ssh免密登录远程主机(by rsa)

最新推荐文章于 2025-07-18 16:17:19 发布
转载 最新推荐文章于 2025-07-18 16:17:19 发布 · 1.3k 阅读 · 3 ·
CC 4.0 BY-SA版权
原文链接:https://www.ruanyifeng.com/blog/2011/12/ssh_remote_login.html
文章标签:

#ssh #rsa

本文深入解析了RSA加密算法及其在SSH公钥登录中的应用,包括密钥生成、配置过程及安全性提升方法。

也不知原创的定义是什么,照百科上的得是全新的才是原创,那就没啥好写了。
前半篇RSA的简介是参考阮一峰先生的博客。后半篇其实也能通过各种渠道搜到也不算上原创。故标记为转载。
(吐槽:这个转载原创标签太难搞了吧,还是CC好)

  • 阮一峰先生的文档信息
    版权声明:自由转载-非商用-非衍生-保持署名(创意共享3.0许可证

转载部分: 身份验证数字签名

文章目录

rsa简介

rsa

什么是rsa

RSA加密算法是一种非对称加密算法。在公开密钥加密和电子商业中RSA被广泛使用。它的基本原理是利用大数难以质因数分解,它有一对数字:

  1. 密钥(yao4):绝对不能透露给别人。
  2. 公钥:是要给别人的。

具体原理请见阮一峰的blog

rsa的用途

身份验证

所谓"公钥登录",原理很简单,就是用户将自己的公钥储存在远程主机上。登录的时候,远程主机会向用户发送一段随机字符串,用户用自己的私钥加密后,再发回来。远程主机用事先储存的公钥进行解密,如果成功,就证明用户是可信的,直接允许登录shell,不再要求密码。

数字签名

数字签名用于发行软件时防止别人篡改,具体流程是这样的:

  1. 发行者对文件进行hash校验,并把这个校验值和进行私钥加密得到数字签名,大家通过公布在网站上的公钥解开这段密文(数字签名),也就是文件的hash值。

  2. 下载者对文件进行hash校验,和1.中得到的hash值进行比对。

    上面两个步骤如何防止第三方修改,发行者加密的文件第三方当然可以通过公钥解密之后修改,但是你也无法生成(到时候用户要用公布在网站上的公钥解密的)数字签名(必须知道密钥)。

ssh用rsa方式登录远程主机

为什么要用rsa登录

  1. 方便,每次登录不用输密码。
  2. 安全,禁用密码登录后,不怕别人猜到密码。

文件信息

本文会涉及两个文件夹,一个是在客户端(client),一个是服务器端(server):

  • rsa 密钥位置(client):~/.ssh/
  • ssh 配置文件(server):/etc/ssh/sshd_config

client 和 server 是相对的概念,在一次连接中,主动寻求连接的是 client ,被连的是 server。

操作

client

  1. 生成密钥对:rsa 和 rsa.pub
ssh-keygen -t rsa

得到

Generating public/private rsa key pair.
# 输入rsa对(`id_rsa`和`id_rsa.pub`)名称(带路径)
Enter file in which to save the key (/home/user/.ssh/id_rsa):
# 输入密码,使用rsa密钥时(这里就是登录远程主机时)用的
Enter passphrase (empty for no passphrase):
Enter same passphrase again:

将会生成

  • rsa: 密钥
  • rsa_rsa.pub: 公钥
  1. rsa.pub附加到server ~/.ssh/authorized_keys的文件内
# Following 2 codes are excuted on client
ssh-copy-id [-i ~/.ssh/rsa.pub] user@host
# or
ssh user@host 'mkdir -p .ssh && cat >> .ssh/authorized_keys' < ~/.ssh/id_rsa.pub

一个粗暴的办法,复制client内的id_rsa.pub的内容,登录server,附加到~/.ssh/authorized_keys

server

  1. /etc/ssh/sshd_config 的配置
PubkeyAuthentication yes
AuthorizedKeysFile	.ssh/authorized_keys #.ssh/authorized_keys2
PasswordAuthentication yes

可以找到相应的项并取消注释。

参数解释
PubkeyAuthentication yes允许公钥登录
AuthorizedKeysFile .ssh/authorized_keys #.ssh/authorized_keys2由 client 生成的公钥,可以添加多个
PasswordAuthentication yes是否允许用密码登录
(禁用后,如果密钥丢失就不能登录远程主机了)

