双机之间SSH无密码验证

双机之间SSH无密码验证

SSH（Secure Shell）在linux中ssh有很多用途。由于它对传输的数据进行加密和压缩，使得其比telnet等更安全。

ssh提供两种安全验证方式：基于口令和基于密钥。

基于口令的方式中，客户端需提供用户名和口令，在频繁使用时，可能感觉不方便，因此可以采用基于密钥的方式。该方式中，一次分发密钥后，验证将由程序自动进行，且安全性比基于口令方式更强。

原理：

ssh双方，通过相应帐号主目录下的.ssh目录中的id_rsa,id_rsa.pub和authorized_keys文件中密钥进行验证（如/root/.ssh/）。

• id_rsa，自己的rsa私钥；
  
• id_rsa_pub，自己的rsa公钥；
  
• authorized_keys，存放rsa客户端的公钥。
  

通信过程：

1. 客户端向ssh服务器发出连接请求，请求用密匙进行安全验证，该请求包含请求的帐号和自己的公钥。
   
2. ssh服务器收到请求后，先在服务器的用户目录下对应帐号目录中寻找你的公用密钥(即／home/$user/.ssh/authorized_keys文件中)，如果找到的公钥与客户端发来的公钥一致，则开始进行下一步“质询”。
   
3. 服务器用该公钥加密“质询”（challenge）信息，并发送绐客户端。
   
4. 客户端收到加密的质询信息后，用自己的密钥对其解密，并将解密后的信息发送回服务器。
   
5. 服务器验证客户端返回的质询信息正确后，验证结束，双方开始通信。
   

配置文法：

假如要使A机ssh到B机时无需口令，只需两步：

1. 在A机执行ssh-keygen -t rsa生成用于ssh验证的rsa密钥（如果已有，则可不用不用再次生成）；
   
2. 将生成的id_rsa.pub公钥内容添加到B机对应帐号的.ssh下的authorized_keys文件中(如对于root帐号则为/root/.ssh/authorized_keys)。
   

ssh-keygen -t rsa 命令执行时输入信息如下：

1. zhangtao@zhangtao-desktop:~$ ssh-keygen -t rsa
2. Generating public/private rsa key pair.
3. Enter file in which to save the key (/home/zhangtao/.ssh/id_rsa): //密钥保存位置，直接回车保持默认；
4. Created directory '/home/zhangtao/.ssh'.
5. Enter passphrase (empty for no passphrase): //设置密钥的密码，空密码直接回车即可；
6. Enter same passphrase again: //确认上一步设置的密码。

密钥生成后会提示保存位置和密钥信息：

1. Your identification has been saved in /home/zhangtao/.ssh/id_rsa.
2. Your public key has been saved in /home/zhangtao/.ssh/id_rsa.pub.
3. The key fingerprint is:
4. 6b:f5:d4:14:19:74:9e:ef:1c:7f:56:d5:84:74:74:ee zhangtao@zhangtao-desktop
5. The key's randomart image is:
6. +--[ RSA 2048]----+
7. |            +o   |
8. |            . +. |
9. |            o = o|
10. |         o . + B |
11. |         S * * E |
12. |       . o B + . |
13. |          . o . .|
14. |               . |
15. |                 |
16. +-----------------+

之后将生成的id_rsa.pub文件内容附加到B机对应帐号下的authorized_keys文件即可，如：/home/root/.ssh/authorized_keys。

authorized_keys 文件说明：

该文件每一行包含一个ssh客户端的rsa公钥，例如：

1. ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA0EmxseCe(太长省略了) zhang@node1
2. ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAmrVo9jp0(太长省略了) root@node2

格式：keyType pubKeys username@hostname.domain

• keyType 为密钥类型，rsa加密为ssh-rsa，dsa加密则为ssh-dsa；
• pubKey 则为对应加密方式的公钥；
• username为对应的用户号名，客户机登录到主机后将具有该用户的权限；
• hostname.domain则为客户机的计算机名，可以使用通配符*代表所有主机，例如要使所有具有该密钥的主机都能以root用户登录到本机，则可写为 root@* 或 root@*.cluster（允许cluster域中所有主机，需有dns支持）；
  

known_hosts 文件说明：

用于对远程主机进行身份鉴别。

known_hosts顾名思义，已知的主机。该文件存放远程主机的ssh主机公钥（不同于用于登录的密钥），用于对主机进行指纹（fingerprint）验证，确保你要登录到的主机确实是你请求的主机，防止伪造的第三方欺骗。在使用ssh时经常由于此处出错。

格式：hostname,IP keyType pubKey

• hostname为主机的计算机名，IP为其IP地址，两者均可使用通配符 * 代表所有主机。
  
• keyType 为密钥类型，rsa加密为ssh-rsa，dsa加密则为ssh-dsa；
• pubKey 则为对应加密方式的公钥；

该文件使用方式如下：（A登录到B机）

1. A机要求B机的主机公钥，B机响应本机的主机公钥；
2. 如果A机是第一次登录到B机，则由于A机的known_hosts中没有B机的信息，因此会提示本地没有B机信息，并询问用户该信息是否属实，并保存在本地的known_hosts；
3. 如果本地的known_hosts已有B机的信息，则对比该信息，确认B机的身份。如果对比结果不同，则提示用户B机改变，该B机可能是的，伪造的第三方欺骗。此时ssh将退出，停止登录。