实现liunx之间无密码访问——ssh密匙

环境描述

两台linux服务器 172.16.1.22[client]，172.16.1.33[server]，想要实现client服务器ssh无密码访问server服务器。

使用技术 linux 的ssh密匙，加密方式选 rsa|dsa均可以，默认dsa。

配置过程

1.登录client机器，生成密匙文件和私匙文件

1)进入当前用户根目录下的隐藏目录 .ssh下

　　[root@client ~]# cd  ~/.ssh

2)生成client 服务器的私钥和公钥

　　[root@client ~]# ssh-keygen -t rsa             <----ssh-keygen -t dsa 表示加密算法未dsa，后续生成文件对应显示dsa
　　Generating public/private rsa key pair.
　　Enter file in which to save the key (/root/.ssh/id_rsa):    <---按enter,生成密匙默认保存在该目录下
　　Enter passphrase (empty for no passphrase):                <---按enter
　　Enter same passphrase again:                              <---按enter
　　Your identification has been saved in /root/.ssh/id_rsa.
　　Your public key has been saved in /root/.ssh/id_rsa.pub.
　　The key fingerprint is:
　　ec:df:3d:c4:0f:9c:6d:c6:ec:fd:fc:d3:63:e0:f1:43 root@tesb

　　将会生成密钥文件和私钥文件 id_rsa,id_rsa.pub或id_dsa,id_dsa.pub

3) 查看生成密匙文件

[root@client .ssh]# ll -a
总计 20
drwx------  2 root root  4096 05-20 10:29 .
drwx------ 18 root root 12288 2015-10-19 ..
-rw-------  1 root root  1675 05-20 10:29 id_rsa
-rw-r--r--  1 root root   391 05-20 10:29 id_rsa.pub
-rwx------  1 root root   788 2015-11-05 known_hosts

　　

2. 将 .pub 文件复制到Server机器的 ~/.ssh 目录下， 并添加到authorized_keys文件中

1)若server机器上~/.ssh 目录下不存在authorized_keys文件　　

[root@client .ssh]# scp id_rsa.pub root@172.16.1.33:~/.ssh/authorized_keys  <---注意：此时尚未建立信任，远程传输还是需要密码滴；scp:command not found参考下方异常处理

　2)若server上已经配置过其他的authorized_keys文件　　

[root@server .ssh]# cat id_rsa.pub >> authorized_keys

检查server服务器端，~/.ssh目录下是否存在authorized_keys文件，且文件中包含.pub中信息。

3.设置文件和目录权限，注意是server端　　　　

[root@server .ssh]# chmod  authorized_keys    #设置authorized_keys权限

[root@server ~]# chmod  -R .ssh  #设置.ssh目录权限

4.大功告成，从Client机器登录Server机器的目标账户，不再需要密码了　　

[root@client .ssh]# ssh 172.16.1.33 

延伸-双向登陆的操作过程：

1、ssh-keygen做密码验证可以使在向对方机器上ssh ,scp不用使用密码.具体方法如下:

2、两个节点都执行操作：#ssh-keygen -t rsa 
  然后全部回车,采用默认值.

3、这样生成了一对密钥，存放在用户目录的~/.ssh下。
将公钥考到对方机器的用户目录下 ，并将其复制到~/.ssh/authorized_keys中（操作命令：#cat id_dsa.pub >> ~/.ssh/authorized_keys ）。

4、设置文件和目录权限：
设置authorized_keys权限
$ chmod 600 authorized_keys 
设置.ssh目录权限
$ chmod 700 -R .ssh
 
5、要保证.ssh和authorized_keys都只有用户自己有写权限。否则验证无效。
 
注意事项
1、文件和目录的权限千万别设置成chmod 777.这个权限太大了，不安全，关键是密匙不生效了。
2、生成的rsa/dsa签名的公钥是给对方机器使用的。公钥内容集中拷贝到远程机器的authorized_keys文件中。
3、linux之间的访问直接 ssh 机器ip
4、某个机器生成自己的RSA或者DSA的数字签名，将公钥给目标机器，然后目标机器接收后设定相关权限（公钥和authorized_keys权限），这个目标机就能被生成数字签名的机器无密码访问了

异常处理：

1.Client端，仍然在.ssh目录下，执行命令：

ssh-add id_rsa
系统如果提示：Identity added: id_rsa (id_rsa) 就表明加载成功了
下面有几个异常情况处理：
　1)如果系统提示：could not open a connection to your authentication agent
　　则需要执行一下命令：ssh-agent bash
　　然后再执行上述的ssh-add id_rsa命令
　2)如果系统提示id_rsa: No such file or directory
　　　这是系统无法找到私钥文件id_rsa，需要看看当前路径是不是不在.ssh目录，或者私钥文件改了名字，例如如果建立的时候改成 aa_rsa，则这边命令中也需要相应改一下
　3)如果系统提示 command not found，那肯定是你命令敲错字符了
　4)如果提示Agent admitted failure to sign using the key，私钥没有加载成功，重试ssh-add

注意id_rsa/id_rsa.pub文件不要删除，存放在.ssh目录下

2.无法实现无密码访问，可能是权限设置不对，重新检查下权限

注意 $ chmod 700 -R .ssh #设置.ssh目录权限，不要漏掉 -R参数，表示递归修改；或者在.ssh目录下使用命令 $ chmod 700 . 和 $ chmod 700 . .

3. scp: command not found

注：如果使用过程中提示“scp: command not found”这句，则说明你的服务器没有安装scp，请使用下面的命令安装。另外要注意的是，使用scp的时候，需要两台服务器都要安装scp，任何一方没有安装都不能正常使用：

安装代码如下:

yum -y install openssh-clients