Linux 情景 linux--建立信任关系时,你还在使用 scp 分发.pub 文件吗?

stack · 2017年04月19日 · 最后由 木马 回复于 2017年05月26日 · 1999 次阅读

情景

从一台 linux 主机的某一用户上(以 A 代表),ssh 登录到另一台 linux 主机的某一用户上(以 B 代表),或者用远程拷贝命令 scp 或 rsync 向 B 拷贝文件时,都需要输入 B 的密码。

偶尔用一次,输入一次密码倒也不算什么。但,有需求进行多次登录或拷贝,甚至希望使用脚本实现,输入密码的操作就太耗力费时了。

对于有一定 linux 基础的人来说,不难想到可以在两台主机间建立信任关系。

但,建立信任关系时,你是如何分发.pub 文件的呢?

信任关系

建立信任关系大体上需要三个步骤:

  1. 创建私钥和公钥
  2. 分发公钥
  3. 验证效果

以 A 和 B 为例,如果希望 A 登录 B 或向 B 拷贝文件时不需要输入 B 的密码,则需要在 A 上创建私钥,并将相应的公钥分发到 B 上,也就是说信任关系的建立是单向的。如果需要双向信任,则需要在 B 上进行相同的操作。

如下例子在 A 上创建私钥。

创建私钥和公钥

创建私钥前最好先查看一下~/.ssh目录下是否已经存在了私钥和公钥。

私钥和公钥一般创建后是成对存在的,如下面:

identity对应identity.pub
id_dsa对应id_dsa.pub
id_rsa对应id_rsa.pub

如果已经已经有了,可以不必重新创建。如果没有就创建下。

创建私钥的命令是ssh-keygen,本文的重点不在它,所以关于它的用法从简介绍。

$ ssh-keygen

不带任何参数运行,一路回车就搞定了。

Generating public/private rsa key pair.
Enter file in which to save the key (/home/j-tester/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /home/j-tester/.ssh/id_rsa.
Your public key has been saved in /home/j-tester/.ssh/id_rsa.pub.
The key fingerprint is:
75:c8:db:b1:b6:7b:ef:7d:ca:55:ac:84:3d:f3:95:28 j-tester@test153.tester.com
The key's randomart image is:
+--[ RSA 2048]----+
|                 |
|         . .     |
|          + o    |
|         . + =...|
|        S .E=.=.+|
|           ..o =o|
|            . . o|
|             o..o|
|            ..o+=|
+-----------------+

如上,会在~/.ssh目录下生成id_rsaid_rsa.pub

$ ls -1 ~/.ssh/
id_rsa
id_rsa.pub

分发公钥

本文主要讨论分发公钥的方式。分发公钥,简单说,就是要把 A 上的~/.ssh/id_rsa.pub的内容追加到 B 的~/.ssh/authorized_keys文件中,并为对应的文件和目录赋予权限。

方案 1

  1. 在 A 上,查看~/.ssh/id_rsa.pub的内容并复制;
  2. 登录 B,将这些内容追加到 B 的~/.ssh/authorized_keys文件中;
  3. 分发公钥后,如果 B 的~/.ssh目录和~/.ssh/authorized_keys文件是本次新建的,则还需要为它们设置权限,这里不详细讨论,一种可行的选择是:B 的~/.ssh目录权限应为 700,B 的~/.ssh/authorized_keys文件权限应为 600。

注意,这里可能存在的情况有:

  1. B 的~/.ssh目录不存在,需要你手动创建;
  2. B 的~/.ssh/authorized_keys已经存在并有其它内容,所以要把复制的内容追加进去,而不是覆盖;

方案 2

  1. 通过 scp(或 rsync)将文件~/.ssh/id_rsa.pub远程拷贝到 B 的某目录中;
  2. 再将这个文件的内容追加到 B 的~/.ssh/authorized_keys文件内;
  3. 将该文件删除掉;
  4. 同方案 1,如果 B 的~/.ssh目录和~/.ssh/authorized_keys文件是本次新建的,则还需要为它们设置权限。

注意,这里可能存在的情况有:

