一、概述

1、就是為了讓兩個Linux機器之間使用ssh不需要用戶名和密碼。采用了數(shù)字簽名RSA或者DSA來完成這個操作

2、模型分析

假設(shè) A （192.168.20.59）為客戶機器，B（192.168.20.60）為目標(biāo)機；

要達到的目的：
A機器ssh登錄B機器無需輸入密碼；
加密方式選 rsa|dsa均可以，默認(rèn)dsa

?

二、具體操作流程

?

單向登陸的操作過程（能滿足上邊的目的）：
1、登錄A機器?
2、ssh-keygen -t [rsa|dsa]，將會生成密鑰文件和私鑰文件 id_rsa,id_rsa.pub或id_dsa,id_dsa.pub
3、將 .pub 文件復(fù)制到B機器的 .ssh 目錄，?并 cat id_dsa.pub >> ~/.ssh/authorized_keys
4、大功告成，從A機器登錄B機器的目標(biāo)賬戶，不再需要密碼了；（直接運行?#ssh 192.168.20.60?）

?

雙向登陸的操作過程：

1、ssh-keygen做密碼驗證可以使在向?qū)Ψ綑C器上ssh ,scp不用使用密碼.具體方法如下:
2、兩個節(jié)點都執(zhí)行操作：#ssh-keygen -t rsa?
? 然后全部回車,采用默認(rèn)值.

3、這樣生成了一對密鑰，存放在用戶目錄的~/.ssh下。
將公鑰考到對方機器的用戶目錄下?，并將其復(fù)制到~/.ssh/authorized_keys中（操作命令：#cat id_dsa.pub >> ~/.ssh/authorized_keys?）。

4、設(shè)置文件和目錄權(quán)限：

設(shè)置authorized_keys權(quán)限
$ chmod 600 authorized_keys?
設(shè)置.ssh目錄權(quán)限
$ chmod 700 -R .ssh

?

5、要保證.ssh和authorized_keys都只有用戶自己有寫權(quán)限。否則驗證無效。（今天就是遇到這個問題，找了好久問題所在），其實仔細想想，這樣做是為了不會出現(xiàn)系統(tǒng)漏洞。

我從20.60去訪問20.59的時候會提示如下錯誤：

[Java]?view plaincopy

The?authenticity?of?host?'192.168.20.59?(192.168.20.59)'?can't?be?established.??

RSA?key?fingerprint?is?6a:37:c0:e1:09:a4:29:8d:68:d0:ca:21:20:94:be:18.??

Are?you?sure?you?want?to?continue?connecting?(yes/no)??yes??

Warning:?Permanently?added?'192.168.20.59'?(RSA)?to?the?list?of?known?hosts.??

root@192.168.20.59's?password:???

Permission?denied,?please?try?again.??

root@192.168.20.59's?password:???

Permission?denied,?please?try?again.??

root@192.168.20.59's?password:???

Permission?denied?(publickey,gssapi-with-mic,password).??

?

三、總結(jié)注意事項

1、文件和目錄的權(quán)限千萬別設(shè)置成chmod 777.這個權(quán)限太大了，不安全，數(shù)字簽名也不支持。我開始圖省事就這么干了

2、生成的rsa/dsa簽名的公鑰是給對方機器使用的。這個公鑰內(nèi)容還要拷貝到authorized_keys

3、linux之間的訪問直接 ssh 機器ip

4、某個機器生成自己的RSA或者DSA的數(shù)字簽名，將公鑰給目標(biāo)機器，然后目標(biāo)機器接收后設(shè)定相關(guān)權(quán)限（公鑰和authorized_keys權(quán)限），這個目標(biāo)機就能被生成數(shù)字簽名的機器無密碼訪問了

總結(jié)

以上是生活随笔為你收集整理的使用ssh-keygen生成私钥和公钥的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。