阿里云主机ssh 免密码登录

阿里云主机ssh 免密码登录

操作系统: CentOS 70 64位

CPU: 1 核

公网IP: 781292345

用户名: root

密码：bugaosuni

我在VMware下安装的Ubuntu 1404本文的主要目的就是在Ubuntu上能够免密码登录云主机。

具体设置步骤

Ubuntu 客户端

在该文件夹下就会产生三个文件夹：id_rsa,id_rsapub,know_hosts。

id_rsa：存储私钥，记得只能自己看哦。别人那到这个文件就完蛋蛋咯。

id_rsapub:存储公钥，用来通信加密使用，有了这个人家才能确定这是你。

scp id_ rsapub root@781292345:/root/ssh/id_ rsapub

Note:云主机上没有ssh/文件时，你要自己建立一个。

云主机端

rm id_rsapub

Ubuntu 客户端

这个时候就可以登录云主机了

ssh root@781292345

scp远程拷贝文件时提示错误：

Warning: Permanently added '1000182' (RSA) to the list of known hosts

Permission denied (publickey)

解决：

登录1000182，将/etc/ssh/sshd_config文件中的PasswordAuthentication no 改为PasswordAuthentication yes

重启sshd服务：/etc/initd/sshd restart

问题解决。

原因：scp是基于ssh的拷贝服务，ssh在没有密钥登录的情况下，禁用了密码登录，故出现如上错误。

服务端SSH 服务配置了禁止root用户登录策略。

处理办法

说明：相关策略可以提高服务器的安全性。请用户基于安全性和易用性权衡后，再确定是否需要修改相关配置。

要解决此问题，请进行如下配置检查和修改：

参数说明：

未配置该参数，或者将参数值配置为 yes （默认情况），都允许 root 用户登录。只有显示的设置为 no 时，才会阻断root 用户登录。

该参数只会影响用户的 SSH 登录，不影响用户通过 管理终端 等其它方式登录系统。

如果需要修改相关策略配置，在继续之前建议进行文件备份。

使用 vi 等编辑器，将参数值设置为 yes，或者整个删除或注释（在最开头添加 # 号）整行配置。比如：# PermitRootLogin yes

使用如下指令重启 SSH 服务：service sshd restart

尝试再次使用 root 用户登录服务器。

出现的问题以及解决方案

当出现Permission denied (publickey,gssapi-keyex,gssapi-with-mic) 警告的时候，恭喜你，你已经离成功很近了。

远程主机这里设为slave2，用户为Hadoop。

本地主机设为slave1

以下都是在远程主机slave2上的配置，使得slave1可以免密码连接到slave2上。如果想免密码互联，原理一样的，在slave1上也这么配置即可！

（1）首先：配置ssh服务器配置文件。

在root 用户下才能配置。

vi /etc/ssh/sshd_config

权限设为no：

如果前面有# 号，将#号去掉，之后将yes修改为no。

修改之后为：

PermitRootLogin no

UsePAM no

PasswordAuthentication no

权限设为yes：

RSAAuthentication yes

PubkeyAuthentication yes

（2）重启sshd服务

systemctl restart sshdservice

systemctl status sshdservice #查看ssh服务的状态

正常情况下应该是Active：active（running）

（3）修改文件夹以及文件的权限。

（4）在slave1上进行测试

ssh slave2

今天处理 ssh连接至 ubuntu 服务器时，提示以下错误：

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!

Someone could be eavesdropping on you right now (man-in-the-middle attack)!

It is also possible that a host key has just been changed

The fingerprint for the RSA key sent by the remote host is

da:f7:3e:ba:f7:00:e6:44:76:f2:58:6e:48:

Please contact your system administrator

Add correct host key in /用户home目录/ssh/known_hosts to get rid of this message

Offending RSA key in /用户home目录/ssh/known_hosts:1

RSA host key for ip地址 has changed and you have requested strict checking

Host key verification failed

经过google,出现这个问题的原因是,第一次使用SSH连接时，会生成一个认证，储存在客户端的known_hosts中。

可使用以下指令查看：

ssh-keygen -l -f ~/ssh/known_hosts

由于服务器重新安装系统了，所以会出现以上错误。

解决办法

ssh-keygen -R 服务器端的ip地址

会出现以下提示：

/用户home目录/ssh/known_hosts updated

Original contents retained as /用户home目录/ssh/known_hostsold

重新连线,出现以下提示：

The authenticity of host '192168310 (192168310)' can't be established

RSA key fingerprint is da:f7:3e:ba:f7:00:e6:44:76:f2:58:6e:48:

