使用ssh keys实现免验证登陆远程服务

引言

------------------
程序员或者服务器运维人员在日常工作中，经常会遇到很多台服务器需要管理的情况，如果服务器多了，一般的做法都是通过一个ssh客户端工具来管理，例如：securityCRT、Xshell、putty等远程工具，这类工具有两个特点：
1.可以将服务器存储成一个列表，配置一次服务器信息之后，下次直接双击就可以使用；
2.可以保存账号密码，端口，ip地址等信息，备注一个简单易记的名字之后，还可以分组管理，实现多台机器的管理；

那么对于linux的使用者或者没有工具的人员，如何使用系统自带的ssh客户端去实现和远程服务器的免密码登陆呢？本文基于Ubuntu18.04系统，自带的命令行ssh客户端测试通过。

一、什么是SSH？
------------------
简单说，SSH是一种网络协议，用于计算机之间的加密登录。

如果一个用户从本地计算机，使用SSH协议登录另一台远程计算机，我们就可以认为，这种登录是安全的，即使被中途截获，密码也不会泄露。

最早的时候，互联网通信都是明文通信，一旦被截获，内容就暴露无疑。1995年，芬兰学者Tatu Ylonen设计了SSH协议，将登录信息全部加密，成为互联网安全的一个基本解决方案，迅速在全世界获得推广，目前已经成为Linux系统的标准配置。

需要指出的是，SSH只是一种协议，存在多种实现，既有商业实现，也有开源实现。本文针对的实现是OpenSSH，它是自由软件，应用非常广泛。

二、SSH应用的场景
------------------
常见的SSH应用场景有：
1. Git、SVN等CVS（版本控制系统，System Version System）的身份认证，都需要本机生成ssh密钥对，然后和代码仓库进行交换鉴权；
2. 远程连接服务器的时候，需要通过ssh客户端和远程服务器互认；
3. 其他需要计算机之间互相认可时候的场景

三、如何通过ssh keys实现免验证登陆远程服务器（基于Ubuntu18.04）
-----------------

1. 检查自己本地是否已经生成了ssh的密钥对，在~/.ssh下有对应的id_rsa（密钥）、id_rsa.pub（公钥）文件，如果没有，可以通过命令

ssh-keygen

生成,直接回车即可，默认生成在 /home/<username>/.ssh 目录下
确认.ssh存在并且存在公钥、密钥之后进行下一步操作；

2. ssh-copy-id是一个ssh公钥拷贝工具，在很多系统多都有预装，通过命令

ssh-copy-id <username>@<remote_host>

输入密码之后，会提示 # Are you sure you want to continue connecting (yes/no)? # 键入yes回车即可，这里的操作是将ssh的公钥复制到远程服务器的可信名单中，下次通过该认证名单即可免验证登陆服务器。ssh-copy-id的默认连接端口是22，如果是其他的端口，可以使用命令

ssh-copy-id -p <port> <username>@<remote_host>

配置。

3. 如果配置完成，通过ssh连接登陆命令

ssh [-p <port>] <username>@<remote_host>

即可实现免验证登陆远程服务器；

4. 如果希望远程服务器只能通过ssh密钥认证登陆，那么可以关闭远程服务器的密码登陆功能：
　　I. 登陆远程服务器：

ssh [-p <port>] <username>@<remote_host>

　　II.  编辑ssh服务端配置文件

vim /etc/ssh/sshd_config

　　III. 搜索修改 PasswordAuthentication <config> ===> PasswordAuthentication no
　　IV. 重新启动ssh服务端程序
　　V. 即可禁止通过ssh密码远程登陆远程服务器

注：第2步可以通过手动将本机的公钥复制到远程服务器的认证密钥文件中实现相同功能，操作如下：

cat ~/.ssh/id_rsa.pub | ssh [-p <port>] <username>@<remote_host> "mkdir -p ~/.ssh && touch ~/.ssh/authorized_keys && chmod -R go= ~/.ssh && cat >> ~/.ssh/authorized_keys"

该命令主要是将本机的ssh公钥复制到远程服务器的用户目录下的.ssh/authorized_keys，实现远程服务器对各个客户端的辨别感知能力