作者:荒原之梦
原文链接:http://zhaokaifeng.com/?p=587
操作环境:
客户机操作系统:Ubuntu Linux
服务器操作系统:CentOS Linux
免密登陆的原理:
免密登陆其实就是使用密钥文件代替密钥进行身份验证。这里的密钥文件就是公钥和对应的私钥,将公钥部署在远程服务器上,私钥部署在客户机上。在服务器和客户机上配置好密钥文件后,当客户机向服务器发起连接请求的时候,客户机会向服务器表达使用密钥文件进行身份验证的请求并向服务器发送公钥;随后,服务器会在客户机对应用户的主目录下找寻公钥文件并与收到的公钥文件进行对比;如果公钥文件的对比结果一致,服务器会使用公钥加密一个文件发送给客户机;客户机在收到公钥加密的文件后使用自己的私钥进行解密,然后将解密后的内容发送给服务器;如果服务器收到的解密内容与原内容一致则身份验证成功,两台计算机之间成功建立连接。
实现方法:
使用 ssh-keygen 生成公钥与私钥,将公钥部署在服务器上,私钥部署在客户机上。
具体实现步骤:
1.生成密钥文件
命令:
ssh-keygen -t rsa -P "password"之后弹出提示:
Generating public/private rsa key pair.
Enter file in which to save the key (/home/yourname/.ssh/id_rsa):此时如果不希望改变密钥文件的默认保存路径则直接回车即可。
注0:上述命令中的password是用于加密私钥的密码。为了尽可能保证私钥不被非授权使用,我建议在创建密钥文件时务必设置加密私钥的密码,不可省略。
这时,在 /home/yourname/.ssh/id_rsa 目录下就可以看到 id_rsa 、 id_rsa.pub 和 known_hosts 这三个文件。
其中,
id_rsa:私钥文件
id_rsa.pub:公钥文件
know_hosts:已知主机的公钥文件
2.复制公钥至服务器
命令:
scp -p ~/.ssh/id_rsa.pub root@<server ip>:/root/.ssh/authorized_keys之后会要求输入远程服务器的登陆密码,输入密码后回车即可。
3.登录服务器
命令:
ssh root@<server ip>回车后会要求输入 本地私钥的解密密码(即第一步中设置的“password”),解密私钥后就可以登录服务器了。
注1:上文路径中出现的“yourname”是指你登陆客户机时使用的用户名。
注2:在部署公钥的时候虽然使用了服务器相应登陆账户(如root账户)的密码,但是之前所生成的公钥与私钥和这个密码并没有联系,输入该密码仅仅是为了登陆远程服务器,将公钥文件部署到服务器上。