给大家带来CentOS多台办事器共用密钥ssh主动上岸

欢迎大家来到仓酷云论坛！比来在研讨主动上岸的linux办事器的器材。本篇为关于ssh的秘钥主动上岸。
update：2014.3.94:21PM，昨晚写完这篇以后，发明IBM的网上有篇关于ssh认证的完全形貌。快乐了。。
https://www.ckuyun.com/developerworks/cn/linux/security/openssh/part1/


料想：linux的秘钥发生与办事器有关，只和加密的体例（接纳rsa或dsa）另有passphrase（暗码短语，在天生秘钥的时分输出的）有关。
假如是如许的话，统一对秘钥可使用在多台办事器上，由于关于办事器和客户端来讲，他们在通讯的时分只需考证秘钥和公钥是不是婚配。
即存在一个global的公钥寄存在ssh办事器上，而多台客户端则利用的统一秘钥上岸ssh办事器上。


测试情况：本机windows利用secureCRT客户端，两台redhat6.3的假造机（linuxA和B，192.168.1.2/3）。虚机与主机利用桥接收集，处于统一局域网。


测试历程：
注：公钥通常为pub开头，可是办事器考证的文件是authorized_key，以是要把pub文件的内容转进authorized_key。pub文件自己没用。
1、利用CRT天生秘钥对，将公钥上传到linuxA，乐成上岸后，cpoyA机中的公钥至B机中，完成CRT主动上岸B机，考证公钥为通用。
起首利用CRT天生秘钥：
1.利用SecureCRT创立私钥和公钥（SetPassphrase能够设置为空暗码，对照方面考证）
SecureCRT:QuickConnect->Authentiation->PublicKey->Properties->CreateIdentityFile->DSA/RSA->SetPassphrase->Done
这个时分在指定目次会天生两个文件，比方，私钥my_rsa和公钥my_rsa.pub
2.linux办事器上创建.ssh目次,一样平常情形下,已有这个目次（变动权限很主要，认证的时分权限不是700不给经由过程）
#mkdir/root/.ssh
#chmod700/root/.ssh
3.将公钥my_rsa.pub传到linux办事器，将SSH2兼容格局的公钥转换成为Openssh兼容格局（一般情形是ssh2，不扫除ssh1）
#ssh-keygen-i-fIdentity.pub>>/root/.ssh/authorized_keys2
#chmod600/root/.ssh/authorized_keys2
4.在SecureCRT内里设置登录形式为PublicKey，并选择方才创立的my_rsa文件作为私钥
5.重启Linux办事器上SSH办事器（测试貌似不必重启办事也能失效）
#servicesshdrestart大概/etc/rc.d/init.d/sshdrestart


此阶段，测试乐成，A和B机利用的统一对authorized_keys2，CRT都能完成主动上岸。


2、在B机中天生秘钥对，将公钥复制到A中，完成B机主动上岸A，然后将B的秘钥传已往，把A的authorized_keys2内容写进B的authorized_keys2文件中，完成A主动上岸B。


步调1:用ssh-key-gen在当地主机上创立公钥和密钥
local-host$ssh-keygen-trsa

Enterfileinwhichtosavethekey(/home/jsmith/.ssh/id_rsa):[Enterkey]
Enterpassphrase(emptyfornopassphrase):[Pressenterkey]
Entersamepassphraseagain:[Pessenterkey]
Youridentificationhasbeensavedin/home/jsmith/.ssh/id_rsa.
Yourpublickeyhasbeensavedin/home/jsmith/.ssh/id_rsa.pub.
Thekeyfingerprintis:33:b3:fe:af:95:95:18:11:31:d5:de:96:2f:f2:35:f9
local-host

步调2:用ssh-copy-id把公钥复制到近程A主机上
local-host$ssh-copy-id-i~/.ssh/id_rsa.pubroot@192.168.1.2
remote-host‘spassword:
Nowtryloggingintothemachine,withDssh?remote-host‘‖,andcheckin:
.ssh/authorized_keystomakesurewehaven‘taddedextrakeysthatyouweren‘texpecting.
[注:ssh-copy-id把密钥追加到近程主机的.ssh/id_rsa上.]

步调3:间接登录A近程主机
local-host$sshroot@192.168.1.2
Lastlogin:SatMar812:37:482014from192.168.1.3
[注:SSH不会扣问暗码.]



然后经由过程sftp，将B机的id_rsa传到A机，把A的authorized_keys2传过去。此时A和B都可相互主动上岸。


测试了局：考证料想乐成，最好是有第三台linux再能够考证下就行了。


增补宁静成绩：因为.ssh文件夹和privatekey都权限为700和600，同时sftp办事器只守旧sftp上岸权限和把持home文件目次，只需妥帖保管privatekey，在ssh协定下是没有宁静挂念的。拜见SSH认证道理（http://qujunorz.blog.51cto.com/6378776/1371344）
本文出自“hiubuntu”博客，请务必保存此出处http://qujunorz.blog.51cto.com/6378776/1370921


如果您觉得本篇CentOSLinux教程讲得好，请记得点击右边漂浮的分享程序，把好文章分享给你的小伙伴们！

工具书对于学习者而言是相当重要的。一本错误观念的工具书却会让新手整个误入歧途。目前国内关于Linux的书籍有很多不过精品的不多。

直到学习Linux这门课以后，我才知道，原来我错了。?

安装一个新的软件时先看README,再看INSTALL然后看FAQ,最后才动手安装,这样遇到问题就知道为什么。如果Linux说明文档不看,结果出了问题再去论坛来找答案反而浪费时间。

我是学习嵌入式方向的，这学期就选修了这门专业任选课。

一定要养成在命令行下工作的习惯，要知道X－window只是运行在命令行模式下的一个应用程序。在命令行下学习虽然一开始进度较慢。

在学习linux的工程中，linux学习方法有很多种，这里是小编的学习心得，给大家拿出来分享一下。

主流Linux发行版都自带非常详细的文档（包括手册页和FAQ），从系统安装到系统安全,针对不同层次的人的详尽文档，仔细阅读文档后40%问题都可在此解决。

仓酷云

清楚了解网络的基础知识，特别是在Linux下应用知识，如接入internet等等。

期间我阅读了不少关于Linux的相关资料，其中也不乏一些有趣的小故事，这既丰富了我的课余生活，也让我加深了对一些术语的理解，比玩游戏强多了。?

在学习linux的工程中，linux学习方法有很多种，这里是小编的学习心得，给大家拿出来分享一下。