下效果。如法炮制,修改其余3台服务器,分别命名为flower2\flower3\flower4

2、在服务器flower1上利用ssh-keygen命令生成公钥私钥对:

    这里需要注意一点,虽然flower1也是服务器,但是它是作为ssh客户端来进行配置的。

    在用户的主目录下执行以下命令(这里使用的是root用户,可以根据个人需要调整),连续按3次回车即可。

[root@flower1 ~]# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
df:71:f6:3e:bb:bb:6c:38:91:f4:bc:70:a1:dd:86:a9 root@flower1
The key's randomart image is:
+--[ RSA 2048]----+
|                 |
|                 |
|                 |
|             . . |
|        S   o Ooo|
|         . . Oo*o|
|          . ..=.o|
|            Eo.= |
|              o*B|
+-----------------+

image

    进入到~/.ssh目录下查看生成的文件:其中id_rsa为私钥,id_rsa.pub为公钥。

image

3、将flower1上的公钥拷贝到flower2~4相关目录下:

    这里使用scp命令进行复制,首先保证flower2~4下有~/.ssh目录。

    这里以flower2为例

[root@flower1 .ssh]# scp id_rsa.pub root@10.170.125.14:~/.ssh

image

然后到flower2机器上

# touch ~/.ssh/authorized_keys (如果已经存在这个文件, 跳过这条)
# chmod 600 ~/.ssh/authorized_keys  (# 注意: 必须将~/.ssh/authorized_keys的权限改为600, 该文件用于保存ssh客户端生成的公钥,可以修改服务器的ssh服务端配置文件/etc/ssh/sshd_config来指定其他文件名)
# cat ~/.ssh/id_rsa.pub  >> /root/.ssh/authorized_keys (将id_rsa.pub的内容追加到 authorized_keys 中, 注意不要用 > ,否则会清空原有的内容,使其他人无法使用原有的密钥登录)

4、验证:

[root@flower1 .ssh]# ssh 10.170.125.14

image

其余几台服务器使用类似的方式修改即可。

posted @ 2015-11-23 23:57  于辰  阅读(12040)  评论(0编辑  收藏  举报