SSH配置免祕鑰登陸

一.  SSH 配置免祕要登陸

配置SSH 免祕要登陸，雖然就那麼幾步，但老是會出現點小問題，今天就作下記錄。SSH 免祕鑰就是讓兩臺機器相互信任，不須要輸入密碼就能相互登陸。配置相互信任就是把各自的公鑰都放到authorized_keys 文件中，並在sshd_config 配置文件打開 關於authorized_keys 的選項。

 

環境： 172.16.31.11  web211

            172.16.31.13  web115

1. 在web211 上生成 祕鑰對

[root@web211 ~]# cd .ssh/

[root@web211 .ssh]# ssh-keygen -t rsa

[root@web211 .ssh]# ll

總用量 8

-rw-------. 1 root root 1675 5月  24 17:23 id_rsa

-rw-r--r--. 1 root root  393 5月  24 17:23 id_rsa.pub

[root@web211 .ssh]# cat id_rsa.pub > authorized_keys

[root@web211 .ssh]# cat authorized_keys

#211公鑰

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA4qMhLOQnrRa6/HGkDDWDw2Gu3gA7FIikV8xrBYvqre+gCP6h+f3gAY3stL44Ma7FFT6XhWeJiJNsCsJvNe401kkST7NXy1ZMr

O7VpYEtxVvi/WVBRgsqaeAT8FIvr3wNSqus9beB5eNOj/GFr2I4tP1698uTy42kOWanh9UfbevJoTgSp2Lm7V/zDjzNbBgJr5+a1fzuG4FYyoOavhs9hmH/NRd/avpvtoF2ae3BFy7PmIEsFlXN9Wm7WI0IXcIUTmt6q5MBWMVKZvdvpsOetnwTKrSrK7q3DhqeBqmbxqFuDbsoR+q2gYKUsWi69CxBgZM56IucOozmUHN8oBMUSw== root@web211

 

2. 在web115 上生成祕鑰對

[root@web115 .ssh]# ssh-keygen -t rsa

[root@web115 .ssh]# ll

總用量 8

-rw-------. 1 root root 1675 5月  25 01:25 id_rsa

-rw-r--r--. 1 root root  393 5月  25 01:25 id_rsa.pub

 

3. 遠程複製web211 上的authorized_keys 文件到web115 上

[root@web115 .ssh]# scp root@172.16.31.11:/root/.ssh/authorized_keys ./

[root@web115 .ssh]# ll

總用量 16

-rw-r--r--. 1 root root  404 5月  25 01:27 authorized_keys

-rw-------. 1 root root 1675 5月  25 01:25 id_rsa

-rw-r--r--. 1 root root  393 5月  25 01:25 id_rsa.pub

-rw-r--r--. 1 root root  394 5月  25 01:26 known_hosts

 

4.把web115 上的公鑰加入authorized_keys 中

[root@web115 .ssh]# cat id_rsa.pub >> authorized_keys

 

5.修改權限

[root@web115 .ssh]# chmod 600 authorized_keys

提示：確保兩臺服務器上的authorized_keys 文件的權限都是600

 

[root@web211 ~]# ls -ld /root/.ssh/

drwx------. 2 root root 4096 5月  24 17:24 /root/.ssh/

提示：兩臺服務.ssh 目錄權限都爲700

 

 注：

提示： 這時 兩臺服務器authorized_keys 的 內容是不同的，web115 能夠信任web211，是由於web115 auhtorized_keys 文件裏有 web211 的公鑰，也就是說，web211 能夠免祕鑰登陸web115，可是web115不能免祕要登陸web211.要想兩臺互信，能夠拷貝web115 裏的authorized_keys  文件到web211

 

 

[root@web211 .ssh]# scp root@172.16.31.13:/root/.ssh/authorized_keys ./

[root@web211 .ssh]# cat authorized_keys

#211公鑰

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA4qMhLOQnrRa6/HGkDDWDw2Gu3gA7FIikV8xrBYvqre+gCP6h+f3gAY3stL44Ma7FFT6XhWeJiJNsCsJvNe401kkST7NXy1ZMr

O7VpYEtxVvi/WVBRgsqaeAT8FIvr3wNSqus9beB5eNOj/GFr2I4tP1698uTy42kOWanh9UfbevJoTgSp2Lm7V/zDjzNbBgJr5+a1fzuG4FYyoOavhs9hmH/NRd/avpvtoF2ae3BFy7PmIEsFlXN9Wm7WI0IXcIUTmt6q5MBWMVKZvdvpsOetnwTKrSrK7q3DhqeBqmbxqFuDbsoR+q2gYKUsWi69CxBgZM56IucOozmUHN8oBMUSw== root@web211

#115公鑰

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAw1yVwop07XnN9jdqjxFvFKjCSq9PkPK14kej1xfQihmkwSzDrjLD6mhUpQenIlyD3xvbtzPCRQae8s5wlM2X5lj2mdoKpM/f2

FAfGj7J2G3nxZQJRxXxMD391vE0IINtvvLHAMNkrDaITZyibIHH5VLzwxYC0VNhAbXnt/nQQ9N1eZUqynFSZ52QCPrFjsM7PjdmDyJbqExZ5tTZZ86uOsOsMl/h/JZV76JMbXQdioytP8iToh2LXNcTx3lVOIgVX2vB41z8F8CQ+O3D3M73JYIda2N4216k/i9MUFmUpEpsHPg/33utMKjhCPloxk65ZTk7CD4uquJ+ErWnOPcJUw== root@web115

 

 

 6. 測試免祕要登陸

[root@web115 .ssh]# ssh 172.16.31.11

Last login: Thu May 24 17:31:21 2018 from 172.16.31.11

[root@web211 ~]# exit

logout

Connection to 172.16.31.11 closed.

 

二. 在配置中不能免祕鑰登陸能夠參考一下解決方案

 

1. 保證兩臺的sshd_config 配置文件同樣

[root@web115 .ssh]# egrep -v "^#|^$" /etc/ssh/sshd_config

Protocol 2

SyslogFacility AUTHPRIV

PermitRootLogin yes

RSAAuthentication yes

PubkeyAuthentication yes

AuthorizedKeysFile .ssh/authorized_keys

PasswordAuthentication yes

ChallengeResponseAuthentication no

GSSAPIAuthentication yes

GSSAPICleanupCredentials yes

UsePAM yes

AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES

AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT

AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE

AcceptEnv XMODIFIERS

X11Forwarding yes

Subsystem sftp /usr/libexec/openssh/sftp-server

 

2. 兩臺都安裝了ssh

[root@web115 .ssh]# rpm -qa |grep ssh

openssh-5.3p1-123.el6_9.x86_64

openssh-clients-5.3p1-123.el6_9.x86_64

openssh-server-5.3p1-123.el6_9.x86_64

libssh2-1.4.2-1.el6.x86_64

 

3. 更改sshd_config 配置文件後，要重啓sshd 服務