? ? 為了讓兩個linux機器之間使用ssh不需要用戶名和密碼。所以采用了數(shù)字簽名RSA或者DSA來完成這個操作。

模型分析

假設(shè) A （192.168.20.59）為客戶機器，B（192.168.20.60）為目標機；

要達到的目的：

A機器ssh登錄B機器無需輸入密碼；

加密方式選 rsa|dsa均可以，默認dsa

ssh-keygen -t rsa #使用rsa加密

二、具體操作流程

單向登陸的操作過程（能滿足上邊的目的）：

1、登錄A機器

2、ssh-keygen -t [rsa|dsa]，將會生成密鑰文件和私鑰文件 id_rsa,id_rsa.pub或id_dsa,id_dsa.pub

3、將 .pub 文件復制到B機器的 .ssh 目錄， 并 cat id_dsa.pub >> ~/.ssh/authorized_keys

4、大功告成，從A機器登錄B機器的目標賬戶，不再需要密碼了；（直接運行 #ssh 192.168.20.60 ）

雙向登陸的操作過程：

1、ssh-keygen做密碼驗證可以使在向?qū)Ψ綑C器上ssh ,scp不用使用密碼.具體方法如下:

2、兩個節(jié)點都執(zhí)行操作：#ssh-keygen -t rsa

然后全部回車,采用默認值.

3、這樣生成了一對密鑰，存放在用戶目錄的~/.ssh下。

將公鑰考到對方機器的用戶目錄下 ，并將其復制到~/.ssh/authorized_keys中（操作命令：#cat id_dsa.pub >> ~/.ssh/authorized_keys ）。

4、設(shè)置文件和目錄權(quán)限：

設(shè)置authorized_keys權(quán)限

$ chmod 600 authorized_keys

設(shè)置.ssh目錄權(quán)限

$ chmod 700 -R .ssh

5、要保證.ssh和authorized_keys都只有用戶自己有寫權(quán)限。否則驗證無效。（今天就是遇到這個問題，找了好久問題所在），其實仔細想想，這樣做是為了不會出現(xiàn)系統(tǒng)漏洞。

我從20.60去訪問20.59的時候會提示如下錯誤：

The authenticity of host '192.168.20.59 (192.168.20.59)' can't be established.? RSA key fingerprint is 6a:37:c0:e1:09:a4:29:8d:68:d0:ca:21:20:94:be:18.? Are you sure you want to continue connecting (yes/no)? yes? Warning: Permanently added '192.168.20.59' (RSA) to the list of known hosts.? root@192.168.20.59's password:? Permission denied, please try again.? root@192.168.20.59's password:? Permission denied, please try again.? root@192.168.20.59's password:? Permission denied (publickey,gssapi-with-mic,password).

三、總結(jié)注意事項

1、文件和目錄的權(quán)限千萬別設(shè)置成chmod 777.這個權(quán)限太大了，不安全，數(shù)字簽名也不支持。我開始圖省事就這么干了

2、生成的rsa/dsa簽名的公鑰是給對方機器使用的。這個公鑰內(nèi)容還要拷貝到authorized_keys

3、linux之間的訪問直接 ssh 機器ip

4、某個機器生成自己的RSA或者DSA的數(shù)字簽名，將公鑰給目標機器，然后目標機器接收后設(shè)定相關(guān)權(quán)限（公鑰和authorized_keys權(quán)限），這個目標機就能被生成數(shù)字簽名的機器無密碼訪問了

ssh-keygen設(shè)置ssh無密碼登錄

ssh-keygen - 生成、管理和轉(zhuǎn)換認證密鑰，包括 RSA 和 DSA 兩種密鑰

密鑰類型可以用 -t 選項指定。如果沒有指定則默認生成用于SSH-2的RSA密鑰

配置：

1、在本地機器中的~/.ssh/目錄下執(zhí)行下命令

ssh-keygen -t dsa

將生成兩個文件,id_dsa和id_dsa.pub

2、將id_dsa.pub拷貝到遠程機器,并且將id_dsa.pub的內(nèi)容添加到~/.ssh/authorized_keys中

cat id_dsa.pub >>authorized_keys

注意:目錄.ssh和文件authorized_keys的權(quán)限必須是600

完成以上操作之后，用戶從本地機器到遠程機器就不需要用密碼了

幾個文件的作用說明，摘自http://lamp.linux.gov.cn/OpenSSH/ssh-keygen.html

~/.ssh/identity

該用戶默認的 RSA1 身份認證私鑰(SSH-1)。此文件的權(quán)限應(yīng)當至少限制為"600"。

生成密鑰的時候可以指定采用密語來加密該私鑰(3DES)。

ssh將在登錄的時候讀取這個文件。

~/.ssh/identity.pub

該用戶默認的 RSA1 身份認證公鑰(SSH-1)。此文件無需保密。

此文件的內(nèi)容應(yīng)該添加到所有 RSA1 目標主機的 ~/.ssh/authorized_keys 文件中。

~/.ssh/id_dsa

該用戶默認的 DSA 身份認證私鑰(SSH-2)。此文件的權(quán)限應(yīng)當至少限制為"600"。

生成密鑰的時候可以指定采用密語來加密該私鑰(3DES)。

ssh將在登錄的時候讀取這個文件。

~/.ssh/id_dsa.pub

該用戶默認的 DSA 身份認證公鑰(SSH-2)。此文件無需保密。

此文件的內(nèi)容應(yīng)該添加到所有 DSA 目標主機的 ~/.ssh/authorized_keys 文件中。

~/.ssh/id_rsa

該用戶默認的 RSA 身份認證私鑰(SSH-2)。此文件的權(quán)限應(yīng)當至少限制為"600"。

生成密鑰的時候可以指定采用密語來加密該私鑰(3DES)。

ssh將在登錄的時候讀取這個文件。

~/.ssh/id_rsa.pub

該用戶默認的 RSA 身份認證公鑰(SSH-2)。此文件無需保密。

此文件的內(nèi)容應(yīng)該添加到所有 RSA 目標主機的 ~/.ssh/authorized_keys 文件中。

/etc/ssh/moduli

包含用于 DH-GEX 的 Diffie-Hellman groups

BG2BLT01 is on, BG2BLT02 is power off. They’re too noisy L

When and how to move them to data center?

Please update SSH key in .33 server for Git repo access.

ssh-keygen -t dsa

scp ~/.ssh/id_dsa.pub [YOUR_USER_NAME]@10.38.116.33:authorized_keys

ssh [YOUR_USER_NAME]@ 10.38.116.33

skip below 3 steps if you already have .ssh and .ssh/authorized_keys

mkdir -m 700 .ssh

touch .ssh/authorized_keys

chmod 600 .ssh/authorized_keys

cat authorized_keys >> .ssh/authorized_keys;exit

vi ~/.ssh/config

add lines and save quit

host 10.38.116.33

user [YOUR_USER_NAME]