可能你的系统用的是第一版ssh协议需要添加 RSAAuthentication yes 这一项来允许rsa方式登录,或者在/etc/ssh/sshd_config添加

Protocol 2

更多详细帮助见man sshd_config

  1. 重启远程主机的sshd服务
# systemctl restart sshd

附:不用输入name@ip的方法——~/.ssh/config的配置

Host ubuntu
	HostName X.X.X.X
	Port 22
	User name
	IdentityFile ~/.ssh/id_rsa
参数意思
HostName 192.168.1.2远程主机 ip, ssh name@ip 中的ip
Port 22远程主机 端口号(port), 默认是22,termux: 8022
User name登录名, ssh name@ip 中的name
IdentityFile ~/.ssh/id_rsarsa密钥,对应的公钥放在server上了
  • 更多参数详见帮助man ssh_config

这样就可以直接通过

ssh ubuntu

来登录远程主机

附:ssh-keygen 公钥如果丢失,由私钥生成公钥

ssh-keygen -y -f id_rsa > id_rsa.pub

生成的id_rsa.pub 相比于自动生成的少了最后一项,但是没关系因为rsa.pub格式
一般分为三部分:密钥类型、base64编码后的密钥、注释(可选)。中间用空格分开。

附:ssh 时的fingerprint作用

$ ssh localhost
The authenticity of host 'localhost (127.0.0.1)' can't be established.
ECDSA key fingerprint is SHA256:o2cGXCQtdhvWUXG8liYGWJrhVuP4YF9/E839KY1HqH4.
Are you sure you want to continue connecting (yes/no)?

这个是为了防止我连接的server不是我想连的server,有可能是假的。这个fingerprint是用来确认server的身份的。这个就是我们之前提到的rsa公钥,只不过这次的fingerprint是server的。

