Untuk menyediakan kunci SSH antara dua pelayan, kita perlu mengikuti langkah-langkah berikut:
Buat pasangan kunci pada pelayan sumber. Apabila kita memberikan perintah ssh-keygen, secara lalai akan membuat pasangan Kunci RSA 2048-bit dan jika anda memerlukan penyulitan yang lebih kuat, anda juga dapat menggunakan 4096 bit. Untuk itu, anda perlu menggunakan -b 4096 pada akhir arahan ssh-keygen. Saya menggunakan yang lalai di sini.
Beberapa perkara yang perlu diberi perhatian dalam output di bawah:
Sebaris Masukkan fail untuk menyimpan kunci (/root/.ssh/id_rsa):
Ia meminta jalan untuk menyimpan kunci dan yang lalai biasanya baik. Sekiranya lalai baik-baik saja, anda boleh tekan enter. Sekiranya anda ingin mencuba jalan alternatif, maka anda perlu menentukan yang sama di sana. Kadang-kadang ini akan mengatakan seperti:
/akar/.ssh/id_rsa sudah ada. Menimpa(dan/n)?Anda harus mengambil salinan folder .ssh sebelum membuat perubahan atau harus mengetahui apa yang anda lakukan. Menghantar Ya akan menjadikan kunci lama (jika sudah digunakan) tidak berfungsi.
Di baris Masukkan frasa laluan (kosong tanpa frasa laluan): Ini adalah prosedur keselamatan tambahan yang akan meminta frasa laluan setiap kali anda cuba log masuk ke SSH dan itu akan berfungsi sebagai pengesahan 2 langkah. Tetapi jika anda memerlukan akses ssh untuk skrip apa pun atau karya langsung lain dan karya cepat, lebih baik tidak memilikinya. Selain membuat skrip atau mengautomasikan karya, kami akan mencadangkan anda untuk memilikinya dengan pasti.
Hasil penuh arahan untuk rujukan:
[dilindungi e-mel]: ~ $ssh-keygenMenjana masyarakat/pasangan kunci rsa peribadi.
Masukkanfail dalam yang manauntuk menyimpan kunci(/akar/.ssh/id_rsa):
Direktori dibuat'/root/.ssh'.
Masukkan frasa laluan(kosonguntuktiada frasa laluan):
Masukkan frasa laluan yang sama sekali lagi:
Pengenalan anda telah disimpandalam /akar/.ssh/id_rsa.
Kunci awam anda telah disimpandalam /akar/.ssh/id_rsa.pub.
Cap jari utama adalah:
SHA256: z4nl0d9vJpo/5bdc4gYZh8nnTjHtXB4Se/Ringkasan UqyuyigUI@Pasti
KunciGambar randomart adalah:
+ --- [RSA 2048] ---- +
| |
| . . |
| . oo.o |
| . = o = o + |
| E S o. * OBo |
| . . * atau +. +. = |
| . . . .o =. = ooo |
| . .. + o * .B |
| .. o. o + oB + |
+ ---- [SHA256] ----- +
[dilindungi e-mel] ~ $
Langkah 2: Salin Pasangan Kunci yang dibuat ini ke Pelayan Destinasi anda
Terdapat 2 cara berbeza untuk menyalinnya ke pelayan destinasi anda
- Menggunakan arahan ssh-copy-id
- Menyalin kunci ssh menggunakan pengguna / lulus ssh biasa sebagai satu pelapik dari mesin tempatan kami atau setelah log masuk ke pelayan.
2.1 Menggunakan arahan ssh-copy-id
ssh-copy-id akan mengendalikan salinan dan penyediaan kunci ke pelayan jauh dengan cara yang tepat untuk anda. Setelah arahan selesai, anda tidak memerlukan kata laluan untuk setiap log masuk. Sekarang anda boleh menulis semua skrip automatik anda untuk kerja pentadbir sistem tanpa perlu memasukkan kata laluan secara manual dan menjimatkan masa dari hari ke hari akses sistem yang anda gunakan sepanjang masa.
Mula-mula anda perlu memeriksa apakah ada perintah seperti ini dan jika perintah itu berfungsi dan pengguna yang anda coba mempunyai akses ke perintah ini, maka anda boleh menggunakan perintah ini untuk menyalin kunci awam ke pelayan jauh. Utiliti ini akan mengimbas akaun tempatan anda untuk mendapatkan kunci awam rsa dan akan meminta kata laluan akaun pengguna jauh anda.
