SSH通过密钥登录的设置方法

密钥登录的原理是:利用密钥生成器制作一对密钥:公钥和私钥。将公钥添加到服务器的某个账户上,然后在客户端利用私钥即可完成认证并登录。如果没有私钥,即使通过SSH 暴力破解出密码也无法远程登录系统。此外,如果将公钥复制到其他账户甚至主机,利用私钥也可以登录。

第一步:产生密钥
安装OpenSSH,然后用ssh-keygen来产生密钥对,它只需要用一般用户权限。

[usrname@hostname ~] ssh-keygen -b 1024 -t dsa
Generating public/private dsa key pair.
Enter file in which to save the key (/home/usrname/.ssh/id_dsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/usrname/.ssh/id_dsa.
Your public key has been saved in /home/usrname/.ssh/id_dsa.pub.
The key fingerprint is:
x6:68:xx:93:98:8x:87:95:7x:2x:4x:x9:81:xx:56:94 usrname@hostname
[usrname@hostname ~]

上面ssh-keygen命令产生了一个1024bit长(-b 1024)的公共/私有dsa(-t dsa) 密钥对,如要产生rsa密钥则使用参数-t rsa。dsa默认长度为1024bit,而rsa是2048bit。
如果不使用默认密钥名称,可用参数-f name指定其他名称。
在此过程中将询问:Enter file in which to save the key(将这些密钥存在哪),一般情况下,设置为默认目录下的标准名字即可(/home/usrname/.ssh/id_rsa)。设置过程中将提示输入“passphrase”(密码短句),即使用一个短语或着一句话作为密码输入,再由系统内部的加密或是散列算法生成虚拟密码后继续下一步的认证。这里也可将密码短句设置为空,但出于提高安全系数考虑,不建议此处设置为空。

第二步:拷贝公钥至远程服务器
在远程服务器上要登录的用户下建立用户目录,然后把公钥拷贝到用户目录的.ssh目录下,并改名为authorized_keys。

[usrname@hostname ~] scp .ssh/id_dsa.pub remote_usrname@remote_host:

通过scp复制公钥 (id_dsa.pub) 到远程服务器,此类型文件会被复制到默认的/home/remote_usrname目录下。
如不存在~/.ssh目录需进行创建,然后把公钥放到这个目录下,改名为authorized_keys,并且把它的用户权限设成600。

$ ssh usrname@remotehost
usrname@remotehost password:
$ mkdir ~/.ssh
$ mv ~/id_dsa.pub >> ~/.ssh/authorized_keys
$ chmod 600 ~/.ssh/authorized_keys

另一种简单的方法:
[usrname@hostname ~] ssh-copy-id -i .ssh/id_dsa.pub usrname@hostname

如果现在从服务器断开,然后重新连接,就可能提示要求输入“密码短语”之类的信息:

$ ssh username@remote_host
Enter passphrase for key '/home/username/.ssh/id_dsa':

.ssh目录应该对“组用户”(group)和“其它用户”(other)没有写的权限。运行下面的命令来取消“组用户”(group)和“其它用户”(other)对于.ssh目录的写权限:

$ chmod go-w ~/.ssh

第三步:记住“密码短句”
现在可以用密钥而不是密码来登录你的服务器了,但是这样仍然没有省什么事,还是要手动输入密钥的“密码短语”。有更简单的方式么?答案就是采用SSH代理工具记录“密码短语”,如putty、secureCRT等。

你可能感兴趣的:(Linux)