CentOS Stream9设置SSH免密登录002篇-非交互式
老韩的Linux云计算架构师进阶之路
03-19 521
【代码】CentOS Stream9设置SSH免密登录002篇-非交互式。
Linux - 配置SSH免密登入 - “ssh-keygen”的基本用法
weixin_46232508的博客
05-28 1141
1.配置SSH免密登录 说明: 这里演示所用的服务器操作系统是Cent OS 7. 我们的目标是: A服务器(192.168.140.110)免密登录 B服务器 (192.168.140.120). 注意: ssh连接是单向的, A能免密登录B, 并不能同时实现B能免密登录A. 2.安装必需的软件 在操作之前, 先确保所需要的软件已经正常安装. 这里我们需要安装ssh-keygen和ssh-copy-id, 安装方式如下: [root@localhost ~]# yum install -y ssh-k
SSH免密码登录(RSA)
热门推荐
weixin_42125267的博客
08-25 1万+
环境介绍: 192.168.74.11    server1 192.168.74.12    server2 192.168.74.13    server3 # 步骤一: # 每个节点执行 [root@localhost ~]#  cat &gt;&gt;/etc/hosts &lt;&lt;EOF 192.168.74.11    server1 192.168.74.12    serv...
dbeaver连接数据库提示host key fingerprint
weixin_56290662的博客
07-28 187
删除C:\Users\Administrator\.ssh\known_hosts文件中的数据,重新连接即可。
Could not verify ssh-ed25519 host key with fingerprint 问题解决
qq_31665923的博客
12-27 2765
ssh报错could not verify ssh-ed25519
SSH-RSA密钥
csdnstudyuan的博客
07-27 7392
rsa密钥在linux和window环境生成方法,ssh免密登录linux以及gitee和github的密钥使用场景.
linux命令:ssh scp ssh-keygen -t rsa用法
weixin_34415923的博客
12-20 502
SSH远程连接命令: 用法格式:ssh IPADDR 不指定用户则以当前主机登录系统的用户身份去登录远程主机 ssh USERNAME@IPADDR 通过ssh协议以某用户身份远程登录到某主机Usage: ssh root@192.168.1.100 以root身份通过ssh协议远程登录到192.168.1.100主机 ssh -l USERNAME ...
【最新】VsCode配置ssh免密远程登录服务器
最新发布
weixin_44236302的博客
07-18 718
在vscode搜索“Remote - SSH”,直接安装就行1.Win+R进入cmd命令:输入, 2.然后连续回车直到结束【切记不要输入密码这里,一直回车就好】 3.找到.ssh 这个文件夹,使用记事本打开 id_rsa_pub 这个文件【列如我的路径为C:\Users\jiewang7.ssh】,打开后把里面的内容复制好。1.在终端命令行:输入, 2.然后连续回车直到结束【切记不要输入密码这里,一直回车就好】 3.找到.ssh 这个文件夹【列如我的路径为/home/lubancat/.ssh】 4.在.s
【Linux系统管理黄金攻略】:SSH免密登录配置与错误处理技巧
本文全面探讨了SSH免密登录技术的基础知识、配置实践、错误处理技巧以及高级应用案例。首先介绍了SSH协议和免密登录的原理,然后详细阐述了密钥对的生成、管理以及具体的配置步骤。针对常见的登录错误,本文提供了...
排错:ssh免密登入——WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!报错
CN_LiTianpeng的博客
09-18 605
场景 给两台服务器互相配置免密登入,其中一台服务器故障,我们当时决定用另一台服务器来替换并且ip地址还是使用之前的地址。替换后发现免密登入无效,出现WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!报错 示例 [root@mysql1 ~]# scp mysql-boost-5.7.20.tar.gz 20.0.0.19:/root //之前做过免密登入,远程出现下面报错 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
RSASSH
qq_56947957的博客
11-26 1264
在实际使用中,比如在 Git 配置 SSH 密钥时,你实际上使用的是 SSH 协议下的 RSA 密钥对。SSH 使用加密算法(如 RSA)来保护连接。
通过命令ssh-keygen -t rsa 获取公钥
weixin_51482243的博客
11-28 6575
在 Linux 中 SSH 是 非常常用 的工具,通过 SSH 客户端 我们可以连接到运行了 SSH 服务器 的远程机器上,SSH 为 Secure Shell 的缩写,SSH 为建立在应用层基础上的安全协议。Enter file in which to save the key (/c/Users/chen/.ssh/id_rsa):指定生成的文件名。在我的/c/Users/chen/.ssh文件夹下,会有几个文件,cd ~/.ssh/id_rsa进入到这个目录。使用-t选项指定要生成的密钥的类型。
RSA加密算法和SSH远程连接服务器
06-28 591
服务器端与客户端的密钥系统不一样,称为非对称式密钥系统 RSA算法的基础是模运算x mod n,事实上: [(a mod n) + (b mod n)] mod n = (a+b) mod n [(a mod n) - (b mod n)] mod n = (a-b) mod n [(a mod n) * (b mod n)] mod n = (a*b) mod n 因此有(a...
SSH(远程登录)原理
weixin_30355437的博客
02-04 422
