计算机网络之ssh配置（Linux操作系统中）

免密登录，要配置好ssh互信

原理：当客户端和服务端的公私钥都已经分配完了，从客户端u1登录服务端u1，会先发一个请求（指明以服务端u1身份登录服务端），服务端收到请求后，服务端会生成一个随机数假设123，用客户端u1的公钥加密，生成密文，发给客户端，客户端u1用私钥解密，得到123，客户端将123发给服务端，服务端对比发来的123和生成的随机数123，结果一样。

步骤（用172.16.3.36的u1登录172.16.3.37的u1）：
客户机：
1、生成用户的公私钥(保存在家目录/.ssh/)
ssh-keygen
id_rsa 私钥文件
id_rsa.pub 公钥文件
如下：[u1@centos—text .ssh]$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/u1/.ssh/id_rsa): （回车，默认）
Enter passphrase (empty for no passphrase): （保护私钥文件的密码，回车也可以）
Enter same passphrase again: （一路回车）
Your identification has been saved in /home/u1/.ssh/id_rsa.
Your public key has been saved in /home/u1/.ssh/id_rsa.pub.
The key fingerprint is:
09:18:82:9f:92:e5:10:8e:cc:af:6a:19:05:b3:ad:3b root@centos—text
The key’s randomart image is:
±-[ RSA 2048]----+
|.o. . |
|Bo… o |
|.X=… . |
|o.=o . . |
| .o. S |
| o. |
| .+ |
|.E |
|o . |
±----------------+
[u1@centos—text .ssh]$ 公私钥生成完成了

2、将公钥放到远程主机（服务器）上某个用户名下
方法一、ssh-copy-id 用户 @ip
服务器随机123
如下：[u1@centos—text .ssh]$ ssh-copy-id u1@172.16.3.37
The authenticity of host ‘172.16.3.37 (172.16.3.37)’ can’t be established.
RSA key fingerprint is 9b:db:66:62:24:d5:82:3c:37:68:57:4e:0e:26:a4:37.
Are you sure you want to continue connecting (yes/no)? yes

成功登陆了
方法二、手工将客户端该用户的公钥（就是一行，在/home/u1/.ssh/id_rsa.pub
中）放到服务端相应用户的/.ssh/authorized_keys中去（没有就创建）
3、验证
Ssh u1@172.16.3.37
如下：[u1@centos—text .ssh]$ ssh u1@172.16.3.37
[u1@rehl6–text ~]$

以上三个步骤是客户端免密登录服务端，如果想要服务端免密登录客户端只需要在服务端进行以上三个步骤即可。

.ssh中文件的权限非常重要。

配置文件
客户端ssh配置文件：/etc/ssh/ssh_config 客户端文件改了不用重启
服务端配置文件：/etc/ssh/sshd_config 重启sshd才会生效service sshd restart

服务端配置文件配置：
1、配置端口

默认22，可以改，改的话，删除#，改后面的值
端口在那个IP地址开放，ListenAddress，后面的ip就是开放的IP地址
2、是否允许root登录

默认允许root登录，可以改，改的话，删除#，改为no
如果不允许root用户登录，普通用户可以登录，但是又想用root用户，可以用普通用户登进去后su root
MaxAuthTries允许输错密码的次数，到达6次就断开了，可以改
3、能否通过密钥登录，默认可以，可以改

只想用密码登录，不想用密钥登录，将PasswordAuthentication 设为yes，将 PubkeyAuthentication设置为no。

PermitEmptyPasswords是否允许空密码登录，默认不允许