linux配置ssh互信实现免密登陆

@lianst  August 29, 2017

公钥认证的基本思想

对信息的加密和解密采用不同的key,这对key分别称作private key(私钥)和public key(公钥),其中,public key存放在欲登录的服务器上,而private key为特定的客户机所持有。当客户机向服务器发出建立安全连接的请求时,首先发送自己的public key,如果这个public key是被服务器所允许的,服务器就发送一个经过public key加密的随机数据给客户机,这个数据只能通过private key解密,客户机将解密后的信息发还给服务器,服务器验证正确后即确认客户机是可信任的,从而建立起一条安全的信息通道。通过这种方式,客户机不需要向外发送自己的身份标志“private key”即可达到校验的目的,并且private key是不能通过public key反向推断出来的。这避免了网络窃听可能造成的密码泄露。客户机需要小心的保存自己的private key,以免被其他人窃取,一旦这样的事情发生,就需要各服务器更换受信的public key列表。


配置ssh互信的步骤如下

  • 1. 首先,在要配置互信的机器上,生成各自的经过认证的key文件;
  • 2. 其次,将所有的key文件汇总到一个总的认证文件中;
  • 3. 将这个包含了所有互信机器认证key的认证文件,分发到各个机器中去;
  • 4. 验证互信。


  • 需求:四台Linux主机,IP地址为192.168.8.10/11/12/13,配置登录用户的互信。
    在每个节点上创建 RSA密钥和公钥(以root用户为例):

    mkdir ~/.ssh # 创建ssh key保存目录,如果已存在请护绿
    chmod 700 ~/.ssh  # 安全起见,除属主用户外其他用户和组都不能访问
    cd ~/.ssh  # 进入.ssh目录
    ssh-keygen -t rsa  或者 ssh-keygen -q -t rsa  -N "" -f  ~/.ssh/id_rsa  # 使用rsa加密
    



    在8.10上汇总,将所有的公钥文件汇总到一个总的授权key文件中:

    ssh -p 2016 192.168.8.10 cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys
    ssh -p 2016 192.168.8.11 cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys
    ssh -p 2016 192.168.8.12 cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys
    ssh -p 2016 192.168.8.13 cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys
    



    出于安全性考虑,将这个授权key文件赋予600权限:

    chmod 600 ~/.ssh/authorized_keys
    


    在8.10上将这个包含了所有互信机器认证key的认证文件,分发到各个机器(8.11/8.12/8.13)中去

    scp ~/.ssh/authorized_keys  192.168.8.11:~/.ssh/
    scp ~/.ssh/authorized_keys  192.168.8.12:~/.ssh/
    scp ~/.ssh/authorized_keys  192.168.8.13:~/.ssh/
    


    验证互信,各节点执行下面命令,能不输入密码显示时间,配置成功

    ssh 192.168.8.10 date;ssh 192.168.8.11 date;ssh 192.168.8.12 date;ssh 192.168.8.13 date;
    Tue Aug 29 22:38:06 CST 2017
    


    参考资料: Alfred Zhao:http://www.cnblogs.com/jyzhao/p/3781072.html 撒哈拉企鹅:http://blog.chinaunix.net/uid-16979052-id-3568036.html


    添加新评论