SSH实现双向认证

由于经常需要使用scp在两台机器间拷贝文件,每次都输入密码太麻烦,于是按下面的步骤配置了一下,再使用ssh或scp登录远程机器时就不需输入密码了:

A主机:192.168.100.82

B主机:192.168.100.83

Linux/Unix双机建立信任

1.在A机生成证书

在A机root用户或其他用户下执行ssh-keygen命令,在需要输入的地方,直接回车,生成建立安全信任关系的证书。

[root@localhost ~]#ssh-keygen -t rsa

注意:在程序提示输入passphrase时直接输入回车,表示无证书密码。
上述命令将生成私钥证书id_rsa和公钥证书id_rsa.pub,存放在用户家目录的.ssh子目录中.

2.查看~/.ssh生成密钥的文件

[root@localhost ~]# ll /root/.ssh/

total 8

-rw------- 1 root root 1675 Apr 27 15:55 id_rsa

-rw-r--r-- 1 root root  400 Apr 27 15:55 id_rsa.pub

3.A对B建立信任关系

将A主机的公钥证书id_rsa.pub复制到机器B主机的root家目录的.ssh子目录中,同时将文件名更换为authorized_keys,此时需要输入B主机的root用户密码(还未建立信任关系)。建立了客户端到服务器端的信任关系后,客户端就可以不用再输入密码,就可以从服务器端拷贝数据了。

scp -r -P 22 /root/.ssh/id_rsa.pub root@192.168.100.83:/root/.ssh/authorized_keys

如果做单向认证,这里已经可以实现A到B的免秘钥上传下载了.

4.B对A建立信任关系

在B机上执行同样的操作,建立B对A的信任关系。

[root@localhost ~]#ssh-keygen -t rsa

root@localhost ~]# ll /root/.ssh/

total 8

-rw-r--r-- 1 root root 1678 Apr 27 15:59 authorized_keys

-rw------- 1 root root 1675 Apr 27 15:55 id_rsa

-rw-r--r-- 1 root root  400 Apr 27 15:55 id_rsa.pub

将B主机的公钥证书id_rsa.pub复制到机器A主机的root家目录的.ssh子目录中,同时将文件名更换为authorized_keys

scp -r -P 22 /root/.ssh/id_rsa.pub root@192.168.100.82:/root/.ssh/authorized_keys

这样A和B主机就可以互相传文件而不需要密码了.

如果连接反应慢,请修改以下两参数

/etc/ssh/sshd_config

GSSAPIAuthentication no

UseDNS no

重启sshd

service sshd restart

################################################################################

二.使用ssh-keygen和ssh-copy-id三步实现SSH无密码登录

由于上面这样复制文件很麻烦,以下给出更为方便的方法,在做单向ssh认证时都在本端计算机进行, 即使用ssh-copy-id进行操作,它可以直接在对端生成authorized_keys文件.

    a、运行:ssh-keygen -t rsa 
    b、然后拍几下回车(均选择默认)
    c、运行: ssh-copy-id -i .ssh/id_rsa.pub "-p 6168 user1@192.168.3.192"
    d、输入被控端的密码,就可以了,这样就在对端的.ssh目录下自动生成authorized_keys,就算对端没有.ssh目录也会自动创建,这里的-p指定的是我的ssh的端口号。
实例操作:
[user1@localhost ~]$ ssh-keygen -t rsa

Generating public/private rsa key pair.

Enter file in which to save the key (/home/user1/.ssh/id_rsa):

Created directory '/home/user1/.ssh'.

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

Your identification has been saved in /home/user1/.ssh/id_rsa.

Your public key has been saved in /home/user1/.ssh/id_rsa.pub.

The key fingerprint is:

da:e3:f0:2b:93:47:15:4d:a1:dc:68:00:07:ec:41:87 user1@localhost

The key's randomart image is:

+--[ RSA 2048]----+

|     o+++  oo.   |

|      Eo o.+.    |

|     . .  =..    |

|      .  ..      |

|        S.       |

|       o.        |

|      ooo        |

|      ++..       |

|       ++.       |

+-----------------+

[user1@localhost ~]$ ssh-copy-id -i .ssh/id_rsa.pub "-p 6168 user1@192.168.3.192"

The authenticity of host '[192.168.3.192]:6168 ([192.168.3.192]:6168)' can't be established.

RSA key fingerprint is 8d:8c:22:67:68:f7:ad:1e:83:f3:4c:d4:32:d8:53:d6.

Are you sure you want to continue connecting (yes/no)? yes

Warning: Permanently added '[192.168.3.192]:6168' (RSA) to the list of known hosts.

user1@192.168.3.192's password:

Now try logging into the machine, with "ssh '-p 6168 user1@192.168.3.192'", and check in:

  .ssh/authorized_keys

to make sure we haven't added extra keys that you weren't expecting.

[user1@localhost ~]$

#这样就会自动在192.168.3.192远端机器的.ssh目录下创建authorized_keys文件.  
如果需要sudo权限,需要将本机的root的公钥放到对端账号的.ssh/authorized_keys里面.
通过shell脚本,自动生成key密钥,实现批量自动化生成和分发
#!/bin/bash

if [ ! -f ~/.ssh/id_rsa ];then

 ssh-keygen -t rsa -P "" -f ~/.ssh/id_rsa

else

 echo "id_rsa has created ..."

fi

其中:

 -t type
             指定要创建的密钥类型。可以使用:"rsa1"(SSH-1) "rsa"(SSH-2) "dsa"(SSH-2).
 -P passphrase
             提供(旧)密语.
-f filename
             指定密钥文件名.
 
