文章目錄
前言
為什么用密鑰認(rèn)證
秘鑰認(rèn)證流程
秘鑰生成及使用

交互式創(chuàng)建及分發(fā)秘鑰
a) 生成秘鑰
b) 分發(fā)秘鑰
c) 登陸測(cè)試

非交互式創(chuàng)建秘鑰
總結(jié)

前言

之前我們討論了ssh的基礎(chǔ)入門及配置文件，如果你還沒(méi)有探究過(guò)ssh的基礎(chǔ)知識(shí)，請(qǐng)點(diǎn)擊鏈接：

【Linux】循序漸進(jìn)學(xué)運(yùn)維-服務(wù)篇-ssh服務(wù)入門
【Linux】循序漸進(jìn)學(xué)運(yùn)維-服務(wù)篇-ssh配置文件詳解

今天我們著重來(lái)聊聊關(guān)于秘鑰認(rèn)證那點(diǎn)事。

為什么用密鑰認(rèn)證

遠(yuǎn)程登錄每次都輸入用戶名和密碼，一個(gè)是非常麻煩，再一個(gè)也不是特別的安全，需要不定期修改密碼。
一般在公司里，我們都是一周修改一次密碼；當(dāng)然也有公司幾年不修改一次密碼的。我從上家公司離職兩年后，有一次給學(xué)生演示，我登錄了一下居然還能登陸，這心得多大。當(dāng)然咱們恪守本份，不去給他們搞破壞，但難保有一天員工離職時(shí)候鬧得不愉快，登錄上去刪根報(bào)復(fù)的。

秘鑰認(rèn)證流程

公鑰登錄是為了解決每次登錄服務(wù)器都要輸入密碼的問(wèn)題，流行使用RSA加密方案，主要流程包含：

? 1、客戶端生成RSA公鑰和私鑰

? 2、客戶端將自己的公鑰存放到服務(wù)器

? 3、客戶端請(qǐng)求連接服務(wù)器，服務(wù)器將一個(gè)隨機(jī)字符串發(fā)送給客戶端

? 4、客戶端根據(jù)自己的私鑰加密這個(gè)隨機(jī)字符串之后再發(fā)送給服務(wù)器

? 5、服務(wù)器接受到加密后的字符串之后用公鑰解密，如果正確就讓客戶端登錄，否則拒絕。這樣就不用使用密碼了。

這種方法要求用戶必須提供自己的公鑰。如果沒(méi)有現(xiàn)成的，可以直接用ssh-keygen生成一個(gè)

秘鑰生成及使用

1. 交互式創(chuàng)建及分發(fā)秘鑰

a) 生成秘鑰

一路回車帶閃電，私鑰的口令可以設(shè)置，也可以不設(shè)置。

運(yùn)行結(jié)束后，會(huì)在 $HOME/.ssh/目錄下，會(huì)新生成兩個(gè)文件：id_rsa.pub和id_rsa。前者是你的公鑰，后者是你的私鑰。

b) 分發(fā)秘鑰

[root@gaosh-64 ~]# ssh-copy-id root@192.168.1.22 ### 分發(fā)秘鑰 /usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub" /usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed /usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys root@192.168.1.22's password: ##輸入22這臺(tái)服務(wù)器的密碼Number of key(s) added: 1Now try logging into the machine, with: "ssh 'root@192.168.1.22'" and check to make sure that only the key(s) you wanted were added.

c) 登陸測(cè)試

可以看到無(wú)需輸入密碼

2. 非交互式創(chuàng)建秘鑰

ssh-keygen -t dsa -f ~/.ssh/id_dsa -P “”

|參數(shù)|作用|

ssh-keygen |生成密鑰對(duì)命令
t|指定密鑰對(duì)的密碼加密類型（rsa，dsa兩種）
f|指定密鑰對(duì)文件的生成路徑包含文件名
P|指定密鑰對(duì)的密碼

[root@gaosh-1 ~]# ssh-keygen -t dsa -f ~/.ssh/id_dsa -P "" Generating public/private dsa key pair. Your identification has been saved in /root/.ssh/id_dsa. Your public key has been saved in /root/.ssh/id_dsa.pub. The key fingerprint is: 48:ee:69:98:53:3e:63:2e:00:14:27:f3:ad:5c:5f:58 root@gaosh-1 The key's randomart image is: +--[ DSA 1024]----+ | +.. E | | .= . o | |. . o.. . | |. . oo... | | . o +.S | | . * . | | .+ O | | .= o | | .. | +-----------------+ [root@gaosh-1 ~]#

總結(jié)

秘鑰認(rèn)證在后面的學(xué)習(xí)中，尤其在寫shell腳本的時(shí)候，涉及到兩臺(tái)服務(wù)器的連同， 特別方便。在使用時(shí)，只要會(huì)交互式創(chuàng)建秘鑰即可。

本文轉(zhuǎn)自 ID： 互聯(lián)網(wǎng)老辛 更多內(nèi)容關(guān)注公眾號(hào)《極客運(yùn)維之家》，掃碼添加：

總結(jié)

以上是生活随笔為你收集整理的SSH秘钥认证的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。