文章目录
一、情景
问题描述:
二、前提
三、举例
四、步骤
1、登录 192.168.1.151
2、将公钥追加到远程机器上
3、这时候 从192.168.3.151 登录到192.168.3.152 就不需要密码了。
4、若需要实现双向的,则继续执行以下步骤:
5、注意事项
一、情景
问题描述:
在使用java 或者 直接在linux系统中登录时,会有提示消息:是否保存地址信息,和输入密码。
认证身份有“私钥和公钥对”“用户名和密码”完成两台主机之间的身份认证。
为了解除这些繁琐的交互式命令和提高安全性,实现免密登录。下面来总结一下。
二、前提
所有的服务器 /etc/ssh/sshd_config文件以下三行都需要未被注释。
1:RSAAuthentication yes
2:PubkeyAuthentication yes
3:AuthorizedKeysFile .ssh/authorized_keys
三、举例
两台服务器
192.168.3.151
192.168.3.152
免密登录是分用户的,以下是以root用为例,.ssh目录是每个用户的家目录下。
四、步骤
1、登录 192.168.1.151
执行命令 ssh-keygan -t rsa,一路回车到底。
[root@localhost ~]# ssh-keygen
将会在家目录 /root/.ssh下生成私钥 id_rsa和公钥id_rsa.pub。
2、将公钥追加到远程机器上
将本机(192.168.1.151)的公钥(id_rsa.pub)追加到 192.168.3.152中的authorized_keys(/root/.ssh/authorized_keys)文件中。
命令如下:
[root@host1 ~]# ls /root/.ssh/
authorized_keys id_rsa id_rsa.pub known_hosts
1:// 在本地151上执行,将文件传输到152上
2:scp /root/.ssh/id_rsa.pub root@192.168.3.152:/root
3:// 在152机器上执行,/root/目录下,将文件追加到authorized_keys 中
4:cat id_rsa.pub>>/root/.ssh/authorized_keys
在151上登录152,已经免密了
[root@localhost ~]# ssh 192.168.3.152
3、这时候 从192.168.3.151 登录到192.168.3.152 就不需要密码了。
4、若需要实现双向的,则继续执行以下步骤:
登录到192.168.3.152 执行上面相似的步骤即可。
5、注意事项
修改完/etc/ssh/sshd_config文件需要重启sshd服务。(systemctl restart sshd)
追加公钥到服务器authorized_keys中,千万不要覆盖。
.ssh目录的权限为700,authorized_keys权限为600。
---------------------
普通用户向root 用户传公钥:
[alice@nas ~]$ ssh-keygen
[alice@nas ~]$ ls -a
. .. .bash_history .bash_logout .bash_profile .bashrc .ssh
[alice@nas ~]$ ls -a .ssh/
. .. id_rsa id_rsa.pub known_hosts
[alice@nas ~]$ ssh-copy-id root@192.168.40.12
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@192.168.40.12's password:
Number of key(s) added: 1
Now try logging into the machine, with: "ssh 'root@192.168.40.12'"
and check to make sure that only the key(s) you wanted were added.
[alice@nas ~]$ ssh root@192.168.40.12
Last login: Thu Oct 24 09:10:58 2019 from 192.168.40.1
使用另一个没有免密得普通用户登录 ,需要输入密码
[hehe@nas script]$ ssh root@192.168.40.12
The authenticity of host '192.168.40.12 (192.168.40.12)' can't be established.
ECDSA key fingerprint is f0:fd:39:de:c7:b2:b1:4f:9c:f5:b7:f0:ed:5c:fe:28.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.40.12' (ECDSA) to the list of known hosts.
root@192.168.40.12's password:
我是用root登陆的,显示不行,那是因为我关闭了root的登陆权限,如果你要使用root登陆可以执行
vi /etc/ssh/sshd_config
修改为PubkeyAuthentication yes(如果前面有#,就去掉#)