本文适用:rhel5-9系列,同类系统(CentOS,AlmaLinux,RockyLinux等)、debian系(ubuntu)等也可参照
文档形成时期:2012-2024年
因系统版本不同,配置应略有差异,本文没有在细节上区分,但实践中发现均可配置成功
文章目录
Linux客户端密钥认证配置
一键配置方式
配置和生成如下,可以一键拷贝到终端运行
bash
# 修改加密码强度:
sed -i '/ServerKeyBits/c\ServerKeyBits 2048' /etc/ssh/sshd_config
service sshd reload # 或 systemctl reload sshd
# 配置修改:
# 修改/etc/ssh/ssh_config或拷贝一份儿到当前用户.ssh下
cp /etc/ssh/ssh_config ~/.ssh/config
sed -i '/HostbasedAuthentication/c\HostbasedAuthentication yes' ~/.ssh/config
sed -i '/ConnectTimeout/c\ConnectTimeout 7' ~/.ssh/config
sed -i '/IdentityFile \~\/\.ssh\/id_rsa/c\IdentityFile \~\/\.ssh\/id_rsa' ~/.ssh/config
# sed -i '/StrictHostKeyChecking/c\StrictHostKeyChecking no' ~/.ssh/config # 在某些全自动化场景下,不希望检测服务端公钥,便可配置该项
if ( ! grep -q "UserKnownHostsFile /dev/null" ~/.ssh/config ); then echo "UserKnownHostsFile /dev/null" >> ~/.ssh/config; fi
# 参考:https://blog.csdn.net/yasaken/article/details/7348441
# 配置完成
# 生成密钥和公钥
# -b 指定加密位数,默认也是2048;-N是指定空密码;-f是指定密钥生成的文件,不能使用~这个的主目录符号,不识别;
# -C 只是指定评论,在公钥的末尾能看到,改动评论不影响密钥使用;
if [ ! -f ~/.ssh/id_rsa ]; then ssh-keygen -b 2048 -t rsa -f "/root/.ssh/id_rsa" -N "" -C "root@`ip addr show dev eth0 | grep "inet" | awk -F ' ' '{print $2}' | cut -d'/' -f 1 | head -1 2> /dev/null`"; else echo "This machine already has this rsa, do nothing"; fi
# 不判断,直接生成:
# ssh-keygen -b 2048 -t rsa -f "/root/.ssh/id_rsa" -N "" -C "root@localhost"交互式生成方式
下面是交互式生成过程:
在SSH客户端生成公钥和私钥(不是在服务端)(生成的是用户密钥,有别于主机密钥)
bash
ssh-keygen -t rsa一路回车就行
Enter file in which to save the key (/root/.ssh/id_rsa):
回车,把key放到哪个位置及指定文件名,默认就行
Enter passphrase (empty for no passphrase):
给key加密,可设可不设,就是打开密钥和使用密钥的时候需要密码,如果设,必须4位以上,建议不要设
Enter same passphrase again:
在输入刚才的密码
查看生成的密钥对
bash
ls ~/.sshid_rsa 密钥
id_rsa.pub 公钥
Linux服务端密钥认证配置
编辑 /etc/ssh/sshd_config 文件,打开密钥登录功能
bash
sed -i '/#RSAAuthentication/c\RSAAuthentication yes' /etc/ssh/sshd_config
sed -i '/#PubkeyAuthentication/c\PubkeyAuthentication yes' /etc/ssh/sshd_config
sed -i '/#AuthorizedKeysFile/c\AuthorizedKeysFile .ssh/authorized_keys' /etc/ssh/sshd_config
service sshd reload
# su - user # 如果是为普通用户生成,需要切换
mkdir ~/.ssh
touch ~/.ssh/authorized_keys
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys
service sshd reloadvi ~/.ssh/authorized_keys
#追加ssh客户端的公钥,注意是一个一行
当你完成全部设置,并以密钥方式登录成功后,再禁用密码登录(可选):
PermitRootLogin yes 允许ROOT
把
PasswordAuthentication yes
改为
PasswordAuthentication no
检查配置:
sshd -t
最后,重载 SSH 服务:
service sshd reload #rh6或更低版本
systemctl reload sshd #rh7+
直接执行,网络不会断掉的。
vi ~/.ssh/authorized_keys
#把客户端的公钥放到服务端的 ~/.ssh/authorized_keys (不是客户端的哟)
cat ~/.ssh/id_rsa.pub
#拷贝内容过去也可以(公钥没有换行,只能是一行哟,注意)
或这样下发到客户端:
root@localhost \~# ssh-copy-id -i /root/.ssh/id_rsa.pub -p 22 root@1.2.3.4
客户端登陆服务端
客户端首次密钥方式登陆服务端,需要加入服务端的公钥到客户端的~/.ssh/known_hosts,这个过程一般是自动提示,你只需输入yes
然后该客户端登陆该服务端就可以不需要密码验证了,当然密码认证和密钥认证可以同时开启,然后由客户端的连接方式决定。
无提示登陆示例
bash
ssh -q -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null -o ConnectTimeout=7 -o HostbasedAuthentication=yes -o IdentityFile=~/.ssh/id_rsa -p 22 root@remoteip "{ ifconfig; }"SSH双向密钥登陆
如果把服务端和客户端角色换一下,再按以上操作步骤实施一遍,即可实现双向密钥认证登陆。