SSH实现双向认证

由于经常需要使用scp在两台机器间拷贝文件,每次都输入密码太麻烦,于是按下面的步骤配置了一下,再使用ssh或scp登录远程机器时就不需输入密码了:

A主机:192.168.100.82

B主机:192.168.100.83

Linux/Unix双机建立信任

1.在A机生成证书

在A机root用户或其他用户下执行ssh-keygen命令,在需要输入的地方,直接回车,生成建立安全信任关系的证书。

[root@localhost ~]#ssh-keygen -t rsa

注意:在程序提示输入passphrase时直接输入回车,表示无证书密码。
上述命令将生成私钥证书id_rsa和公钥证书id_rsa.pub,存放在用户家目录的.ssh子目录中.

2.查看~/.ssh生成密钥的文件

[root@localhost ~]# ll /root/.ssh/

total 8

-rw------- 1 root root 1675 Apr 27 15:55 id_rsa

-rw-r--r-- 1 root root  400 Apr 27 15:55 id_rsa.pub

3.A对B建立信任关系

将A主机的公钥证书id_rsa.pub复制到机器B主机的root家目录的.ssh子目录中,同时将文件名更换为authorized_keys,此时需要输入B主机的root用户密码(还未建立信任关系)。建立了客户端到服务器端的信任关系后,客户端就可以不用再输入密码,就可以从服务器端拷贝数据了。

scp -r -P 22 /root/.ssh/id_rsa.pub root@192.168.100.83:/root/.ssh/authorized_keys

如果做单向认证,这里已经可以实现A到B的免秘钥上传下载了.

4.B对A建立信任关系

在B机上执行同样的操作,建立B对A的信任关系。

[root@localhost ~]#ssh-keygen -t rsa

root@localhost ~]# ll /root/.ssh/

total 8

-rw-r--r-- 1 root root 1678 Apr 27 15:59 authorized_keys

-rw------- 1 root root 1675 Apr 27 15:55 id_rsa

-rw-r--r-- 1 root root  400 Apr 27 15:55 id_rsa.pub

将B主机的公钥证书id_rsa.pub复制到机器A主机的root家目录的.ssh子目录中,同时将文件名更换为authorized_keys

scp -r -P 22 /root/.ssh/id_rsa.pub root@192.168.100.82:/root/.ssh/authorized_keys

这样A和B主机就可以互相传文件而不需要密码了.

如果连接反应慢,请修改以下两参数

/etc/ssh/sshd_config

GSSAPIAuthentication no

UseDNS no

重启sshd

service sshd restart

################################################################################

二.使用ssh-keygen和ssh-copy-id三步实现SSH无密码登录

由于上面这样复制文件很麻烦,以下给出更为方便的方法,在做单向ssh认证时都在本端计算机进行, 即使用ssh-copy-id进行操作,它可以直接在对端生成authorized_keys文件.

    a、运行:ssh-keygen -t rsa 
    b、然后拍几下回车(均选择默认)
    c、运行: ssh-copy-id -i .ssh/id_rsa.pub "-p 6168 user1@192.168.3.192"
    d、输入被控端的密码,就可以了,这样就在对端的.ssh目录下自动生成authorized_keys,就算对端没有.ssh目录也会自动创建,这里的-p指定的是我的ssh的端口号。
实例操作:
[user1@localhost ~]$ ssh-keygen -t rsa

Generating public/private rsa key pair.

Enter file in which to save the key (/home/user1/.ssh/id_rsa):

Created directory '/home/user1/.ssh'.

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

Your identification has been saved in /home/user1/.ssh/id_rsa.

Your public key has been saved in /home/user1/.ssh/id_rsa.pub.

The key fingerprint is:

da:e3:f0:2b:93:47:15:4d:a1:dc:68:00:07:ec:41:87 user1@localhost

The key's randomart image is:

+--[ RSA 2048]----+

|     o+++  oo.   |

|      Eo o.+.    |

|     . .  =..    |

|      .  ..      |

|        S.       |

|       o.        |

|      ooo        |

|      ++..       |

|       ++.       |

+-----------------+

[user1@localhost ~]$ ssh-copy-id -i .ssh/id_rsa.pub "-p 6168 user1@192.168.3.192"

The authenticity of host '[192.168.3.192]:6168 ([192.168.3.192]:6168)' can't be established.

RSA key fingerprint is 8d:8c:22:67:68:f7:ad:1e:83:f3:4c:d4:32:d8:53:d6.

Are you sure you want to continue connecting (yes/no)? yes

Warning: Permanently added '[192.168.3.192]:6168' (RSA) to the list of known hosts.

user1@192.168.3.192's password:

Now try logging into the machine, with "ssh '-p 6168 user1@192.168.3.192'", and check in:

  .ssh/authorized_keys

to make sure we haven't added extra keys that you weren't expecting.

[user1@localhost ~]$

#这样就会自动在192.168.3.192远端机器的.ssh目录下创建authorized_keys文件.  
如果需要sudo权限,需要将本机的root的公钥放到对端账号的.ssh/authorized_keys里面.
通过shell脚本,自动生成key密钥,实现批量自动化生成和分发
#!/bin/bash

if [ ! -f ~/.ssh/id_rsa ];then

 ssh-keygen -t rsa -P "" -f ~/.ssh/id_rsa

else

 echo "id_rsa has created ..."

fi

其中:

 -t type
             指定要创建的密钥类型。可以使用:"rsa1"(SSH-1) "rsa"(SSH-2) "dsa"(SSH-2).
 -P passphrase
             提供(旧)密语.
-f filename
             指定密钥文件名.
 
