需求:服务器的root和密码登录都禁用,只开放普通用户登录,这时需要给普通用户配置秘钥文件,实现无密码登录
需要注意的是使用什么用户,就把秘钥文件拷入到该用户的家目录下,如果是root用户,就直接拷贝到/root/.ssh/下(本次测试是使用普通用户oper测试的)
1) .ssh目录的权限必须是700
2) .ssh/authorized_keys文件权限必须是600
测试机器:
host1:192.168.0.131
host2:192.168.0.132
一、在新机器生成秘钥:
[root@host1 .ssh]# ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:O9C8LWfjT44gIJR+URWH3FFJhsgqMU8VmaDDZAGWR7k root@host1
The key's randomart image is:
+---[RSA ]----+
| o+=oo*=Oo=+. |
| ..==o. B.o.. |
| o.=* . |
| o Eooo |
| o o.. S |
| o . . + |
| . * = . |
| . B = |
| o.o |
+----[SHA256]-----+
[root@host1 .ssh]# ls
id_rsa id_rsa.pub known_hosts
二、将id_rsa.pub拷入需要登录的服务器的用户家目录下的.ssh/authorized_keys中(即192.168.0.132下的/home/oper/.ssh/authorized_keys)
以下三种方法任选其一即可
2.1:通过ssh-copy-id的方式
[root@host2 oper]# mkdir /home/oper/.ssh
[root@host2 oper]# chown oper:oper .ssh/
[root@host2 oper]# chmod .ssh
[root@host2 oper]# ls -la
总用量
drwx------. oper oper 4月 : .
drwxr-xr-x. root root 4月 : ..
-rw-------. oper oper 4月 : .bash_history
-rw-r--r--. oper oper 8月 .bash_logout
-rw-r--r--. oper oper 8月 .bash_profile
-rw-r--r--. oper oper 8月 .bashrc
drwx------. oper oper 4月 : .ssh [root@host1 .ssh]# ssh-copy-id -i /root/.ssh/id_rsa.pub oper@192.168.0.132
oper@192.168.0.132's password:
Number of key(s) added: Now try logging into the machine, with: "ssh 'oper@192.168.0.132'"
and check to make sure that only the key(s) you wanted were added.
#登录测试
[root@host1 .ssh]# ssh oper@192.168.0.132
Last failed login: Mon Apr :: CST from 192.168.0.131 on ssh:notty
There was failed login attempt since the last successful login.
Last login: Mon Apr :: from 192.168.0.131
[oper@host2 ~]$
2.2:通过scp将内容写到对方的文件中
[root@host1 .ssh]# scp -p ~/.ssh/id_rsa.pub oper@192.168.0.132:/home/oper/.ssh/authorized_keys
oper@192.168.0.132's password:
id_rsa.pub
#登录测试 % .6KB/s :
[root@host1 .ssh]# ssh oper@192.168.0.132
Last login: Mon Apr :: from 192.168.0.131
[oper@host2 ~]$
2.3:通过ssh命令写入,此方式可写成脚本,然后批量写入主机
此方式也可直接把/root/.ssh/id_rsa.pub的内容直接复制粘贴到host2下/home/oper/.ssh/authorized_keys中
[root@host1 .ssh]# ssh oper@192.168.0.132 "echo `cat /root/.ssh/id_rsa.pub` >> /home/oper/.ssh/authorized_keys "
oper@192.168.0.132's password:
[root@host1 .ssh]# ssh oper@192.168.0.132
oper@192.168.0.132's password: [root@host2 .ssh]# pwd
/home/oper/.ssh
[root@host2 .ssh]# ll
总用量
-rw-rw-r--. oper oper 4月 : authorized_keys
[root@host2 .ssh]# chmod authorized_keys
[root@host2 .ssh]# ll
总用量
-rw-------. oper oper 4月 : authorized_keys
#登录测试
[root@host1 .ssh]# ssh oper@192.168.0.132
Last login: Mon Apr :: from 192.168.0.131
[oper@host2 ~]$ 出现需要密码登录是因为host2的authorized_keys权限没有设置为600;把权限设置为600后,再执行 ssh oper@192.168.0.132就可以了,如果之前有权限是600的authorized_keys;则可直接登录
PS:如果普通用户需要切换到root用户且无需输入密码,则在root用户模式下执行命令:visudo
[root@host2 ~]# visudo #最后一行加入
Cmnd_Alias SU = /bin/su
oper ALL = (root) NOPASSWD: SU
:wq
[root@host2 ~]# su - oper
#登录测试
[oper@host2 ~]$ sudo su #最好使用sudo su - 完全切换,su会加载不出来环境变量
[root@host2 oper]#
附:文件说明
~/.ssh/identity
该用户默认的 RSA1 身份认证私钥(SSH-1)。此文件的权限应当至少限制为"600"。
生成密钥的时候可以指定采用密语来加密该私钥(3DES)。
ssh(1) 将在登录的时候读取这个文件。
~/.ssh/identity.pub
该用户默认的 RSA1 身份认证公钥(SSH-1)。此文件无需保密。
此文件的内容应该添加到所有 RSA1 目标主机的 ~/.ssh/authorized_keys 文件中。
~/.ssh/id_dsa
该用户默认的 DSA 身份认证私钥(SSH-2)。此文件的权限应当至少限制为"600"。
生成密钥的时候可以指定采用密语来加密该私钥(3DES)。
ssh(1) 将在登录的时候读取这个文件。
~/.ssh/id_dsa.pub
该用户默认的 DSA 身份认证公钥(SSH-2)。此文件无需保密。
此文件的内容应该添加到所有 DSA 目标主机的 ~/.ssh/authorized_keys 文件中。
~/.ssh/id_rsa
该用户默认的 RSA 身份认证私钥(SSH-2)。此文件的权限应当至少限制为"600"。
生成密钥的时候可以指定采用密语来加密该私钥(3DES)。
ssh(1) 将在登录的时候读取这个文件。
~/.ssh/id_rsa.pub
该用户默认的 RSA 身份认证公钥(SSH-2)。此文件无需保密。
此文件的内容应该添加到所有 RSA 目标主机的 ~/.ssh/authorized_keys 文件中。
/etc/ssh/moduli
包含用于 DH-GEX 的 Diffie-Hellman groups 。文件的格式在 moduli(5) 手册页中描述。