Are you sure you want to continue connecting (yes/no)

1Linux下生成密钥

ssh-keygen的命令手册，通过”man ssh-keygen“命令：

通过命令”ssh-keygen -t rsa“

生成之后会在用户的根目录生成一个 “ssh”的文件夹

进入“ssh”会生成以下几个文件

authorized_keys:存放远程免密登录的公钥,主要通过这个文件记录多台机器的公钥

id_rsa : 生成的私钥文件

id_rsapub ：生成的公钥文件

know_hosts : 已知的主机公钥清单

如果希望ssh公钥生效需满足至少下面两个条件：

1) ssh目录的权限必须是700

2) ssh/authorized_keys文件权限必须是600

2远程免密登录

原理图：

常用以下几种方法：

21 通过ssh-copy-id的方式

命令： ssh-copy-id -i ~/ssh/id_rsaput <romte_ip>

举例：　　　　　　

[root@test ssh]# ssh-copy-id -i ~/ssh/id_rsapub 19216891135

root@19216891135's password:

Now try logging into the machine, with "ssh '19216891135'", andcheck in:

ssh/authorized_keys

to make sure we haven't added extra keys that you weren't expecting

[root@test ssh]# ssh root@19216891135

Last login: Mon Oct 10 01:25:49 2016 from 19216891133

[root@localhost ~]#

常见错误：

[root@test ~]# ssh-copy-id -i~/ssh/id_rsapub 19216891135

-bash: ssh-copy-id: command not found //提示命令不存在

解决办法：yum -y installopenssh-clients

22　通过scp将内容写到对方的文件中

命令：scp -p~/ssh/id_rsapub root@<remote_ip>:/root/ssh/authorized_keys

举例：

[root@test ssh]# scp -p ~/ssh/id_rsapubroot@19216891135:/root/ssh/authorized_keys

root@19216891135's password:

id_rsapub 100% 408 04KB/s 00:00

[root@test ssh]#

[root@test ssh]#

[root@test ssh]#

[root@test ssh]# ssh root@19216891135

Last login: Mon Oct 10 01:27:02 2016 from 19216891133

[root@localhost ~]#

也可以分为两步操作：

$ scp ~/ssh/id_rsapubroot@<remote_ip>:pub_key //将文件拷贝至远程服务器

$ cat ~/pub_key>>~/ssh/authorized_keys //将内容追加到authorized_keys文件中，不过要登录远程服务器来执行这条命令

23 通过Ansible实现批量免密

231 将需要做免密操作的机器hosts添加到/etc/ansible/hosts下：

[Avoid close]

19216891132

19216891133

19216891134

232 执行命令进行免密操作

ansible<groupname> -m authorized_key -a "user=root key='{{lookup('file','/root/ssh/id_rsapub') }}'" -k

示例：

[root@test sshpass-105]# ansible test -m authorized_key -a"user=root key='{{ lookup('file','/root/ssh/id_rsapub') }}'" -k

SSH password: ----->输入密码

19216891135 | success >> {

"changed": true,

"key": "ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEArZI4kxlYuw7j1nt5ueIpTPWfGBJoZ8Mb02OJHR8yGW7A3izwT3/uhkK7RkaGavBbAlprp5bxp3i0TyNxa/apBQG5NiqhYO8YCuiGYGsQAGwZCBlNLF3gq1/18B6FV5moE/8yTbFA4dBQahdtVP PejLlSAbb5ZoGK8AtLlcRq49IENoXB99tnFVn3gMM0aX24ido1ZF9RfRWzfYF7bVsLsrIiMPmVNe5KaGL9kZ0svzoZ708yjWQQCEYWp0m+sODbtGPC34HMGAHjFlsC/SJffLuT/ug/hhCJUYeExHIkJF8OyvfC6DeF7ArI6zdKER7D8M0SMWQmpKUltj2nltuv3w== root@localhostlocaldomain",

