運維在使用跳闆機的時候一般都使用ssh 來遠端連接配接伺服器進行操作,但是如果伺服器過多密碼過于繁瑣,在連接配接時每次都要輸入密碼相當麻煩。是以簡單的配置ssh秘鑰登入就顯得比較友善了。
目前的ssh秘鑰分為兩種 rsa和dsa 兩種算法 dsa其安全性與rsa差不多
步驟一:ssh-keygen 這裡可以指定秘鑰的生成類型 -t rsa或者dsa 根據系統版本而定
系統會預設在.ssh目錄下生成幾個檔案其中包括:
authorized_keys id_dsa id_dsa.pub known_hosts
authorized_keys 授權的秘鑰
id_dsa 本機私鑰
id_dsa.pub 本機公鑰
known_hosts 通路過主機的公鑰
一般這些檔案的權限,公鑰私鑰600 known_hosts644 .ssh/ 755
在生成密鑰的同時 釋出密鑰和擷取公鑰
可以使用:
scp id_dsa.pub root@服務端的authorized_key 中
ssh-copy-id -i id_dsa.pub username@hosts 也可以 但這種方式隻是支援22端口
首次輸入password即可
登入ssh root@IP即可
下邊是ssh的簡單互動過程:
(1)SSH啟動時,會主動找/etc/ssh/ssh_host*文檔,系統剛安裝好時是沒有這些公鑰密鑰的,是以,SSH會計算這些公鑰,同時也計算出自己需要的私玥文檔
(2)當客戶機請求連接配接到SSH伺服器,這需要相應的軟體,Putty(免費)、SecureCRT和Xshell 4,最好不要下載下傳中文版,有後門。
(3)伺服器接到請求後,傳送通過第一步計算得到的公鑰給用戶端(這裡可能是明碼傳送,公鑰本來就是公開的)
(4)a.若用戶端第一次連接配接伺服器,則會将伺服器公鑰資料記錄。 b.若是已經記錄過該伺服器的公鑰資料,則用戶端會去比對此次接收到的與之前的記錄是否有差異。若接受此公鑰資料, 則開始計算用戶端自己的公私鑰資料
(5)使用者将自己的公鑰傳送給伺服器。此時伺服器:『具有伺服器的私鑰與用戶端的公鑰』,用戶端則是: 『具有伺服器的公鑰以及用戶端自己的私鑰』,你會看到,在此次聯機的伺服器與用戶端的密鑰系統 (公鑰+私鑰) 并不一樣,是以才稱為非對稱式密鑰系統喔。
(6)a.伺服器到用戶端:伺服器傳送資料時,拿使用者的公鑰加密後送出。用戶端接收後,用自己的私鑰解密; b.用戶端到伺服器:用戶端傳送資料時,拿伺服器的公鑰加密後送出。伺服器接收後,用伺服器的私鑰解密。
本文轉自歲月丶傾城部落格51CTO部落格,原文連結http://blog.51cto.com/alca0126/1581902如需轉載請自行聯系原作者
laihuadongcto