Za nastavitev ključev SSH med dvema strežnikoma moramo slediti tem korakom:
1. korak: Ustvarite par ključev v izvornem strežniku
Na izvornem strežniku ustvarite par ključev. Ko damo ukaz ssh-keygen, bo privzeto ustvaril 2048-bitni par ključev RSA in če potrebujete močnejše šifriranje, lahko uporabite tudi 4096 bit. Za to morate na koncu ukaza ssh-keygen uporabiti “-b 4096”. Tu uporabljam privzeto.
Nekaj stvari, ki jih je treba skrbeti v spodnjem rezultatu:
V vrstici »Vnesite datoteko, v katero želite shraniti ključ (/ root /.ssh / id_rsa): "
Zahteva pot za shranjevanje ključa, privzeti pa je običajno v redu. Če je privzeto v redu, lahko preprosto pritisnete enter. Če želite preizkusiti nadomestno pot, morate tam določiti isto. Včasih ta volja pravi:
/ root /.ssh / id_rsa že obstaja. Prepiši (y / n)?Vzemite kopijo .ssh pred kakršnimi koli spremembami ali bi morali vedeti, kaj počnete. Če pošljete da, stari ključ (če se že uporablja) ne bo deloval.
V vrstici »Vnesite geslo (prazno brez gesla):« To je dodaten varnostni postopek, ki bo zahteval geslo vsakič, ko se poskušate prijaviti v SSH, in bo deloval kot dvostopenjsko preverjanje. Če pa potrebujete ssh dostop za kakršno koli skriptiranje ali katero koli drugo neposredno in hitro delo, potem je bolje, da tega ne. Razen skriptiranja ali avtomatizacije del, vam predlagamo, da to zagotovo imate.
Popoln rezultat ukaza za referenco:
[e-pošta zaščitena]: ~ $ ssh-keygenUstvarjanje javnega / zasebnega para ključev rsa.
Vnesite datoteko, v katero želite shraniti ključ (/ root /.ssh / id_rsa):
Ustvarjen imenik '/ root /.ssh '.
Vnesite geslo (prazno, če ni gesla):
Ponovno vnesite isto geslo:
Vaša identifikacija je bila shranjena v / root /.ssh / id_rsa.
Vaš javni ključ je bil shranjen v / root /.ssh / id_rsa.pub.
Ključni prstni odtis je:
SHA256: z4nl0d9vJpo / 5bdc4gYZh8nnTjHtXB4Se / UqyuyigUI sumesh @ Sree
Naključna slika ključa je:
+---[RSA 2048]----+
| |
| . .|
| . oo.o |
| .= o = o + |
| E S o .* oBo |
| . . * o+.+.= |
| … O =. = ooo |
| . … + O *.B |
| ... o. o + oB + |
+----[SHA256]-----+
[e-pošta zaščitena] ~ $
2. korak: kopirajte ta ustvarjeni par ključev na ciljni strežnik
To lahko kopirate na ciljni strežnik na dva različna načina
- Uporaba ukaza ssh-copy-id
- Kopiranje ključa ssh z običajnim uporabnikom ssh / passom kot ena linija iz našega lokalnega računalnika ali po prijavi v strežnik.
2.1 Z uporabo ukaza ssh-copy-id
ssh-copy-id bo za vas pravilno obdelal kopiranje in nastavitev ključa na oddaljeni strežnik. Ko je ukaz končan, za vsako prijavo ne boste potrebovali gesla. Zdaj lahko napišete vse svoje avtomatizirane skripte za sistemsko skrbniško delo, ne da bi morali ročno vnašati geslo in prihraniti čas pri vsakodnevnem dostopu do sistemov, ki jih ves čas uporabljate.
Najprej morate preveriti, ali obstaja tak ukaz in ali ukaz deluje in ali ima uporabnik, ki ga poskušate, dostop do tega ukaza, potem lahko s tem ukazom kopirate javni ključ na oddaljeni strežnik. Ta pripomoček bo skeniral vaš lokalni račun za morebiten javni ključ rsa in vas bo pozval k geslu računa oddaljenega uporabnika.