"key_options": null,

"keyfile": "/root/ssh/authorized_keys",

"manage_dir": true,

"path": null,

"state": "present",

"unique": false,

"user": "root"

}

[root@test sshpass-105]#

24 手工复制粘贴的方式

将本地id_rsapub文件的内容拷贝至远程服务器的~/ssh/authorized_keys文件中

[TOC]

ssh无密码登录要使用公钥与私钥。linux下可以用用ssh-keygen生成公钥/私钥对，下面以CentOS为例。有机器A(1921686421)，B(1921686422)。

目标：A通过ssh免密码登录到B

特意强调，使用参数可以省去生成公钥/私钥的回车步骤

备注：

第一次登录需输入yes，现在A机可以无密码登录B机了，B登陆A，也同样，在B中生成公钥和私钥对，将公钥写入authorized_keys中，然后同步A、B中的authorized_keys，使其一致就ok了。

也即就是：登录的机子有私钥，被登录的机子要有登录机子的公钥，这个公钥/私钥对一般在私钥宿主机产生。上面是用rsa算法(不对称加密算法)的公钥/私钥对，当然也可以用dsa(对称加密算法：对应的文件是id_dsa，id_dsapub)

SSH是为建立在应用层和传输层基础上的安全协议(OSI七层与TCP/IP五层网络架构详解)。SSH是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。

从客户端来看，SSH提供两种级别的安全验证：

只要知道帐号和口令，就可以登录到远程主机。所有传输的数据都会被加密，但缺点是：不能保证你正在连接的服务器就是你想连接的服务器。以下是登录验证流程：

当第一次链接远程主机时，会提示你当前主机的”公钥指纹”，询问你是否继续，如果选择继续后就可以输入密码进行登录了，当远程的主机接受以后，该台服务器的公钥就会保存到~/ssh/known_hosts文件中。

这种验证的前提是客户端需要生成一对密钥，将公钥放到需访问的远程服务器。这种验证比上一种的好处是，不能仿冒真正的服务器，因为要仿冒必须拿到客户端生成的公钥。缺点就是验证等待过程稍长些。

1、在客户端打开终端，执行ssh-keygen，该命令会默认在~/ssh/目录下创建id_rsa、id_rsapub两个文件，分别为你的公钥和私钥

2、将公钥id_rsapub文件拷贝到服务器端的~/ssh/authorized_keys文件中，可通过scp拷贝

A要免密码登录到B，B首先要拥有A的公钥，然后B要做一次加密验证。非对称加密，公钥加密的密文不能公钥解开，只能私钥解开

ssh-agent

ssh-agent是密钥管理器，是一种控制用来保存公钥身份验证所使用的私钥的程序

运行ssh-agent以后，使用ssh-add将私钥交给ssh-agent保管，其他程序需要身份验证的时候可以将验证申请交给ssh-agent来完成整个认证过程

ssh-agent是管理多个sshkey的代理，受管理的私钥通过ssh-add来添加

好处1：不用重复输入密码

用ssh-add添加私钥时，如果私钥有密码的话，照例会被要求输入一次密码，在这之后ssh-agent可直接使用该私钥，无需再次密码认证。

好处2：不用到处部署私钥

假设私钥分别可以登录同一内网的主机A和主机B，出于一些原因，不能直接登录B。可以通过在A上部署私钥或者设置Forwarding(转发)登录B，也可以转发认证代理连接在A上面使用ssh-agent私钥登录B；可以在A上直接sftp传文件到B上。

如这边有一台机器是local，能通过公钥直接登陆server1和server2。server1和server2之间无公钥登陆。

现在要在server1上直接登陆server2，在local上执行

执行了之后就将私钥给ssh-agent保管了，server1上面登陆server2的时候，需要私钥验证的时候直接找ssh-agent要就可以了

接下来登陆server1，注意-A

可以发现server1上多了/tmp/ssh-xxxxxxxxx/agentxxxxx的socket，之后神奇的事发生了，在server1上可直接进server2，只需执行如下命令，如果加了-A则可以继续sshforwarding(转发)，以至无限的机器forwarding。

ssh(-A)server2

同样的原理可以试一下sftp,scp等基于ssh的命令。

如运行ssh-add，遇到Couldnotopenaconnectiontoyourauthenticationagent。

解决：需要ssh-agent启动bash，或者说把bash挂到ssh-agent下面。

1ssh免密码登陆及其原理

A为本地主机(即用于控制其他主机的机器) ;

