免密说明
通常情况下,我们ssh到其他服务器需要知道服务器的用户名和密码。对于需要经常登录的服务器每次都输入密码比较麻烦,因此我们可以在两台服务器上做免密登录,即在A服务器可以免密登录B服务器。
在A服务器上登录B服务器时,B服务器需要验证A服务器是否有登录权限,通常是通过用户名密码进行校验,如果没有用户名密码则通过密钥进行校验。因此免密登录其实就是把B服务器的公钥拷贝到A服务器,这样A和B服务器之间就能进行身份验证。
A到B免密认证过程
- A服务器生成公钥和私钥
- 把A服务器的公钥发送给B服务器
- A服务器登录B服务器时携带用户信息,B服务器根据用户名匹配到公钥,生成随机串并用公钥加密传给A服务器
- A服务器用自己的私钥进行解密,把解密后的随机串发送给B服务器
- B服务器验证随机串是否正确,如果正确则放行
生成过程
在A服务器执行 ssh-keygen 生成公私钥,执行命令后全部回车即可。执行成功后可以在/root/.ssh下看到下面的文件
id_rsa :私钥
id_rsa.pub:公钥
在A服务器执行 ssh-copy-id -f /root/.ssh/id_rsa.pub root@B,输入B服务器的用户名密码。执行成功后可以在B服务器的 /root/.ssh/authorized_keys 看到A服务器生成的公钥。
之后就可以直接在A服务器上免密登录B服务器了。
注意事项
由于免密登录过程中需要用到客户端的用户信息,因此免密登录只在当前用户下有效。
每个用户都有自己的公私钥,文件都保存在各自用户的.ssh下,因此不能混淆。
即如果在root用户下做了免密,那么用root用户是可以免密登录到目标服务器的,但是用其他用户则登录失败。
如果用 apache sshd 则会报 No more authentication methods available 的错误,具体如下:
其他
也可以直接把自己的私钥(id_rsa)拷贝到子用户的 /home/user/.ssh 下面,这样也能实现子用户免密登录目标服务器。