Tukaj bomo kopirali korenski ključ ssh v dostop do korenske ravni strežnikov. Če želite to kopirati, se morate prijaviti / preklopiti na uporabnika, za katerega ste ustvarili ključ. V tem primeru poskušamo korensko-korensko povezavo.
Celoten izhod je spodaj in med njimi dodajam potrebne podrobnosti
root @ Source]]: ~ $ ssh-copy-id root @ 192.1.1.19.-1986Pristnost gostitelja "[192.1.1.19]: 1986 ([192.1.1.19]: 1986) 'ni mogoče določiti.
Ključni prstni odtis ECDSA je SHA256: YYOj54aEJvIle4D2osDiEhuS0NEDImPTiMhHGgDqQFk.
Ali ste prepričani, da se želite še naprej povezovati (da / ne)? ja
Če to uporabljate prvič, boste prejeli tak odgovor in vtipkate da in nato pritisnite enter
/ usr / bin / ssh-copy-id: INFO: poskus prijave z novimi ključi,za filtriranje že nameščenih
/ usr / bin / ssh-copy-id: INFO: 1 ključ (-i) je treba namestiti - če vas računalnik pozove
zdaj je treba namestiti nove ključe
koren @ 192.1.1.Geslo 19:
Vnesite geslo in pritisnite enter.
Število dodanih ključev: 1Zdaj se poskusite prijaviti v stroj z: “ssh -p '1986" [email protected]' "
in preverite, ali deluje po pričakovanjih.
Po tem se boste lahko prijavili na strežnik brez kakršnih koli gesel. Ko geslo brez avtorizacije deluje v redu, lahko onemogočite preverjanje pristnosti gesla, tako da lahko zaklenete dostop ssh samo s ključi ssh
2.2 Ročno kopiranje tipke ssh z običajnim uporabnikom ssh / passom
Če nekateri od teh zgornjih ukazov ne delujejo, bom dodal korake, da boste lahko kopirali ključ ssh in nastavili geslo manj kot iz vaše naprave na strežnik.
Da bi to naredili, moramo ročno dodati vsebino vaše id_rsa.pub datoteko v / root /.ssh / odobreni_keji na vaši ciljni napravi. Če boste kopirali ključ za root uporabnika, bo lokacija / root /.ssh / pooblaščene_ključke .
Iz 1. koraka: morda ste videli spodnjo vrstico
Vaš javni ključ je bil shranjen v / root /.ssh / id_rsa.pub.
To pomeni, da se javni ključ, ki ga morate kopirati na oddaljeni strežnik, nahaja v zgornji datoteki. Torej morate kopirati vsebino te datoteke in jo nato kopirati ali prilepiti v pooblaščene_ključke oddaljenega strežnika
Naredite spodnje korake
Spodnji ukaz vam bo dal ključ, ki ga želite kopirati:
[zaščiteno po e-pošti] $ cat / root /.ssh / id_rsa.pubssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQCqql6MzstZYh1TmWWv11q5O3pISj2ZFl9Hg
H1JLknLLx44 + tXfJ7mIrKNxOOwxIxvcBF8PXSYvobFYEZjGIVCEAjrUzLiIxbyCoxVyle7Q + bqgZ
8Vidi M8wzytsY + dVGcBxF6N4JS + zVk5eMcV385gG3Y6ON3EG112n6d + SMXY0OEBIcO6x + PnUS
