情景
从一台linux主机的某一用户上(以A代表),ssh登录到另一台linux主机的某一用户上(以B代表),或者用远程拷贝命令scp或rsync向B拷贝文件时,都需要输入B的密码。
偶尔用一次,输入一次密码倒也不算什么。但,有需求进行多次登录或拷贝,甚至希望使用脚本实现,输入密码的操作就太耗力费时了。
对于有一定linux基础的人来说,不难想到可以在两台主机间建立信任关系。
但,建立信任关系时,你是如何分发.pub文件的呢?
信任关系
建立信任关系大体上需要三个步骤:
- 创建私钥和公钥
- 分发公钥
- 验证效果
以A和B为例,如果希望A登录B或向B拷贝文件时不需要输入B的密码,则需要在A上创建私钥,并将相应的公钥分发到B上,也就是说信任关系的建立是单向的。如果需要双向信任,则需要在B上进行相同的操作。
如下例子在A上创建私钥。
创建私钥和公钥
创建私钥前最好先查看一下~/.ssh目录下是否已经存在了私钥和公钥。
私钥和公钥一般创建后是成对存在的,如下面:
identity对应identity.pub
id_dsa对应id_dsa.pub
id_rsa对应id_rsa.pub
如果已经已经有了,可以不必重新创建。如果没有就创建下。
创建私钥的命令是ssh-keygen,本文的重点不在它,所以关于它的用法从简介绍。
$ ssh-keygen
不带任何参数运行,一路回车就搞定了。
Generating public/private rsa key pair.
Enter file in which to save the key (/home/j-tester/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/j-tester/.ssh/id_rsa.
Your public key has been saved in /home/j-tester/.ssh/id_rsa.pub.
The key fingerprint is:
75:c8:db:b1:b6:7b:ef:7d:ca:55:ac:84:3d:f3:95:28 j-tester@test153.tester.com
The key's randomart image is:
+--[ RSA 2048]----+
| |
| . . |
| + o |
| . + =...|
| S .E=.=.+|
| ..o =o|
| . . o|
| o..o|
| ..o+=|
+-----------------+
如上,会在~/.ssh目录下生成id_rsa和id_rsa.pub:
$ ls -1 ~/.ssh/
id_rsa
id_rsa.pub
分发公钥
本文主要讨论分发公钥的方式。分发公钥,简单说,就是要把A上的~/.ssh/id_rsa.pub的内容追加到B的~/.ssh/authorized_keys文件中,并为对应的文件和目录赋予权限。
方案1
- 在A上,查看
~/.ssh/id_rsa.pub的内容并复制; - 登录B,将这些内容追加到B的
~/.ssh/authorized_keys文件中; - 分发公钥后,如果B的
~/.ssh目录和~/.ssh/authorized_keys文件是本次新建的,则还需要为它们设置权限,这里不详细讨论,一种可行的选择是:B的~/.ssh目录权限应为700,B的~/.ssh/authorized_keys文件权限应为600。
注意,这里可能存在的情况有:
- B的
~/.ssh目录不存在,需要你手动创建; - B的
~/.ssh/authorized_keys已经存在并有其它内容,所以要把复制的内容追加进去,而不是覆盖;
方案2
- 通过scp(或rsync)将文件
~/.ssh/id_rsa.pub远程拷贝到B的某目录中; - 再将这个文件的内容追加到B的
~/.ssh/authorized_keys文件内; - 将该文件删除掉;
- 同方案1,如果B的
~/.ssh目录和~/.ssh/authorized_keys文件是本次新建的,则还需要为它们设置权限。
注意,这里可能存在的情况有:
- B的
~/.ssh目录不存在,需要你手动创建; - B的
~/.ssh/authorized_keys已经存在并有其它内容,所以要把复制的内容追加进去; - B的
~/.ssh下存在id_rsa.pub这个文件,如果你远程拷贝到的目录是B的~/.ssh目录,则会将B的~/.ssh/id_rsa.pub给覆盖掉,所以需要你对B的命令和文件内容事先进行了解;
方案3
方案1和方案2的做法,起初是我从网络上搜索知道的,结合自己的经验进行了改善(上面提到的可能存在的情况),然后一直沿用至近期。
要不是最近有同事问我创建信任关系时的命令是什么,而我又一时忘记了怎么正确拼写,这才进行了命令搜索apropos ssh(想知道为什么,请看这里),我想我现在还不知道有更好的方法呢!
$ apropos ssh | fgrep "(1)"
git-shell (1) - Restricted login shell for GIT-only SSH access
ssh (1) - OpenSSH SSH client (remote login program)
ssh [slogin] (1) - OpenSSH SSH client (remote login program)
ssh-add (1) - adds RSA or DSA identities to the authentication agent
ssh-agent (1) - authentication agent
ssh-copy-id (1) - install your public key in a remote machine's authorized_keys
ssh-keygen (1) - authentication key generation, management and conversion
ssh-keyscan (1) - gather ssh public keys
在确认了ssh-keygen的情况下,也无意间发现了ssh-copy-id:
ssh-copy-id (1) - install your public key in a remote machine's authorized_keys
先看一下ssh-copy-id的用法:
$ man ssh-copy-id
NAME
ssh-copy-id - install your public key in a remote machine’s authorized_keys
SYNOPSIS
ssh-copy-id [-i [identity_file]] [user@]machine
DESCRIPTION
ssh-copy-id is a script that uses ssh to log into a remote machine (presumably using a login password, so password authentication should be enabled, unless you’ve done some clever use of multiple identities) It also changes the permissions of the remote user’s home, ~/.ssh, and ~/.ssh/authorized_keys to remove group writability (which would otherwise prevent you from logging in, if the remote sshd has StrictModes set in its configuration).
...(省略)...
在这里,ssh-copy-id [-i [identity_file]] [user@]machine中的user和machine分别是B的${USER}和${HOSTNAME}。
所以,你只需要在A上执行命令:
$ ssh-copy-id -i ~/.ssh/id_rsa.pub j-tester@test188.tester.com
输入B的密码后,出现如下提示文字表示执行成功。
...(省略)...
Now try logging into the machine, with "ssh 'j-tester@test188.tester.com'", and check in:
.ssh/authorized_keys
to make sure we haven't added extra keys that you weren't expecting.
对比
在比较顺利的情况下,方案1和方案2已然需要操作好几步,如果碰到那些可能存在的情况,还需要额外增加手工操作。而方案3只需要一条命令就搞定了。孰优孰劣,一目了然。
更进一步,ssh-copy-id命令其实是一个shell脚本,读懂它,你就能知道它为什么好用了。
验证效果
上述步骤完成后,你可以验证一下效果,最简单的莫过于直接ssh到远程主机上了:
如果不需要输入密码就登录成功了,则说明信任关系创建成功。
如果还是需要密码,说明创建不成功,再回去找原因。
扩展知识
-
ssh-keygen用法; - RSA和DSA认证相关;
-
ssh-copy-id的内容;
