阿里云-云小站(无限量代金券发放中)
【腾讯云】云服务器、云数据库、COS、CDN、短信等热卖云产品特惠抢购

Linux多台服务器共用密钥ssh自动登陆

133次阅读
没有评论

共计 2559 个字符,预计需要花费 7 分钟才能阅读完成。

最近在研究自动登陆的 linux 服务器的东西。本篇为关于 ssh 的秘钥自动登陆。
update:2014.3.9 4:21 PM,昨晚写完这篇之后,发现有篇关于 ssh 认证的完整描述。伤心了。http://www.linuxidc.com/Linux/2011-08/39871.htm

猜想:linux 的秘钥产生与服务器无关,只和加密的方式(采用 rsa 或 dsa)还有 passphrase(密码短语,在生成秘钥的时候输入的)有关。
 如果是这样的话,同一对秘钥可以使用在多台服务器上,因为对于服务器和客户端来说,他们在通信的时候只需验证秘钥和公钥是否匹配。
 即存在一个 global 的公钥存放在 ssh 服务器上,而多台客户端则使用的同一秘钥登陆 ssh 服务器上。

测试环境:本机 windows 使用 secureCRT 客户端,两台 RedHat 6.3 的虚拟机(linuxA 和 B,192.168.1.2/3)。虚机与主机使用桥接网络,处于同一局域网。

测试过程:
注:公钥一般是 pub 结尾,但是服务器验证的文件是 authorized_key,所以要把 pub 文件的内容转入 authorized_key。pub 文件本身没用。
1、使用 CRT 生成秘钥对,将公钥上传到 linuxA,成功登陆后,cpoyA 机中的公钥至 B 机中,实现 CRT 自动登陆 B 机,验证公钥为通用。
首先使用 CRT 生成秘钥:
1. 使用 SecureCRT 创建私钥和公钥(Set Passphrase 可以设置为空密码,比较方面验证)
SecureCRT: Quick Connect -> Authentiation -> Public Key -> Properties -> Create Identity File -> DSA/RSA -> Set Passphrase -> Done
这个时候在指定目录会生成两个文件,例如,私钥 my_rsa 和公钥 my_rsa.pub
2.linux 服务器上建立.ssh 目录, 一般情况下, 已经有这个目录(更改权限很重要,认证的时候权限不是 700 不给通过)
# mkdir /root/.ssh
# chmod 700 /root/.ssh
3. 将公钥 my_rsa.pub 传到 linux 服务器,将 SSH2 兼容格式的公钥转换成为 Openssh 兼容格式(一般情况是 ssh2,不排除 ssh1)
# ssh-keygen -i -f Identity.pub >> /root/.ssh/authorized_keys2
# chmod 600 /root/.ssh/authorized_keys2
4. 在 SecureCRT 里面设置登录模式为 PublicKey,并选择刚刚创建的 my_rsa 文件作为私钥
5. 重启 Linux 服务器上 SSH 服务器(测试貌似不用重启服务也能生效)
#service sshd restart 或者 /etc/rc.d/init.d/sshd restart

此阶段,测试成功,A 和 B 机使用的同一对 authorized_keys2,CRT 都能实现自动登陆。

2、在 B 机中生成秘钥对,将公钥复制到 A 中,实现 B 机自动登陆 A,然后将 B 的秘钥传过去,把 A 的 authorized_keys2 内容写入 B 的 authorized_keys2 文件中,实现 A 自动登陆 B。

步骤 1: 用 ssh-key-gen 在本地主机上创建公钥和密钥
local-host$ ssh-keygen -t  rsa

Enter file in which to save the key (/home/jsmith/.ssh/id_rsa):[Enter key]
Enter passphrase (empty for no passphrase): [Press enter key]
Enter same passphrase again: [Pess enter key]
Your identification has been saved in /home/jsmith/.ssh/id_rsa.
Your public key has been saved in /home/jsmith/.ssh/id_rsa.pub.
The key fingerprint is: 33:b3:fe:af:95:95:18:11:31:d5:de:96:2f:f2:35:f9
local-host

步骤 2: 用 ssh-copy-id 把公钥复制到远程 A 主机上
local-host$ ssh-copy-id -i ~/.ssh/id_rsa.pub  root@192.168.1.2
remote-host‘s password:
Now try logging into the machine, with ―ssh ?remote-host‘‖, and check in:
.ssh/authorized_keys to make sure we haven‘t added extra keys that you weren‘t expecting.
[注: ssh-copy-id 把密钥追加到远程主机的 .ssh/id_rsa 上.]

步骤 3: 直接登录 A 远程主机
local-host$ ssh root@192.168.1.2
Last login: Sat Mar  8 12:37:48 2014 from 192.168.1.3
[注: SSH 不会询问密码.]

然后通过 sftp,将 B 机的 id_rsa 传到 A 机,把 A 的 authorized_keys2 传过来。此时 A 和 B 都可互相自动登陆。

测试结果:验证猜想成功,最好是有第三台 linux 再可以验证下就好了。

补充安全问题:由于.ssh 文件夹和 privatekey 都权限为 700 和 600,同时 sftp 服务器只开通 sftp 登陆权限和控制 home 文件目录,只要妥善保管 privatekey,在 ssh 协议下是没有安全顾虑的。参见 SSH 认证原理 http://www.linuxidc.com/Linux/2014-03/97977.htm

CentOS 下 SSH 无密码登录的配置 http://www.linuxidc.com/Linux/2012-05/61346.htm

Linux 下实现 SSH 无密码验证登陆 http://www.linuxidc.com/Linux/2014-01/95917.htm

Ubuntu 和 CentOS 如何配置 SSH 使得无密码登陆 http://www.linuxidc.com/Linux/2014-01/94794.htm

正文完
星哥说事-微信公众号
post-qrcode
 
星锅
版权声明:本站原创文章,由 星锅 2022-01-20发表,共计2559字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
【腾讯云】推广者专属福利,新客户无门槛领取总价值高达2860元代金券,每种代金券限量500张,先到先得。
阿里云-最新活动爆款每日限量供应
评论(没有评论)
验证码
【腾讯云】云服务器、云数据库、COS、CDN、短信等云产品特惠热卖中