ssh-keygen命令详解
为了让两个机器之间使⽤ssh不需要⽤户名和密码。所以采⽤了数字签名RSA或者DSA来完成这个操作。
模型分析
假设 A (192.168.20.59)为客户机器,B(192.168.20.60)为⽬标机;
要达到的⽬的:
A机器ssh登录B机器⽆需输⼊密码;
加密⽅式选 rsa|dsa均可以,默认dsa
ssh-keygen -t rsa #使⽤rsa加密
⼆、具体操作流程
单向登陆的操作过程(能满⾜上边的⽬的):
1、登录A机器
2、ssh-keygen -t [rsa|dsa],将会⽣成密钥⽂件和私钥⽂件 id_rsa,id_rsa.pub或id_dsa,id_dsa.pub
3、将 .pub ⽂件复制到B机器的 .ssh ⽬录,并 cat id_dsa.pub >> ~/.ssh/authorized_keys
4、⼤功告成,从A机器登录B机器的⽬标账户,不再需要密码了;(直接运⾏ #ssh 192.168.20.60 )
双向登陆的操作过程:
1、ssh-keygen做密码验证可以使在向对⽅机器上ssh ,scp不⽤使⽤密码.具体⽅法如下:
2、两个节点都执⾏操作:#ssh-keygen -t rsa
然后全部回车,采⽤默认值.
3、这样⽣成了⼀对密钥,存放在⽤户⽬录的~/.ssh下。
将公钥考到对⽅机器的⽤户⽬录下,并将其复制到~/.ssh/authorized_keys中(操作命令:#cat id_dsa.pub >> ~/.ssh/authorized_keys )。
4、设置⽂件和⽬录权限:
设置authorized_keys权限
$ chmod 600 authorized_keys
设置.ssh⽬录权限
$ chmod 700 -R .ssh
5、要保证.ssh和authorized_keys都只有⽤户⾃⼰有写权限。否则验证⽆效。(今天就是遇到这个问题,了好久问题所在),其实仔细想想,这样做是为了不会出现系统漏
洞。
我从20.60去访问20.59的时候会提⽰如下错误:
The authenticity of host '192.168.20.59 (192.168.20.59)' can't be established.  RSA key fingerprint is 6a:37:c0:e1:09:a4:29:8d:68:d0:ca:21:20:94:be:18.  Are you sure you want to continue connecting (yes with-mic,password).
三、总结注意事项ssh命令指定端口
1、⽂件和⽬录的权限千万别设置成chmod 777.这个权限太⼤了,不安全,数字签名也不⽀持。我开始图省事就这么⼲了
2、⽣成的rsa/dsa签名的公钥是给对⽅机器使⽤的。这个公钥内容还要拷贝到authorized_keys
3、linux之间的访问直接 ssh 机器ip
4、某个机器⽣成⾃⼰的RSA或者DSA的数字签名,将公钥给⽬标机器,然后⽬标机器接收后设定相关权限(公钥和authorized_keys权限),这个⽬标机就能被⽣成数字签名的
机器⽆密码访问了
ssh-keygen设置ssh⽆密码登录
ssh-keygen - ⽣成、管理和转换认证密钥,包括 RSA 和 DSA 两种密钥
密钥类型可以⽤ -t 选项指定。如果没有指定则默认⽣成⽤于SSH-2的RSA密钥
配置:
1、在本地机器中的~/.ssh/⽬录下执⾏下命令
ssh-keygen -t dsa
将⽣成两个⽂件,id_dsa和id_dsa.pub
2、将id_dsa.pub拷贝到远程机器,并且将id_dsa.pub的内容添加到~/.ssh/authorized_keys中
cat id_dsa.pub >>authorized_keys
注意:⽬录.ssh和⽂件authorized_keys的权限必须是600
完成以上操作之后,⽤户从本地机器到远程机器就不需要⽤密码了
⼏个⽂件的作⽤说明,摘⾃v/OpenSSH/ssh-keygen.html
~/.ssh/identity
该⽤户默认的 RSA1 ⾝份认证私钥(SSH-1)。此⽂件的权限应当⾄少限制为"600"。
⽣成密钥的时候可以指定采⽤密语来加密该私钥(3DES)。
将在登录的时候读取这个⽂件。
~/.ssh/identity.pub
该⽤户默认的 RSA1 ⾝份认证公钥(SSH-1)。此⽂件⽆需保密。
此⽂件的内容应该添加到所有 RSA1 ⽬标主机的 ~/.ssh/authorized_keys ⽂件中。
~/.ssh/id_dsa
该⽤户默认的 DSA ⾝份认证私钥(SSH-2)。此⽂件的权限应当⾄少限制为"600"。
⽣成密钥的时候可以指定采⽤密语来加密该私钥(3DES)。
将在登录的时候读取这个⽂件。
~/.ssh/id_dsa.pub
该⽤户默认的 DSA ⾝份认证公钥(SSH-2)。此⽂件⽆需保密。
此⽂件的内容应该添加到所有 DSA ⽬标主机的 ~/.ssh/authorized_keys ⽂件中。
~/.ssh/id_rsa
该⽤户默认的 RSA ⾝份认证私钥(SSH-2)。此⽂件的权限应当⾄少限制为"600"。
⽣成密钥的时候可以指定采⽤密语来加密该私钥(3DES)。
将在登录的时候读取这个⽂件。
~/.ssh/id_rsa.pub
该⽤户默认的 RSA ⾝份认证公钥(SSH-2)。此⽂件⽆需保密。
此⽂件的内容应该添加到所有 RSA ⽬标主机的 ~/.ssh/authorized_keys ⽂件中。
/etc/ssh/moduli
包含⽤于 DH-GEX 的 Diffie-Hellman groups
BG2BLT01 is on, BG2BLT02 is power off. They’re too noisy L
When and how to move them to data center?
Please update SSH key in .33 server for  repo access.
ssh-keygen -t dsa
scp ~/.ssh/id_dsa.pub [YOUR_USER_NAME]@10.38.116.33:authorized_keys
ssh [YOUR_USER_NAME]@ 10.38.116.33
skip below 3 steps if you already have .ssh and .ssh/authorized_keys
mkdir -m 700 .ssh
touch .ssh/authorized_keys
chmod 600 .ssh/authorized_keys
cat authorized_keys >> .ssh/authorized_keys;exit
vi ~/.ssh/config
add lines and save quit
host 10.38.116.33
user [YOUR_USER_NAME]