  1. B 的~/.ssh目录不存在,需要你手动创建;
  2. B 的~/.ssh/authorized_keys已经存在并有其它内容,所以要把复制的内容追加进去;
  3. B 的~/.ssh下存在id_rsa.pub这个文件,如果你远程拷贝到的目录是 B 的~/.ssh目录,则会将 B 的~/.ssh/id_rsa.pub给覆盖掉,所以需要你对 B 的命令和文件内容事先进行了解;

方案 3

方案 1 和方案 2 的做法,起初是我从网络上搜索知道的,结合自己的经验进行了改善(上面提到的可能存在的情况),然后一直沿用至近期。

要不是最近有同事问我创建信任关系时的命令是什么,而我又一时忘记了怎么正确拼写,这才进行了命令搜索apropos ssh想知道为什么,请看这里),我想我现在还不知道有更好的方法呢!

$ apropos ssh | fgrep "(1)"
git-shell            (1)  - Restricted login shell for GIT-only SSH access
ssh                  (1)  - OpenSSH SSH client (remote login program)
ssh [slogin]         (1)  - OpenSSH SSH client (remote login program)
ssh-add              (1)  - adds RSA or DSA identities to the authentication agent
ssh-agent            (1)  - authentication agent
ssh-copy-id          (1)  - install your public key in a remote machine's authorized_keys
ssh-keygen           (1)  - authentication key generation, management and conversion
ssh-keyscan          (1)  - gather ssh public keys

在确认了ssh-keygen的情况下,也无意间发现了ssh-copy-id

ssh-copy-id (1) - install your public key in a remote machine's authorized_keys

先看一下ssh-copy-id的用法:

$ man ssh-copy-id
NAME
       ssh-copy-id - install your public key in a remote machine’s authorized_keys
SYNOPSIS
       ssh-copy-id [-i [identity_file]] [user@]machine
DESCRIPTION
       ssh-copy-id  is a script that uses ssh to log into a remote machine (presumably using a login password, so password authentication should be enabled, unless you’ve done some clever use of multiple identities) It also changes the permissions of the remote user’s home, ~/.ssh, and ~/.ssh/authorized_keys to remove group writability (which would otherwise prevent you from logging in, if the remote sshd has StrictModes set in its configuration). 
...(省略)...

在这里,ssh-copy-id [-i [identity_file]] [user@]machine中的usermachine分别是 B 的 ${USER}和 ${HOSTNAME}。

所以,你只需要在 A 上执行命令:

$ ssh-copy-id -i ~/.ssh/id_rsa.pub j-tester@test188.tester.com

输入 B 的密码后,出现如下提示文字表示执行成功。

...(省略)...
Now try logging into the machine, with "ssh 'j-tester@test188.tester.com'", and check in:

  .ssh/authorized_keys

to make sure we haven't added extra keys that you weren't expecting.

对比

在比较顺利的情况下,方案 1 和方案 2 已然需要操作好几步,如果碰到那些可能存在的情况,还需要额外增加手工操作。而方案 3 只需要一条命令就搞定了。孰优孰劣,一目了然。

更进一步,ssh-copy-id命令其实是一个 shell 脚本,读懂它,你就能知道它为什么好用了。

验证效果

上述步骤完成后,你可以验证一下效果,最简单的莫过于直接 ssh 到远程主机上了:

如果不需要输入密码就登录成功了,则说明信任关系创建成功。

如果还是需要密码,说明创建不成功,再回去找原因。

扩展知识

  1. ssh-keygen用法;
  2. RSA 和 DSA 认证相关;
  3. ssh-copy-id的内容;
如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!
共收到 6 条回复 时间 点赞

赞👍,我昨天还用方案一建立了信任关系,早看到你这篇分享就好了。哈哈,谢谢。

不二家 回复

哈哈,方案一和二我也是一用就用了好多年啊😅

勾起了满满的回忆。

呆若木吉 回复

👉

如果要远程拷贝文件,nc 命令应该比 scp 好使很多
接收端:nc -l port | tar xzvf -
发送端:tar czvf - ./ | nc ip port

需要 登录 后方可回复, 如果你还没有账号请点击这里 注册