ssh-keygen的使用方法及如何配置authorized_keys兩臺(tái)linux機(jī)器相互認(rèn)證

這篇文章給大家介紹ssh-keygen的使用方法及如何配置authorized_keys兩臺(tái)linux機(jī)器相互認(rèn)證，內(nèi)容非常詳細(xì)，感興趣的小伙伴們可以參考借鑒，希望對大家能有所幫助。

一、概述

1、就是為了讓兩個(gè)linux機(jī)器之間使用ssh不需要用戶名和密碼。采用了數(shù)字簽名 RSA 或者 DSA 來完成這個(gè)操作

2、模型分析

假設(shè) A （192.168.20.59）為客戶機(jī)器，B（192.168.20.60）為目標(biāo)機(jī)；

要達(dá)到的目的：
A機(jī)器ssh登錄B機(jī)器無需輸入密碼；
加密方式選 rsa|dsa均可以，默認(rèn)dsa

二、具體操作流程

單向登陸的操作過程（能滿足上邊的目的）：
1、登錄A機(jī)器 
2、ssh-keygen -t [rsa|dsa]，將會(huì)生成密鑰文件和公鑰文件 id_rsa,id_rsa.pub或id_dsa,id_dsa.pub
3、將 .pub 文件復(fù)制到B機(jī)器的 .ssh 目錄， 并 cat id_dsa.pub >> ~/.ssh/authorized_keys
4、大功告成，從A機(jī)器登錄B機(jī)器的目標(biāo)賬戶，不再需要密碼了；（直接運(yùn)行 #ssh 192.168.20.60 ）

雙向登陸的操作過程：

1、ssh-keygen做密碼驗(yàn)證可以使在向?qū)Ψ綑C(jī)器上ssh ,scp不用使用密碼.具體方法如下:
2、兩個(gè)節(jié)點(diǎn)都執(zhí)行操作：#ssh-keygen -t rsa
  然后全部回車,采用默認(rèn)值.

3、這樣生成了一對密鑰，存放在用戶目錄的~/.ssh下。
將公鑰考到對方機(jī)器的用戶目錄下，并將其復(fù)制到~/.ssh/authorized_keys中（操作命令：#cat id_dsa.pub >> ~/.ssh/authorized_keys）。

4、設(shè)置文件和目錄權(quán)限：

設(shè)置authorized_keys權(quán)限
$ chmod 600 authorized_keys 
設(shè)置.ssh目錄權(quán)限
$ chmod 700 -R .ssh

5、要保證.ssh和authorized_keys都只有用戶自己有寫權(quán)限。否則驗(yàn)證無效。（今天就是遇到這個(gè)問題，找了好久問題所在），其實(shí)仔細(xì)想想，這樣做是為了不會(huì)出現(xiàn)系統(tǒng)漏洞。

我從20.60去訪問20.59的時(shí)候會(huì)提示如下錯(cuò)誤：

The authenticity of host '192.168.20.59 (192.168.20.59)' can't be established.  
RSA key fingerprint is 6a:37:c0:e1:09:a4:29:8d:68:d0:ca:21:20:94:be:18.  
Are you sure you want to continue connecting (yes/no)? yes  
Warning: Permanently added '192.168.20.59' (RSA) to the list of known hosts.  
root@192.168.20.59's password:   
Permission denied, please try again.  
root@192.168.20.59's password:   
Permission denied, please try again.  
root@192.168.20.59's password:   
Permission denied (publickey,gssapi-with-mic,password).

三、總結(jié)注意事項(xiàng)

1、文件和目錄的權(quán)限千萬別設(shè)置成chmod 777.這個(gè)權(quán)限太大了，不安全，數(shù)字簽名也不支持。我開始圖省事就這么干了

2、生成的rsa/dsa簽名的公鑰是給對方機(jī)器使用的。這個(gè)公鑰內(nèi)容還要拷貝到authorized_keys

3、linux之間的訪問直接 ssh 機(jī)器ip

4、某個(gè)機(jī)器生成自己的RSA或者DSA的數(shù)字簽名，將公鑰給目標(biāo)機(jī)器，然后目標(biāo)機(jī)器接收后設(shè)定相關(guān)權(quán)限（公鑰和authorized_keys權(quán)限），這個(gè)目標(biāo)機(jī)就能被生成數(shù)字簽名的機(jī)器無密碼訪問了

補(bǔ)充：

jenkins master和slave通信的方式：

將master的public key拷貝到slave的~/.ssh/authorized_keys中，將slave 的 private key 保存到master上某ppk文件中。

jenkins將會(huì)自動(dòng)地完成其他的配置工作，例如copy slave agent的binary，啟動(dòng)和停止slave。

關(guān)于ssh-keygen的使用方法及如何配置authorized_keys兩臺(tái)linux機(jī)器相互認(rèn)證就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到。