Linux下实现普通用户免密码登录【超详细】

需求：服务器的root和密码登录都禁用，只开放普通用户登录，这时需要给普通用户配置秘钥文件，实现无密码登录

需要注意的是使用什么用户，就把秘钥文件拷入到该用户的家目录下，如果是root用户，就直接拷贝到/root/.ssh/下（本次测试是使用普通用户oper测试的）

　　1) .ssh目录的权限必须是700

　　2) .ssh/authorized_keys文件权限必须是600

测试机器：

　　host1:192.168.0.131

　　host2:192.168.0.132

一、在新机器生成秘钥：

[root@host1 .ssh]# ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:O9C8LWfjT44gIJR+URWH3FFJhsgqMU8VmaDDZAGWR7k root@host1
The key's randomart image is:
+---[RSA ]----+
|  o+=oo*=Oo=+.   |
| ..==o. B.o..    |
|  o.=* .         |
| o  Eooo         |
|  o o.. S        |
|   o . . +       |
|      . * = .    |
|       . B =     |
|          o.o    |
+----[SHA256]-----+
[root@host1 .ssh]# ls
id_rsa  id_rsa.pub  known_hosts

二、将id_rsa.pub拷入需要登录的服务器的用户家目录下的.ssh/authorized_keys中（即192.168.0.132下的/home/oper/.ssh/authorized_keys）

　　以下三种方法任选其一即可

　　2.1：通过ssh-copy-id的方式

[root@host2 oper]# mkdir /home/oper/.ssh
[root@host2 oper]# chown oper:oper .ssh/
[root@host2 oper]# chmod  .ssh
[root@host2 oper]# ls -la
总用量
drwx------.  oper oper  4月   : .
drwxr-xr-x.  root root   4月   : ..
-rw-------.  oper oper  4月   : .bash_history
-rw-r--r--.  oper oper   8月     .bash_logout
-rw-r--r--.  oper oper  8月     .bash_profile
-rw-r--r--.  oper oper  8月     .bashrc
drwx------.  oper oper   4月   : .ssh

[root@host1 .ssh]# ssh-copy-id -i /root/.ssh/id_rsa.pub oper@192.168.0.132
oper@192.168.0.132's password:
Number of key(s) added: 

Now try logging into the machine, with:   "ssh 'oper@192.168.0.132'"
and check to make sure that only the key(s) you wanted were added.
#登录测试
[root@host1 .ssh]# ssh oper@192.168.0.132
Last failed login: Mon Apr  :: CST  from 192.168.0.131 on ssh:notty
There was  failed login attempt since the last successful login.
Last login: Mon Apr  ::  from 192.168.0.131
[oper@host2 ~]$ 

　　2.2：通过scp将内容写到对方的文件中

[root@host1 .ssh]# scp -p ~/.ssh/id_rsa.pub oper@192.168.0.132:/home/oper/.ssh/authorized_keys
oper@192.168.0.132's password:
id_rsa.pub     
#登录测试                                                                                                                                            %      .6KB/s   :
[root@host1 .ssh]# ssh oper@192.168.0.132
Last login: Mon Apr  ::  from 192.168.0.131
[oper@host2 ~]$ 

　　2.3：通过ssh命令写入，此方式可写成脚本，然后批量写入主机

　　此方式也可直接把/root/.ssh/id_rsa.pub的内容直接复制粘贴到host2下/home/oper/.ssh/authorized_keys中

[root@host1 .ssh]# ssh oper@192.168.0.132 "echo `cat /root/.ssh/id_rsa.pub` >> /home/oper/.ssh/authorized_keys "
oper@192.168.0.132's password:
[root@host1 .ssh]# ssh oper@192.168.0.132
oper@192.168.0.132's password: 

[root@host2 .ssh]# pwd
/home/oper/.ssh
[root@host2 .ssh]# ll
总用量
-rw-rw-r--.  oper oper  4月   : authorized_keys
[root@host2 .ssh]# chmod  authorized_keys
[root@host2 .ssh]# ll
总用量
-rw-------.  oper oper  4月   : authorized_keys
#登录测试
[root@host1 .ssh]# ssh oper@192.168.0.132
Last login: Mon Apr  ::  from 192.168.0.131
[oper@host2 ~]$ 

出现需要密码登录是因为host2的authorized_keys权限没有设置为600；把权限设置为600后，再执行 ssh oper@192.168.0.132就可以了，如果之前有权限是600的authorized_keys；则可直接登录

PS：如果普通用户需要切换到root用户且无需输入密码，则在root用户模式下执行命令：visudo 

[root@host2 ~]# visudo　　#最后一行加入
Cmnd_Alias SU = /bin/su
oper ALL = (root)  NOPASSWD: SU
:wq
[root@host2 ~]# su - oper
#登录测试
[oper@host2 ~]$ sudo su #最好使用sudo su -   完全切换，su会加载不出来环境变量
[root@host2 oper]# 

附：文件说明
     ~/.ssh/identity
             该用户默认的 RSA1 身份认证私钥(SSH-1)。此文件的权限应当至少限制为"600"。
             生成密钥的时候可以指定采用密语来加密该私钥(3DES)。
             ssh(1) 将在登录的时候读取这个文件。
     ~/.ssh/identity.pub
             该用户默认的 RSA1 身份认证公钥(SSH-1)。此文件无需保密。
             此文件的内容应该添加到所有 RSA1 目标主机的 ~/.ssh/authorized_keys 文件中。
     ~/.ssh/id_dsa
             该用户默认的 DSA 身份认证私钥(SSH-2)。此文件的权限应当至少限制为"600"。
             生成密钥的时候可以指定采用密语来加密该私钥(3DES)。
             ssh(1) 将在登录的时候读取这个文件。
     ~/.ssh/id_dsa.pub
             该用户默认的 DSA 身份认证公钥(SSH-2)。此文件无需保密。
             此文件的内容应该添加到所有 DSA 目标主机的 ~/.ssh/authorized_keys 文件中。
     ~/.ssh/id_rsa
             该用户默认的 RSA 身份认证私钥(SSH-2)。此文件的权限应当至少限制为"600"。
             生成密钥的时候可以指定采用密语来加密该私钥(3DES)。
             ssh(1) 将在登录的时候读取这个文件。
     ~/.ssh/id_rsa.pub
             该用户默认的 RSA 身份认证公钥(SSH-2)。此文件无需保密。
             此文件的内容应该添加到所有 RSA 目标主机的 ~/.ssh/authorized_keys 文件中。
     /etc/ssh/moduli
             包含用于 DH-GEX 的 Diffie-Hellman groups 。文件的格式在 moduli(5) 手册页中描述。