Linux的SSH密钥认证快捷配置

本文适用:rhel5-9系列,同类系统(CentOS,AlmaLinux,RockyLinux等)、debian系(ubuntu)等也可参照

文档形成时期:2012-2024年

因系统版本不同,配置应略有差异,本文没有在细节上区分,但实践中发现均可配置成功

文章目录

Linux客户端密钥认证配置

一键配置方式

配置和生成如下,可以一键拷贝到终端运行

bash 复制代码
# 修改加密码强度:
sed -i '/ServerKeyBits/c\ServerKeyBits 2048' /etc/ssh/sshd_config
service sshd reload # 或 systemctl reload sshd
# 配置修改:
# 修改/etc/ssh/ssh_config或拷贝一份儿到当前用户.ssh下
cp /etc/ssh/ssh_config ~/.ssh/config
sed -i '/HostbasedAuthentication/c\HostbasedAuthentication yes' ~/.ssh/config
sed -i '/ConnectTimeout/c\ConnectTimeout 7' ~/.ssh/config
sed -i '/IdentityFile \~\/\.ssh\/id_rsa/c\IdentityFile \~\/\.ssh\/id_rsa' ~/.ssh/config
# sed -i '/StrictHostKeyChecking/c\StrictHostKeyChecking no' ~/.ssh/config # 在某些全自动化场景下,不希望检测服务端公钥,便可配置该项
if ( ! grep -q "UserKnownHostsFile /dev/null" ~/.ssh/config ); then echo "UserKnownHostsFile /dev/null" >> ~/.ssh/config; fi 
# 参考:https://blog.csdn.net/yasaken/article/details/7348441
# 配置完成

# 生成密钥和公钥
# -b 指定加密位数,默认也是2048;-N是指定空密码;-f是指定密钥生成的文件,不能使用~这个的主目录符号,不识别;
# -C 只是指定评论,在公钥的末尾能看到,改动评论不影响密钥使用;
if [ ! -f ~/.ssh/id_rsa ]; then ssh-keygen -b 2048 -t rsa -f "/root/.ssh/id_rsa" -N "" -C "root@`ip addr show dev eth0 | grep "inet" | awk -F ' ' '{print $2}' | cut -d'/' -f 1 | head -1 2> /dev/null`"; else echo "This machine already has this rsa, do nothing"; fi

# 不判断,直接生成:
# ssh-keygen -b 2048 -t rsa -f "/root/.ssh/id_rsa" -N "" -C "root@localhost"

交互式生成方式

下面是交互式生成过程:

在SSH客户端生成公钥和私钥(不是在服务端)(生成的是用户密钥,有别于主机密钥)

bash 复制代码
ssh-keygen -t rsa

一路回车就行

Enter file in which to save the key (/root/.ssh/id_rsa):

回车,把key放到哪个位置及指定文件名,默认就行

Enter passphrase (empty for no passphrase):

给key加密,可设可不设,就是打开密钥和使用密钥的时候需要密码,如果设,必须4位以上,建议不要设

Enter same passphrase again:

在输入刚才的密码

查看生成的密钥对

bash 复制代码
ls ~/.ssh

id_rsa 密钥

id_rsa.pub 公钥

Linux服务端密钥认证配置

编辑 /etc/ssh/sshd_config 文件,打开密钥登录功能

bash 复制代码
sed -i '/#RSAAuthentication/c\RSAAuthentication yes' /etc/ssh/sshd_config
sed -i '/#PubkeyAuthentication/c\PubkeyAuthentication yes' /etc/ssh/sshd_config
sed -i '/#AuthorizedKeysFile/c\AuthorizedKeysFile      .ssh/authorized_keys' /etc/ssh/sshd_config
service sshd reload
# su - user # 如果是为普通用户生成,需要切换
mkdir ~/.ssh
touch ~/.ssh/authorized_keys
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys
service sshd reload

vi ~/.ssh/authorized_keys

#追加ssh客户端的公钥,注意是一个一行

当你完成全部设置,并以密钥方式登录成功后,再禁用密码登录(可选):

PermitRootLogin yes 允许ROOT

PasswordAuthentication yes

改为

PasswordAuthentication no

检查配置:

sshd -t

最后,重载 SSH 服务:

service sshd reload #rh6或更低版本

systemctl reload sshd #rh7+

直接执行,网络不会断掉的。

vi ~/.ssh/authorized_keys

#把客户端的公钥放到服务端的 ~/.ssh/authorized_keys (不是客户端的哟)

cat ~/.ssh/id_rsa.pub

#拷贝内容过去也可以(公钥没有换行,只能是一行哟,注意)

或这样下发到客户端:

[root@localhost ~]# ssh-copy-id -i /root/.ssh/id_rsa.pub -p 22 root@1.2.3.4

客户端登陆服务端

客户端首次密钥方式登陆服务端,需要加入服务端的公钥到客户端的~/.ssh/known_hosts,这个过程一般是自动提示,你只需输入yes

然后该客户端登陆该服务端就可以不需要密码验证了,当然密码认证和密钥认证可以同时开启,然后由客户端的连接方式决定。

无提示登陆示例

bash 复制代码
ssh -q -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null -o ConnectTimeout=7 -o HostbasedAuthentication=yes -o IdentityFile=~/.ssh/id_rsa -p 22 root@remoteip "{ ifconfig; }"

SSH双向密钥登陆

如果把服务端和客户端角色换一下,再按以上操作步骤实施一遍,即可实现双向密钥认证登陆。

相关推荐
上海文顺负载箱5 分钟前
如何评估焊机测试负载均衡性能
运维·负载均衡
铁锤妹妹头发多1 小时前
新手用docker真**难受
运维·docker·容器
2739920291 小时前
Ubuntu20.04 安装build-essential问题
linux
超栈1 小时前
HCIP(11)-期中综合实验(BGP、Peer、OSPF、VLAN、IP、Route-Policy)
运维·网络·网络协议·计算机网络·web安全·网络安全·信息与通信
Cachel wood1 小时前
Github配置ssh key原理及操作步骤
运维·开发语言·数据库·windows·postgresql·ssh·github
编程一生1 小时前
回调数据丢了?
运维·服务器·前端
华为云PaaS服务小智1 小时前
华为大咖说 | 浅谈智能运维技术
运维·华为·华为云
zhd15306915625ff3 小时前
化工厂主要涉及的自动化备件有哪些?
运维·自动化·化工厂
Jason-河山3 小时前
利用API返回值实现商品信息自动化更新:技术与实践
运维·自动化
wowocpp4 小时前
查看 linux ubuntu 分区 和 挂载 情况 lsblk
linux·运维·ubuntu