Linux 机器信任关系

核心:基于 SSH 密钥认证 ,实现两台 / 多台 Linux 主机无需密码互相登录、执行远程命令,也就是常说的主机互信

A机器被B机器信任,即A登陆B不需要密码,使用id_rsa及id_rsa.pub即可

在A机器执行:

bash 复制代码
1、cd ~/.ssh

2、ssh-keygen -d

3、ssh-add id_rsa

系统如果提示:Identity added: id_rsa (id_rsa) 就表明加载成功了

下面有几个异常情况处理:

--如果系统提示:could not open a connection to your authentication agent

则需要执行一下命令:

ssh-agent bash

再执行 ssh-add id_rsa

bash 复制代码
4、scp id_rsa.pub user@B:~

5、cat id_rsa.pub >> ~/.ssh/authorized_keys

注意:

.ssh 目录文件必须为 700 或 744

authorized_keys 文件权限为600

需要被信任系统用户 如work的目录 /home/work 必须为非777

常见问题 & 排错(高频坑)

1. 能 ping 通、密码能登,但免密失败

90% 是权限问题,按顺序检查:

bash 复制代码
# 目录权限必须 700
ls -ld ~/.ssh
# 文件必须 600
ls -l ~/.ssh/authorized_keys

2. 提示 Permission denied, please try again

  • 公钥未正确写入 authorized_keys
  • 目标主机 /etc/ssh/sshd_config 未开启密钥认证

3. 检查 SSH 服务端配置

编辑 /etc/ssh/sshd_config,确保以下配置开启(注释去掉):

bash 复制代码
PubkeyAuthentication yes
AuthorizedKeysFile      .ssh/authorized_keys

修改后重启 sshd:

bash 复制代码
# CentOS/RHEL
systemctl restart sshd
# Ubuntu/Debian
systemctl restart ssh

4. 主机名 / IP 变化、known_hosts 冲突

首次登录会记录主机指纹到 ~/.ssh/known_hosts,IP / 主机名变更会报错:

bash 复制代码
# 清空旧指纹
rm -f ~/.ssh/known_hosts

5. 禁用密码登录(安全加固,集群常用)

所有机器互信完成后,关闭密码登录,只允许密钥:

bash 复制代码
# sshd_config
PasswordAuthentication no

重启 sshd 生效。

关键文件总结

文件 作用 建议权限
~/.ssh/ SSH 配置目录 700
id_rsa 本地私钥(核心机密) 600
id_rsa.pub 本地公钥(可公开) 644
authorized_keys 存放远端所有信任主机公钥 600
known_hosts 记录已连接主机指纹 644
相关推荐
Championship.23.244 小时前
Linux 3.0 锁机制与故障排查详解
linux·运维·服务器
天疆说4 小时前
Zotero Connector 在 Edge 里找不到桌面 Zotero(Linux / Zotero 9.0.6 / Edge 150)
linux·前端·edge
风123456789~6 小时前
【Linux专栏】ls 排除某个文件
linux·运维·服务器
IT曙光7 小时前
ubuntu apt-get离线源制作
linux·ubuntu
其实防守也摸鱼7 小时前
运维--学习阶段问题解答(1)(自测)
linux·运维·服务器·数据库·学习·自动化·命令模式
懒鸟一枚7 小时前
深入理解 Linux 内存、Swap 交换分区与分页机制的关系
java·linux·数据库
玖玥拾8 小时前
C# 语言进阶(十五)C# 游戏服务端 MySQL 数据库
服务器·开发语言·网络·数据库·mysql·c#
土星云SaturnCloud8 小时前
边缘计算驱动绿氢生产过程智能寻优:电解槽级实时优化技术解析
服务器·人工智能·ai·边缘计算
Darkwanderor8 小时前
对Linux的进程控制的研究
linux·运维·c++
Web极客码10 小时前
突破并发瓶颈:云端高性能架构如何赋能海外 AI Agent 矩阵的高效产出
服务器·人工智能·架构