Di sini kita akan menyalin kunci root ssh ke akses tahap root pelayan. Oleh itu, untuk mendapatkan salinan ini, anda perlu log masuk / beralih kepada pengguna yang telah anda buat kuncinya. Dalam kes ini, kami mencuba sambungan root-root.
Keluaran penuh ada di bawah dan saya menambah butiran yang diperlukan di antara keduanya
akar@Sumber]]: ~ $ ssh-copy-id root@192.1.1.19-p 1986Keaslian tuan rumah'[192.1.1.19]: 1986 ([192.1.1.19]: 1986)'bolehtidak akan ditubuhkan.
Cap jari kunci ECDSA adalah SHA256: YYOj54aEJvIle4D2osDiEhuS0NEDImPTiMhHGgDqQFk.
Adakah anda pasti mahu terus menyambung (ya / tidak)? iya
Sekiranya anda menggunakan ini untuk pertama kalinya, anda akan mendapat respons sedemikian dan anda perlu menaip ya dan kemudian tekan enter
/usr/saya/ssh-copy-id: INFO: cuba logdalamdengan kunci baru(s),untuk menapis mana-mana yang sudah dipasang
/usr/saya/ssh-copy-id: INFO:1kunci(s)masih perlu dipasang- sekiranyaanda diminta
sekarang adalah untukpasangkunci baru
akar@192.1.1.19kata laluan:
Masukkan kata laluan dan kemudian tekan enter.
Bilangan kunci(s)menambah:1Sekarang cuba log masuk ke mesin, dengan: ssh -p ‘1986’ ’[email dilindungi] ′
dan periksa untuk memastikan bahawa ia berfungsi seperti yang diharapkan.
Selepas ini, anda akan dapat masuk ke pelayan tanpa kata laluan. Setelah pengesahan kata laluan kurang berfungsi dengan baik, anda boleh mematikan pengesahan kata laluan sehingga anda dapat mengunci akses ssh hanya dengan menggunakan kunci ssh
2.2 Menyalin kunci ssh menggunakan pengguna / lulus ssh biasa secara manual
Sekiranya beberapa cara bagaimana anda tidak dapat membuat perintah di atas berfungsi, saya akan menambahkan langkah-langkah supaya anda dapat menyalin kunci ssh dan kata laluan penyediaan kurang autentikasi dari mesin anda ke pelayan anda.
Untuk melakukan ini, kita harus menambahkan kandungan fail id_rsa.pub anda secara manual ke fail /root/.ssh/authorized_keys pada mesin Destinasi anda. Sekiranya anda akan menyalin kunci untuk root pengguna lokasi akan /root/.ssh/authorized_keys .
Dari Langkah 1: anda mungkin telah melihat garis bawah
Kunci awam anda telah disimpan di /root/.ssh/id_rsa.pub.
Ini mengatakan kunci awam yang perlu anda salin ke pelayan jauh terletak di fail di atas. Oleh itu, anda perlu menyalin kandungan fail ini dan kemudian menyalin atau menempelkannya di kunci_pengguna dari pelayan jauh
Oleh itu, lakukan langkah-langkah di bawah
Perintah di bawah ini akan memberi anda kunci untuk disalin:
[dilindungi e-mel] $kucing /akar/.ssh/id_rsa.pubssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQCqql6MzstZYh1TmWWv11q5O3pISj2ZFl9Hg
H1JLknLLx44 + tXfJ7mIrKNxOOwxIxvcBF8PXSYvobFYEZjGIVCEAjrUzLiIxbyCoxVyle7Q + bqgZ