B为远程主机(即被控制的机器Server), 假如ip为172242532 ;

在A上的命令:

复制代码

代码如下:

ssh-keygen -t rsa

(连续三次回车,即在本地生成了公钥和私钥,不设置密码,生成的公钥私钥在~/ssh目录下，id_rsa是私钥， id_rsapub是公钥 )

复制代码

代码如下:

ssh a href="mailto:muye@172242532"muye@172242532/a

   mkdir ssh

   chmod 700 ssh

(需要输入密码， 注:必须将ssh的权限设为700)

复制代码

代码如下:

scp ~/ssh/id_rsapub a href="mailto:muye@172242532:~/ssh"muye@172242532:~/ssh/a

然后在服务器上建立authorized_keys文件：

复制代码

代码如下:

touch ~/ssh/authorized_keys

   chmod 600 ~/ssh/authorized_keys

(注意： 必须将~/ssh/authorized_keys的权限改为600, 该文件用于保存ssh客户端生成的公钥，可以修改服务器的ssh服务端配置文件/etc/ssh/sshd_config来换文件名，默认是叫authorized_keys）

复制代码

代码如下:

cat id_rsapub authorized_keys

   # (将id_rsapub的内容追加到 authorized_keys 中, 注意不要用 ，否则会清空原有的内容，使其他人无法使用原有的密钥登录)

回到A机器:

复制代码

代码如下:

# ssh a href="mailto:muye@172242532"muye@172242532/a (不需要密码, 登录成功)

从表面上简单的理解一下登录的过程,

首先 ssh-keygen -t rsa 命令生成了一个密钥和一个公钥, 而且密钥可以设置自己的密码

可以把密钥理解成一把钥匙, 公钥理解成这把钥匙对应的锁头,

把锁头(公钥)放到想要控制的server上, 锁住server, 只有拥有钥匙(密钥)的人, 才能打开锁头, 进入server并控制

而对于拥有这把钥匙的人, 必需得知道钥匙本身的密码,才能使用这把钥匙 (除非这把钥匙没设置密码), 这样就可以防止钥匙被了配了(私钥被人复制)

更简洁的方式：

步骤1、如果服务器上没有authorized_keys文件，则：（如果有则跳过这一步）

复制代码

代码如下:

ssh a href="mailto:muye@172242532"muye@172242532/a

   mkdir ssh

   chmod 700 ssh

   touch ~/ssh/authorized_keys

   chmod 600 ~/ssh/authorized_keys

步骤2、在本机：

复制代码

代码如下:

ssh-keygen -t rsa

   ssh-copy-id -i ~/ssh/id_rsapub a href="mailto:muye@172242532"muye@172242532/a

   ssh-keygen -t rsa #之后三下回车，表示无密码。即可。

注: ssh-copy-id 自动把密钥追加到远程主机的 ssh/authorized_key 上

发送公钥到CentOS服务器端

登陆CentOS服务器端,设置公钥文件

首先 cd ssh/目录中，查看是否存在id_rsapub文件是否存在

存在则不进行操作，也可以进行更新。

不存在，则执行命令：ssh-keygen -t rsa -C

生成一个ssh公钥。

修改配置文件

将以下被注释的三行取消注释

PermitRootLogin yes

RSAAuthentication yes

PubkeyAuthentication yes

重启ssh服务

service sshd restart

在Mac客户端输入# ssh user@ip，即可无密码访问。

1、首先用凝思使用putty连接到用服务器，在登陆的界面中输入：root，点击回车。

2、其次、在这里输入登陆密码，点击回车，登陆进去后，输入passwd或udopasswdroot，点击回车。

3、最后再输入一次免密密码回车，即可完成免密登录的设置。