从一台 linux 主机的某一用户上(以 A 代表),ssh 登录到另一台 linux 主机的某一用户上(以 B 代表),或者用远程拷贝命令 scp 或 rsync 向 B 拷贝文件时,都需要输入 B 的密码。
偶尔用一次,输入一次密码倒也不算什么。但,有需求进行多次登录或拷贝,甚至希望使用脚本实现,输入密码的操作就太耗力费时了。
对于有一定 linux 基础的人来说,不难想到可以在两台主机间建立信任关系。
但,建立信任关系时,你是如何分发.pub 文件的呢?
建立信任关系大体上需要三个步骤:
以 A 和 B 为例,如果希望 A 登录 B 或向 B 拷贝文件时不需要输入 B 的密码,则需要在 A 上创建私钥,并将相应的公钥分发到 B 上,也就是说信任关系的建立是单向的。如果需要双向信任,则需要在 B 上进行相同的操作。
如下例子在 A 上创建私钥。
创建私钥前最好先查看一下~/.ssh目录下是否已经存在了私钥和公钥。
私钥和公钥一般创建后是成对存在的,如下面:
identity对应identity.pub
id_dsa对应id_dsa.pub
id_rsa对应id_rsa.pub
如果已经已经有了,可以不必重新创建。如果没有就创建下。
创建私钥的命令是ssh-keygen,本文的重点不在它,所以关于它的用法从简介绍。
$ ssh-keygen
不带任何参数运行,一路回车就搞定了。
Generating public/private rsa key pair.
Enter file in which to save the key (/home/j-tester/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/j-tester/.ssh/id_rsa.
Your public key has been saved in /home/j-tester/.ssh/id_rsa.pub.
The key fingerprint is:
75:c8:db:b1:b6:7b:ef:7d:ca:55:ac:84:3d:f3:95:28 j-tester@test153.tester.com
The key's randomart image is:
+--[ RSA 2048]----+
| |
| . . |
| + o |
| . + =...|
| S .E=.=.+|
| ..o =o|
| . . o|
| o..o|
| ..o+=|
+-----------------+
如上,会在~/.ssh目录下生成id_rsa和id_rsa.pub:
$ ls -1 ~/.ssh/
id_rsa
id_rsa.pub
本文主要讨论分发公钥的方式。分发公钥,简单说,就是要把 A 上的~/.ssh/id_rsa.pub的内容追加到 B 的~/.ssh/authorized_keys文件中,并为对应的文件和目录赋予权限。
~/.ssh/id_rsa.pub的内容并复制;~/.ssh/authorized_keys文件中;~/.ssh目录和~/.ssh/authorized_keys文件是本次新建的,则还需要为它们设置权限,这里不详细讨论,一种可行的选择是:B 的~/.ssh目录权限应为 700,B 的~/.ssh/authorized_keys文件权限应为 600。注意,这里可能存在的情况有:
~/.ssh目录不存在,需要你手动创建;~/.ssh/authorized_keys已经存在并有其它内容,所以要把复制的内容追加进去,而不是覆盖;~/.ssh/id_rsa.pub远程拷贝到 B 的某目录中;~/.ssh/authorized_keys文件内;~/.ssh目录和~/.ssh/authorized_keys文件是本次新建的,则还需要为它们设置权限。注意,这里可能存在的情况有:
~/.ssh目录不存在,需要你手动创建;~/.ssh/authorized_keys已经存在并有其它内容,所以要把复制的内容追加进去;~/.ssh下存在id_rsa.pub这个文件,如果你远程拷贝到的目录是 B 的~/.ssh目录,则会将 B 的~/.ssh/id_rsa.pub给覆盖掉,所以需要你对 B 的命令和文件内容事先进行了解;方案 1 和方案 2 的做法,起初是我从网络上搜索知道的,结合自己的经验进行了改善(上面提到的可能存在的情况),然后一直沿用至近期。
要不是最近有同事问我创建信任关系时的命令是什么,而我又一时忘记了怎么正确拼写,这才进行了命令搜索apropos ssh(想知道为什么,请看这里),我想我现在还不知道有更好的方法呢!
$ apropos ssh | fgrep "(1)"
git-shell (1) - Restricted login shell for GIT-only SSH access
ssh (1) - OpenSSH SSH client (remote login program)
ssh [slogin] (1) - OpenSSH SSH client (remote login program)
ssh-add (1) - adds RSA or DSA identities to the authentication agent
ssh-agent (1) - authentication agent
ssh-copy-id (1) - install your public key in a remote machine's authorized_keys
ssh-keygen (1) - authentication key generation, management and conversion
ssh-keyscan (1) - gather ssh public keys
在确认了ssh-keygen的情况下,也无意间发现了ssh-copy-id:
ssh-copy-id (1) - install your public key in a remote machine's authorized_keys
先看一下ssh-copy-id的用法:
$ man ssh-copy-id
NAME
ssh-copy-id - install your public key in a remote machine’s authorized_keys
SYNOPSIS
ssh-copy-id [-i [identity_file]] [user@]machine
DESCRIPTION
ssh-copy-id is a script that uses ssh to log into a remote machine (presumably using a login password, so password authentication should be enabled, unless you’ve done some clever use of multiple identities) It also changes the permissions of the remote user’s home, ~/.ssh, and ~/.ssh/authorized_keys to remove group writability (which would otherwise prevent you from logging in, if the remote sshd has StrictModes set in its configuration).
...(省略)...
在这里,ssh-copy-id [-i [identity_file]] [user@]machine中的user和machine分别是 B 的 ${USER}和 ${HOSTNAME}。
所以,你只需要在 A 上执行命令:
$ ssh-copy-id -i ~/.ssh/id_rsa.pub j-tester@test188.tester.com
输入 B 的密码后,出现如下提示文字表示执行成功。
...(省略)...
Now try logging into the machine, with "ssh 'j-tester@test188.tester.com'", and check in:
.ssh/authorized_keys
to make sure we haven't added extra keys that you weren't expecting.
在比较顺利的情况下,方案 1 和方案 2 已然需要操作好几步,如果碰到那些可能存在的情况,还需要额外增加手工操作。而方案 3 只需要一条命令就搞定了。孰优孰劣,一目了然。
更进一步,ssh-copy-id命令其实是一个 shell 脚本,读懂它,你就能知道它为什么好用了。
上述步骤完成后,你可以验证一下效果,最简单的莫过于直接 ssh 到远程主机上了:
如果不需要输入密码就登录成功了,则说明信任关系创建成功。
如果还是需要密码,说明创建不成功,再回去找原因。
ssh-keygen用法;ssh-copy-id的内容;