8LihatM8wzytsY + dVGcBxF6N4JS + zVk5eMcV385gG3Y6ON3EG112n6d + SMXY0OEBIcO6x + PnUS
GHrSgpBgX7Ks1r7xqFa7heJLLt2wWwkARptX7udSq05paBhcpB0pHtA1Rfz3K2B + ZVIpSDfki9UV
KzT8JUmwW6NNzSgxUfQHGwnW7kj4jp4AT0VZk3ADw497M2G/12N0PPB5CnhHf7ovgy6nL1ik
rygTKRFmNZISvAcywB9GVqNAVE + ZHDSCuURNsAInVzgYo9xgJDW8wUw2o8U77 + xiFxgI5QSZ
X3Iq7YLMgeksaO4rBJEa54k8m5wEiEE1nUhLuJ0X/vh2xPff6SQ1BL/zkOhvJCACK6Vb15mDOeCS
q54Cr7kvS46itMosi/uS66 + PujOO + xt/2FWYepz6ZlN70bRly57Q06J + ZJoc9FfBCbCyYH7U/ASsmY0
95ywPsBo1XQ9PqhnN1/YOorJ068foQDNVpm146mUpILVxmq41Cj55YKHEazXGsdBIbXWhcrRf4G
2fJLRcGUr9q8/lERo9oxRm5JFX6TCmj6kmiFqv +Ow9gI0x8GvaQ== akar@Sumber
Log masuk ke pelayan jauh yang anda perlukan untuk menyalin kunci di atas dan pastikan anda menggunakan pengguna yang sama dengan yang anda perlukan untuk menyalin kunci ssh. Sekiranya anda memerlukan akses root langsung, salin kunci terus ke bahagian /root/.ssh/
Buat folder .ssh jika tidak ada
Untuk memeriksa apakah itu ada dan jika tidak membuatnya menggunakan arahan di bawah:
[dilindungi e-mel]: $ls -tempat /akar/.sshSekiranya folder tidak ada, kemudian buat dengan arahan di bawah:
[dilindungi e-mel] $mkdir -p /akar/.ssh[dilindungi e-mel] $sentuhan /akar/.ssh/kunci_benar
[dilindungi e-mel]: $membuangssh-rsa
AAAAB3NzaC1yc2EAAAADAQABAAACAQCqql6MzstZYh1TmWWv11q5O3pISj2ZFl9HgH1JLknLLx44 + tXfJ7mIrKNxOOwxI
xvcBF8PXSYvobFYEZjGIVCEAjrUzLiIxbyCoxVyle7Q + bqgZ8LihatM8wzytsY + dVGcBxF6N4JS + zVk5eMcV385gG3Y6ON3
EG112n6d + SMXY0OEBIcO6x + PnUSGHrSgpBgX7Ks1r7xqFa7heJLLt2wWwkARptX7udSq05paBhcpB0pHtA1Rfz3K2B + ZV
IpSDfki9UVKzT8JUmwW6NNzSgxUfQHGwnW7kj4jp4AT0VZk3ADw497M2G/12N0PPB5CnhHf7ovgy6nL1ikrygTKRFmNZI
SvAcywB9GVqNAVE + ZHDSCuURNsAInVzgYo9xgJDW8wUw2o8U77 + xiFxgI5QSZX3Iq7YLMgeksaO4rBJEa54k8m5wEiEE1
nUhLuJ0X/vh2xPff6SQ1BL/zkOhvJCACK6Vb15mDOeCSq54Cr7kvS46itMosi/uS66 + PujOO + xt/2FWYepz6ZlN70bRly
57Q06J + ZJoc9FfBCbCyYH7U/ASsmY095ywPsBo1XQ9PqhnN1/YOorJ068foQDNVpm146mUpILVxmq41Cj55YKHEazXGsd
BIbXWhcrRf4G2fJLRcGUr9q8/lERo9oxRm5JFX6TCmj6kmiFqv +Ow9gI0x8GvaQ== akar@Sumber>>
/akar/.ssh/kunci_benar
Pastikan kebenaran folder itu betul
chmod -R pergi=/akar/.ssh/Selepas ini sila cuba log masuk ke pelayan dari terminal baru dan pastikan autentikasi tanpa kunci berfungsi seperti yang diharapkan. Hanya kemudian matikan pengesahan kata laluan dalam konfigurasi ssh.
CATATAN: Pastikan anda dapat masuk ke pelayan seperti yang anda perlukan (sama ada secara langsung dari mesin anda, atau anda boleh log masuk ke pengguna lain di pelayan jauh dan beralih ke root dari akaun tersebut secara manual menggunakan su atau sudo) dan kemudian hanya lumpuhkan autentikasi kata laluan jika ada kemungkinan pengguna root dikunci.
Sekiranya anda mempunyai keperluan, anda boleh menghubungi saya untuk mendapatkan sebarang bantuan dan berkongsi komen anda.