 

SSH实现双向认证的更多相关文章

  1. 18.ssh远程双向无密码登陆

    #ssh远程双向无密码登陆 需求:在192.168.10.100执行ssh 192.168.20.205不需要输入密码直接跳转到205机器 #在192.168.10.100执行命令,我这里使用root ...

  2. linux运维、架构之路-Kubernetes集群部署TLS双向认证

    一.kubernetes的认证授权       Kubernetes集群的所有操作基本上都是通过kube-apiserver这个组件进行的,它提供HTTP RESTful形式的API供集群内外客户端调 ...

  3. HTTPS 双向认证构建移动设备安全体系

    HTTPS 双向认证构建移动设备安全体系 对于一些高安全性要求的企业内项目,我们有时希望能够对客户端进行验证.这个时候我们可以使用Https的双向认证机制来实现这个功能. 单向认证:保证server是 ...

  4. https单向认证和双向认证

    单向认证: .clinet<--server .clinet-->server .client从server处拿到server的证书,通过公司的CA去验证该证书,以确认server是真实的 ...

  5. phantomjs 双向认证,访问nginx,https

    应用背景: phantomjs的一个爬虫,访问https站点,单向认证(只认证服务器身份)的都可以,双向认证(服务器和客户端都需要认证)必须上传本地证书: 开始用一个包含公钥私钥的PEM证书访问,怎么 ...

  6. tomcat配置SSL双向认证

    一.SSL简单介绍 SSL(Secure Sockets Layer 安全套接层)就是一种协议(规范),用于保障客户端和服务器端通信的安全,以免通信时传输的信息被窃取或者修改. 怎样保障数据传输安全? ...

  7. NGINX 配置 SSL 双向认证

    对于 NGINX 的 HTTPS 配置,通常情况下我们只需要实现服务端认证就行,因为浏览器内置了一些受信任的证书颁发机构(CA),服务器端只需要拿到这些机构颁发的证书并配置好,浏览器会自己校验证书的可 ...

  8. ssl双向认证和单向认证原理

    有朋友在搞一个项目,周末有聊到一些安全性的东西,很自然会想起https,但https究竟如何实施,其原理又是什么? 基于ssl,一般的应用都是单向认证,如果应用场景要求对客户来源做验证也可以实现成双向 ...

  9. https 单向认证和双向认证配置

    HTTPS 是我们开发中经常用到的通信加密技术,能有效保护我们网络访问中的安全,本文主要讲解单向 和 双向 https 的配置.关于https 的实现原理在这里我就不赘述了,附上阮一峰老师的关于htt ...

随机推荐

  1. word中的域代码

    说明(2017-5-23 13:33:11): 1. Shift+F9显示域代码 2. Alt+F9显示全部域代码 3. Ctrl+F9添加一个域代码(一对大括号) 4. Ctrl+Shift+F9取 ...

  2. 【iCore4 双核心板_FPGA】例程三:计数器实验——计数器使用

    实验现象: 绿色led闪烁 核心源代码: //--------------------module_counter_ctrl--------------------// module counter_ ...

  3. ViewController之间的转场和数据传递

    ViewController之间的转场和数据传递 可以正向传递值, 反向传递值. 注意反向传值的时候,方法的位置: https://github.com/urmyfaith/GRDBUsage/blo ...

  4. grep和rgrep和fgrep

    Linux环境下. (1)grep对标签元字符的表示. [berry@berry:practice] grep 'w\(es\).*\1' text northwest NW Charles Main ...

  5. gSoap的“error LNK2001: 无法解析的外部符号 _namespaces”解决方法

    错误 2 error LNK2001: 无法解析的外部符号 _namespaces 解决方法: 1. 在工程中定义 WITH_NONAMESPACES 宏 2.尝试 "#include &q ...

  6. kafka集群中jmx端口设置

    jmx端口主要用来监控kafka集群的. 在启动kafka的脚本kafka-server-start.sh中找到堆设置,添加export JMX_PORT="9999" if [ ...

  7. hive和hbase区别和联系

    作者:有点文链接:https://www.zhihu.com/question/21677041/answer/185664626来源:知乎著作权归作者所有.商业转载请联系作者获得授权,非商业转载请注 ...

  8. 关于C#单例Singleton的看法和使用

    首先明白一点,什么是单例模式? 单例模式是指一个类在一个应用程序运行时仅仅实例化一次,以后所有的调用都使用第一次实例化的对象,是应用程序级别的,与session,用户等无关,它比全局参数或静态类方式更 ...

  9. EMERGENCY! EUREKA MAY BE INCORRECTLY CLAIMING INSTANCES ARE UP WHEN THEY'RE NOT. RENEWALS ARE LESSER THAN THRESHOLD AND HENCE THE INSTANCES ARE NOT BEING EXPIRED JUST TO BE SAFE.

    启动两个client,过了一会,停了其中一个,访问注册中心时,界面上显示了红色粗体警告信息: 查阅了很多资料,终于了解了中间的问题.现将理解整理如下: Eureka server和client之间每隔 ...

  10. eclipse配置代码自动提示

    Eclipse默认只有"."之后才有代码提示. [windows-->preferences] 把这里的点改成[.abcdefghijklmnopqrstuvwxyzABCD ...