ssh-keygen 命令詳解

ssh-keygen 命令詳解

轉自: http://blog.csdn.net/wh_19910525/article/details/7433164

爲了讓兩個Linux機器之間使用ssh不須要用戶名和密碼。因此採用了數字簽名RSA或者DSA來完成這個操做。

模型分析

假設 A （192.168.20.59）爲客戶機器，B（192.168.20.60）爲目標機；

要達到的目的：
A機器ssh登陸B機器無需輸入密碼；
加密方式選 rsa|dsa都可以，默認dsa

ssh-keygen -t rsa #使用rsa加密

2、具體操做流程

單向登錄的操做過程（能知足上邊的目的）：
一、登陸A機器 
二、ssh-keygen -t [rsa|dsa]，將會生成密鑰文件和私鑰文件 id_rsa,id_rsa.pub或id_dsa,id_dsa.pub
三、將 .pub 文件複製到B機器的 .ssh 目錄， 並 cat id_dsa.pub >> ~/.ssh/authorized_keys
四、大功告成，從A機器登陸B機器的目標帳戶，再也不須要密碼了；（直接運行 #ssh 192.168.20.60 ）

雙向登錄的操做過程：

一、ssh-keygen作密碼驗證能夠使在向對方機器上ssh ,scp不用使用密碼.具體方法以下:
二、兩個節點都執行操做：#ssh-keygen -t rsa
  而後所有回車,採用默認值.

三、這樣生成了一對密鑰，存放在用戶目錄的~/.ssh下。
將公鑰考到對方機器的用戶目錄下 ，並將其複製到~/.ssh/authorized_keys中（操做命令：#cat id_dsa.pub >> ~/.ssh/authorized_keys ）。

四、設置文件和目錄權限：

設置authorized_keys權限
$ chmod 600 authorized_keys 
設置.ssh目錄權限
$ chmod 700 -R .ssh

五、要保證.ssh和authorized_keys都只有用戶本身有寫權限。不然驗證無效。（今天就是遇到這個問題，找了很久問題所在），其實仔細想一想，這樣作是爲了避免會出現系統漏洞。

我從20.60去訪問20.59的時候會提示以下錯誤：

 

The authenticity of host '192.168.20.59 (192.168.20.59)' can't be established.  RSA key fingerprint is 6a:37:c0:e1:09:a4:29:8d:68:d0:ca:21:20:94:be:18.  Are you sure you want to continue connecting (yes/no)? yes  Warning: Permanently added '192.168.20.59' (RSA) to the list of known hosts.  root@192.168.20.59's password:   Permission denied, please try again.  root@192.168.20.59's password:   Permission denied, please try again.  root@192.168.20.59's password:   Permission denied (publickey,gssapi-with-mic,password).  

3、總結注意事項

一、文件和目錄的權限千萬別設置成chmod 777.這個權限太大了，不安全，數字簽名也不支持。我開始圖省事就這麼幹了

二、生成的rsa/dsa簽名的公鑰是給對方機器使用的。這個公鑰內容還要拷貝到authorized_keys

三、linux之間的訪問直接 ssh 機器ip

四、某個機器生成本身的RSA或者DSA的數字簽名，將公鑰給目標機器，而後目標機器接收後設定相關權限（公鑰和authorized_keys權限），這個目標機就能被生成數字簽名的機器無密碼訪問了

 ssh-keygen設置ssh無密碼登陸

ssh-keygen - 生成、管理和轉換認證密鑰，包括 RSA 和 DSA 兩種密鑰
密鑰類型能夠用 -t 選項指定。若是沒有指定則默認生成用於SSH-2的RSA密鑰
 
配置：
一、在本地機器中的~/.ssh/目錄下執行下命令
ssh-keygen -t dsa
將生成兩個文件,id_dsa和id_dsa.pub
 
二、將id_dsa.pub拷貝到遠程機器,而且將id_dsa.pub的內容添加到~/.ssh/authorized_keys中
cat id_dsa.pub >>authorized_keys
注意:目錄.ssh和文件authorized_keys的權限必須是600
 
完成以上操做以後，用戶從本地機器到遠程機器就不須要用密碼了
 
 
幾個文件的做用說明，摘自http://lamp.linux.gov.cn/OpenSSH/ssh-keygen.html
 

     ~/.ssh/identity

             該用戶默認的 RSA1 身份認證私鑰(SSH-1)。此文件的權限應當至少限制爲"600"。

             生成密鑰的時候能夠指定採用密語來加密該私鑰(3DES)。

             ssh將在登陸的時候讀取這個文件。

     ~/.ssh/identity.pub

             該用戶默認的 RSA1 身份認證公鑰(SSH-1)。此文件無需保密。

             此文件的內容應該添加到全部 RSA1 目標主機的 ~/.ssh/authorized_keys 文件中。

 

     ~/.ssh/id_dsa

             該用戶默認的 DSA 身份認證私鑰(SSH-2)。此文件的權限應當至少限制爲"600"。

             生成密鑰的時候能夠指定採用密語來加密該私鑰(3DES)。

             ssh將在登陸的時候讀取這個文件。

 

     ~/.ssh/id_dsa.pub

             該用戶默認的 DSA 身份認證公鑰(SSH-2)。此文件無需保密。

             此文件的內容應該添加到全部 DSA 目標主機的 ~/.ssh/authorized_keys 文件中。

 

     ~/.ssh/id_rsa

             該用戶默認的 RSA 身份認證私鑰(SSH-2)。此文件的權限應當至少限制爲"600"。

             生成密鑰的時候能夠指定採用密語來加密該私鑰(3DES)。

             ssh將在登陸的時候讀取這個文件。

 

     ~/.ssh/id_rsa.pub

             該用戶默認的 RSA 身份認證公鑰(SSH-2)。此文件無需保密。

             此文件的內容應該添加到全部 RSA 目標主機的 ~/.ssh/authorized_keys 文件中。

 

     /etc/ssh/moduli

             包含用於 DH-GEX 的 Diffie-Hellman groups

 BG2BLT01 is on, BG2BLT02 is power off. They’re too noisy L

When and how to move them to data center?

 

Please update SSH key in .33 server for Git repo access.

ssh-keygen -t dsa

 

scp ~/.ssh/id_dsa.pub [YOUR_USER_NAME]@10.38.116.33:authorized_keys

 

ssh [YOUR_USER_NAME]@ 10.38.116.33

 

skip below 3 steps if you already have .ssh and .ssh/authorized_keys

mkdir -m 700 .ssh

touch .ssh/authorized_keys

chmod 600 .ssh/authorized_keys

 

cat authorized_keys >> .ssh/authorized_keys;exit

 

vi ~/.ssh/config

add lines and save quit

host 10.38.116.33

user [YOUR_USER_NAME]