只想知道 发表于 2015-1-14 20:43:04

给大家带来CentOS多台办事器共用密钥ssh主动上岸

欢迎大家来到仓酷云论坛!比来在研讨主动上岸的linux办事器的器材。本篇为关于ssh的秘钥主动上岸。
update:2014.3.94:21PM,昨晚写完这篇以后,发明IBM的网上有篇关于ssh认证的完全形貌。快乐了。。
https://www.ckuyun.com/developerworks/cn/linux/security/openssh/part1/


料想:linux的秘钥发生与办事器有关,只和加密的体例(接纳rsa或dsa)另有passphrase(暗码短语,在天生秘钥的时分输出的)有关。
假如是如许的话,统一对秘钥可使用在多台办事器上,由于关于办事器和客户端来讲,他们在通讯的时分只需考证秘钥和公钥是不是婚配。
即存在一个global的公钥寄存在ssh办事器上,而多台客户端则利用的统一秘钥上岸ssh办事器上。


测试情况:本机windows利用secureCRT客户端,两台redhat6.3的假造机(linuxA和B,192.168.1.2/3)。虚机与主机利用桥接收集,处于统一局域网。


测试历程:
注:公钥通常为pub开头,可是办事器考证的文件是authorized_key,以是要把pub文件的内容转进authorized_key。pub文件自己没用。
1、利用CRT天生秘钥对,将公钥上传到linuxA,乐成上岸后,cpoyA机中的公钥至B机中,完成CRT主动上岸B机,考证公钥为通用。
起首利用CRT天生秘钥:
1.利用SecureCRT创立私钥和公钥(SetPassphrase能够设置为空暗码,对照方面考证)
SecureCRT:QuickConnect->Authentiation->PublicKey->Properties->CreateIdentityFile->DSA/RSA->SetPassphrase->Done
这个时分在指定目次会天生两个文件,比方,私钥my_rsa和公钥my_rsa.pub
2.linux办事器上创建.ssh目次,一样平常情形下,已有这个目次(变动权限很主要,认证的时分权限不是700不给经由过程)
#mkdir/root/.ssh
#chmod700/root/.ssh
3.将公钥my_rsa.pub传到linux办事器,将SSH2兼容格局的公钥转换成为Openssh兼容格局(一般情形是ssh2,不扫除ssh1)
#ssh-keygen-i-fIdentity.pub>>/root/.ssh/authorized_keys2
#chmod600/root/.ssh/authorized_keys2
4.在SecureCRT内里设置登录形式为PublicKey,并选择方才创立的my_rsa文件作为私钥
5.重启Linux办事器上SSH办事器(测试貌似不必重启办事也能失效)
#servicesshdrestart大概/etc/rc.d/init.d/sshdrestart


此阶段,测试乐成,A和B机利用的统一对authorized_keys2,CRT都能完成主动上岸。


2、在B机中天生秘钥对,将公钥复制到A中,完成B机主动上岸A,然后将B的秘钥传已往,把A的authorized_keys2内容写进B的authorized_keys2文件中,完成A主动上岸B。


步调1:用ssh-key-gen在当地主机上创立公钥和密钥
local-host$ssh-keygen-trsa

Enterfileinwhichtosavethekey(/home/jsmith/.ssh/id_rsa):
Enterpassphrase(emptyfornopassphrase):
Entersamepassphraseagain:
Youridentificationhasbeensavedin/home/jsmith/.ssh/id_rsa.
Yourpublickeyhasbeensavedin/home/jsmith/.ssh/id_rsa.pub.
Thekeyfingerprintis:33:b3:fe:af:95:95:18:11:31:d5:de:96:2f:f2:35:f9
local-host

步调2:用ssh-copy-id把公钥复制到近程A主机上
local-host$ssh-copy-id-i~/.ssh/id_rsa.pubroot@192.168.1.2
remote-host‘spassword:
Nowtryloggingintothemachine,withDssh?remote-host‘‖,andcheckin:
.ssh/authorized_keystomakesurewehaven‘taddedextrakeysthatyouweren‘texpecting.
[注:ssh-copy-id把密钥追加到近程主机的.ssh/id_rsa上.]

步调3:间接登录A近程主机
local-host$sshroot@192.168.1.2
Lastlogin:SatMar812:37:482014from192.168.1.3
[注:SSH不会扣问暗码.]



然后经由过程sftp,将B机的id_rsa传到A机,把A的authorized_keys2传过去。此时A和B都可相互主动上岸。


测试了局:考证料想乐成,最好是有第三台linux再能够考证下就行了。


增补宁静成绩:因为.ssh文件夹和privatekey都权限为700和600,同时sftp办事器只守旧sftp上岸权限和把持home文件目次,只需妥帖保管privatekey,在ssh协定下是没有宁静挂念的。拜见SSH认证道理(http://qujunorz.blog.51cto.com/6378776/1371344)
本文出自“hiubuntu”博客,请务必保存此出处http://qujunorz.blog.51cto.com/6378776/1370921


如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的小伙伴们!

小女巫 发表于 2015-1-16 21:51:45

给大家带来CentOS多台办事器共用密钥ssh主动上岸

工具书对于学习者而言是相当重要的。一本错误观念的工具书却会让新手整个误入歧途。目前国内关于Linux的书籍有很多不过精品的不多。

冷月葬花魂 发表于 2015-1-20 17:19:44

直到学习Linux这门课以后,我才知道,原来我错了。?

透明 发表于 2015-1-29 13:35:23

安装一个新的软件时先看README,再看INSTALL然后看FAQ,最后才动手安装,这样遇到问题就知道为什么。如果Linux说明文档不看,结果出了问题再去论坛来找答案反而浪费时间。

飘飘悠悠 发表于 2015-2-6 02:08:59

我是学习嵌入式方向的,这学期就选修了这门专业任选课。

深爱那片海 发表于 2015-2-15 05:33:26

一定要养成在命令行下工作的习惯,要知道X-window只是运行在命令行模式下的一个应用程序。在命令行下学习虽然一开始进度较慢。

乐观 发表于 2015-3-4 11:23:05

在学习linux的工程中,linux学习方法有很多种,这里是小编的学习心得,给大家拿出来分享一下。

乐观 发表于 2015-3-4 11:23:08

主流Linux发行版都自带非常详细的文档(包括手册页和FAQ),从系统安装到系统安全,针对不同层次的人的详尽文档,仔细阅读文档后40%问题都可在此解决。

仓酷云 发表于 2015-3-11 18:56:43

清楚了解网络的基础知识,特别是在Linux下应用知识,如接入internet等等。

只想知道 发表于 2015-3-19 10:38:58

期间我阅读了不少关于Linux的相关资料,其中也不乏一些有趣的小故事,这既丰富了我的课余生活,也让我加深了对一些术语的理解,比玩游戏强多了。?

老尸 发表于 2015-3-27 22:45:35

在学习linux的工程中,linux学习方法有很多种,这里是小编的学习心得,给大家拿出来分享一下。
页: [1]
查看完整版本: 给大家带来CentOS多台办事器共用密钥ssh主动上岸