 

SSH实现双向认证的更多相关文章

  1. 18.ssh远程双向无密码登陆

    #ssh远程双向无密码登陆 需求:在192.168.10.100执行ssh 192.168.20.205不需要输入密码直接跳转到205机器 #在192.168.10.100执行命令,我这里使用root ...

  2. linux运维、架构之路-Kubernetes集群部署TLS双向认证

    一.kubernetes的认证授权       Kubernetes集群的所有操作基本上都是通过kube-apiserver这个组件进行的,它提供HTTP RESTful形式的API供集群内外客户端调 ...

  3. HTTPS 双向认证构建移动设备安全体系

    HTTPS 双向认证构建移动设备安全体系 对于一些高安全性要求的企业内项目,我们有时希望能够对客户端进行验证.这个时候我们可以使用Https的双向认证机制来实现这个功能. 单向认证:保证server是 ...

  4. https单向认证和双向认证

    单向认证: .clinet<--server .clinet-->server .client从server处拿到server的证书,通过公司的CA去验证该证书,以确认server是真实的 ...

  5. phantomjs 双向认证,访问nginx,https

    应用背景: phantomjs的一个爬虫,访问https站点,单向认证(只认证服务器身份)的都可以,双向认证(服务器和客户端都需要认证)必须上传本地证书: 开始用一个包含公钥私钥的PEM证书访问,怎么 ...

  6. tomcat配置SSL双向认证

    一.SSL简单介绍 SSL(Secure Sockets Layer 安全套接层)就是一种协议(规范),用于保障客户端和服务器端通信的安全,以免通信时传输的信息被窃取或者修改. 怎样保障数据传输安全? ...

  7. NGINX 配置 SSL 双向认证

    对于 NGINX 的 HTTPS 配置,通常情况下我们只需要实现服务端认证就行,因为浏览器内置了一些受信任的证书颁发机构(CA),服务器端只需要拿到这些机构颁发的证书并配置好,浏览器会自己校验证书的可 ...

  8. ssl双向认证和单向认证原理

    有朋友在搞一个项目,周末有聊到一些安全性的东西,很自然会想起https,但https究竟如何实施,其原理又是什么? 基于ssl,一般的应用都是单向认证,如果应用场景要求对客户来源做验证也可以实现成双向 ...

  9. https 单向认证和双向认证配置

    HTTPS 是我们开发中经常用到的通信加密技术,能有效保护我们网络访问中的安全,本文主要讲解单向 和 双向 https 的配置.关于https 的实现原理在这里我就不赘述了,附上阮一峰老师的关于htt ...

随机推荐

  1. scala连接数据库

    scala连接数据库 使用JDBC即可: 在sbt中添加对应依赖 libraryDependencies ++= Seq( "mysql" % "mysql-connec ...

  2. linux下查看最后登陆的用户的信息

    [root@oracle ~]# last -aroot pts/1 Wed Apr 1 10:35 still logged in 10.3.12.1输入命令last -a 把从何处登入系统的主机名 ...

  3. H3C AP实现定时重启

    #job radio_diable  view system  time 1 repeating at 03:00 command wlan radio disable all  time 2 rep ...

  4. squid搭建http/https代理服务器

    前言:笔者使用的长城宽带,访问国外网站,比如mysql,nginx等站点的速度.......,你懂得,于是想到使用腾讯云主机搭建squid代理服务器,这里搭建的是一般代理服务器,squid代理服务器分 ...

  5. JIRA python篇之统计产品尚未解决的bugs

    [本文出自天外归云的博客园] 通过python中的jira类我们可以方便的操作jira,获取一些我们想要再加工的信息. 一些通过JIRA的JTL查询语句不方便直接搜索的过滤条件可以通过JIRA的pyt ...

  6. 第一个驱动之字符设备驱动(二)mdev

    mdev是busybox提供的一个工具,用在嵌入式系统中,相当于简化版的udev,作用是在系统启动和热插拔或动态加载驱动程序时, 自动创建设备节点.文件系统中的/dev目录下的设备节点都是由mdev创 ...

  7. C#学习笔记(27)——委托排序(1)

    说明(2017-11-20 17:21:35): 1. 感觉难点都在冒泡排序上..貌似之前跳过去了没学啊!冒泡排序的精髓就在于,两两比较,最大的排到最后一位,再把前面的重新两两比较,把最大的排到倒数第 ...

  8. 【linux】提醒"libc.so.6: version `GLIBC_2.14' not found"系统的glibc版本太低

    原文链接:http://www.myexception.cn/linux-unix/1622052.html [linux]提示"libc.so.6: version `GLIBC_2.14 ...

  9. 【Unity】AssetBundle的使用——打包/解包

    最近参考了各位大神的资源,初步学习了Unity的资源管理模式,包括在编辑器管理(使用AssetDatabase)和在运行时管理(使用Resources和AssetBundle).在此简单总结运行时用A ...

  10. 使用taskset命令来限制进程的CPU

    常常感觉系统资源不够用,一台机子上跑了不下3个比较重要的服务,但是每天我们还要在上面进行个备份压缩等处理,网络长时间传输,这在就很影响本就不够用的系统资源: 这个时候我们就可以把一些不太重要的比如co ...