最近在研究hadoop,因为是分布式的,会涉及很多机器协作工作,但所有的操作都是需要进行权限验证的,namenode主机会尝试启动datanode主机上的进程等等。下面就用一张图来解释SSH登录验证的原理. 注意上面说明中的1和2都是手动执行的 第一步手动执行生成公钥和私钥对命令为ssh-keygen这个在ssh手册中是可以查询到的 执行上面的命令后会提示将生成的公钥及私钥对存放到哪里,...
集群节点间SSH免密登录配置
Dev_YH的博客
08-27 2119
SSH免密登录配置 1)进入 /home/hadoop/.ssh,没有.ssh目录,可自己创建,进入.ssh目录,执行下面命令,生成公钥和私钥: [hadoop@hadoop102 .ssh]$ ssh-keygen -t rsa 然后敲(三个回车),就会生成两个文件id_rsa(私钥)、id_rsa.pub(公钥) 2)将公钥拷贝到要免密登录的目标机器上 [hadoop@hadoop102 .ssh]$ ssh-copy-id hadoop102 [hadoop@hadoop102 .ssh]$ ss
ssh免密rsa登录
zhk
08-04 680
ssh免密码登录
id_rsa 、id_rsa.pub与数字签名与数字证书
MarryAndy‘s battlefield
08-28 1365
一.在服务器上生成私钥与公钥 执行ssh-keygen命令,会在~目录(即HOME,该用户工作分支)下.ssh文件夹下生成两把钥匙id_rsa (私钥)与 id_rsa.pub(公钥)。如下图,为私钥输入密码的时候不回显,其实是输入进去的。当然两次密码输入不一致还是会让你重新输入的如下图: 二.证书登录与密码登录 ssh有密码登录和证书登录,初学者都喜欢用密码登录,甚至是root账户登录,密码是123456。但是在实际工作中,尤其是互联网公司,基本都 是证书登录的。内网的机器有可能是通过密码登录的,但在外
ssh协议中涉及的各种key
xiaomibuqiang91的博客
11-18 4111
问题: 什么是session key?什么是hostkey?什么是user key?什么是known-hosts?
ssh跳过RSA key fingerprint输入yes/no
萌萌小七的专栏
07-20 7327
在配置大量的节点之间需要ssh连通的时候,如果自动复制很多节点,都需要输入yes,两两节点之间都要互通一次,这样会造成很大的麻烦。 解决办法很简单,修改/etc/ssh/ssh_config 找到这一行 # StrictHostKeyChecking ask 把ask修改为no即可 StrictHostKeyChecking no
集群ssh免密配置
05-14
### 配置集群 SSH 免密登录 #### 1. 准备工作 在配置集群中的 SSH 免密登录之前,需要确保每台机器都已经安装了 OpenSSH 客户端和服务端软件。可以通过以下命令验证是否已安装: ```bash ssh -V ``` 如果未安装,则可以在基于 Debian 的系统中通过 `apt-get install openssh-client` 和 `apt-get install openssh-server` 进行安装,在基于 RedHat 的系统中则使用 `yum install openssh-clients` 和 `yum install openssh-server`。 --- #### 2. 创建公私钥对 在每台服务器上生成一对 RSA 密钥(公钥和私钥)。假设当前用户的家目录为 `/home/haha1`,执行如下命令来创建 `.ssh` 文件夹以及生成密钥对: ```bash cd /home/haha1 && mkdir ~/.ssh && chmod 700 ~/.ssh ssh-keygen -t rsa ``` 此过程会提示输入文件名存储位置,默认为 `~/.ssh/id_rsa`;接着设置密码短语(可留空以跳过),最后生成两个文件:`id_rsa`(私钥) 和 `id_rsa.pub`(公钥)[^1]。 --- #### 3. 设置本地免密登录 为了测试单机环境下的无密码认证机制正常运作,需将自身的公钥复制至 authorized_keys 中: ```bash cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys chmod 600 ~/.ssh/authorized_keys ``` 上述指令把 id_rsa.pub 内容追加到 authorized_keys 文件里,并调整权限防止其他用户读取敏感数据[^2]。 --- #### 4. 将各节点的公钥分发给所有节点 对于分布式计算框架如 Hadoop 来说,通常会有多个物理或者虚拟节点组成一个逻辑上的整体运算单元。为了让这些成员之间能够互相无障碍通信而无需每次都提供身份凭证,必须让每一个参与方知晓彼此的身份标识即交换各自的 public keys. 具体做法是从 master 节点开始收集 slave(s) 上面产生的 pubic key 并集中管理再广播回去: ```bash for node in $(cat nodes_list); do scp ~/.ssh/id_rsa.pub ${node}:~/; done ``` 这里假定有一个名为nodes_list 的文本档列出了所有目标主机地址列表。之后进入任一子节点合并收到的新key 到统一集合当中去: ```bash cat ~/id_rsa.pub >> ~/.ssh/authorized_keys && rm ~/id_rsa.pub ``` 重复以上动作直至覆盖整个网络范围内的全部设备为止[^3]. --- #### 5. 解决可能遇到的问题 即使完成了前面提到的各项准备工作,实际运行过程中仍可能出现某些异常状况比如连接超时等问题。“ssh_exchange_identification: read: Connection reset by peer”的错误可能是由于频繁失败尝试致使远程站点暂时封锁IP 地址所致。此时应该检查 `/etc/sshd.deny.hostguard` 或者相似命名模式的日志文档寻找对应条目加以移除后再重试链接请求[^4]: ```bash nano /etc/sshd.deny.hostguard # 找到对应的 IP 删除后保存退出 service sshd restart ``` --- ### 总结 完成上述步骤后,理论上就可以实现在指定范围内任何两点间的无缝切换操作而不必担心繁琐的手动验证流程干扰正常使用体验了。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值