GHrSgpBgX7Ks1r7xqFa7heJLLt2wWwkARptX7udSq05paBhcpB0pHtA1Rfz3K2B + ZVIpSDfki9UV
KzT8JUmwW6NNzSgxUfQHGwnW7kj4jp4AT0VZk3ADw497M2G / 12N0PPB5CnhHf7ovgy6nL1ik
rygTKRFmNZISvAcywB9GVqNAVE + ZHDSCuURNsAInVzgYo9xgJDW8wUw2o8U77 + xiFxgI5QSZ
X3Iq7YLMgeksaO4rBJEa54k8m5wEiEE1nUhLuJ0X / vh2xPff6SQ1BL / zkOhvJCACK6Vb15mDOeCS
q54Cr7kvS46itMosi / uS66 + PujOO + xt / 2FWYepz6ZlN70bRly57Q06J + ZJoc9FfBCbCyYH7U / ASsmY0
95ywPsBo1XQ9PqhnN1 / YOorJ068foQDNVpm146mUpILVxmq41Cj55YKHEazXGsdBIbXWhcrRf4G
2fJLRcGUr9q8 / lERo9oxRm5JFX6TCmj6kmiFqv + Ow9gI0x8GvaQ == root @ Vir
Prijavite se na oddaljeni strežnik, na katerega morate kopirati zgornji ključ, in se prepričajte, da uporabljate istega uporabnika, na katerega morate kopirati ključ ssh. Če potrebujete neposreden korenski dostop, kopirajte ključ neposredno v / root /.ssh / razdelek
Ustvari mapo .ssh, če ne obstaja
Če želite preveriti, ali obstaja, in če ne, ga ustvarite z uporabo spodnjih ukazov:
[zaščiteno po e-pošti]: $ ls -l / root /.sshČe mape ni, jo ustvarite s spodnjim ukazom:
[zaščitena po e-pošti] $ mkdir -p / root /.ssh[zaščiteno po e-pošti] $ touch / root /.ssh / pooblaščene_ključke
[e-pošta zaščitena]: $ echo “ssh-rsa
AAAAB3NzaC1yc2EAAAADAQABAAACAQCqql6MzstZYh1TmWWv11q5O3pISj2ZFl9HgH1JLknLLx44 + tXfJ7mIrKNxOOwxI
xvcBF8PXSYvobFYEZjGIVCEAjrUzLiIxbyCoxVyle7Q + bqgZ8SeeM8wzytsY + dVGcBxF6N4JS + zVk5eMcV385gG3Y6ON3
EG112n6d + SMXY0OEBIcO6x + PnUSGHrSgpBgX7Ks1r7xqFa7heJLLt2wWwkARptX7udSq05paBhcpB0pHtA1Rfz3K2B + ZV
IpSDfki9UVKzT8JUmwW6NNzSgxUfQHGwnW7kj4jp4AT0VZk3ADw497M2G / 12N0PPB5CnhHf7ovgy6nL1ikrygTKRFmNZI
SvAcywB9GVqNAVE + ZHDSCuURNsAInVzgYo9xgJDW8wUw2o8U77 + xiFxgI5QSZX3Iq7YLMgeksaO4rBJEa54k8m5wEiEE1
nUhLuJ0X / vh2xPff6SQ1BL / zkOhvJCACK6Vb15mDOeCSq54Cr7kvS46itMosi / uS66 + PujOO + xt / 2FWYepz6ZlN70bRly
57Q06J + ZJoc9FfBCbCyYH7U / ASsmY095ywPsBo1XQ9PqhnN1 / YOorJ068foQDNVpm146mUpILVxmq41Cj55YKHEazXGsd
BIbXWhcrRf4G2fJLRcGUr9q8 / lERo9oxRm5JFX6TCmj6kmiFqv + Ow9gI0x8GvaQ == root @ Vir “>>
/ root /.ssh / pooblaščene_ključke
Prepričajte se, da je dovoljenje mape pravilno
chmod -R go = / root /.ssh /Po tem se poskusite prijaviti v strežnik z novega terminala in preverite, ali pristnost brez ključa deluje po pričakovanjih. Šele nato onemogočite preverjanje pristnosti gesla v konfiguraciji ssh.
OPOMBA: Prepričajte se, da se lahko dvakrat prijavite v strežnik (bodisi neposredno iz računalnika ali pa se prijavite drugemu uporabniku v oddaljenem strežniku in ročno preklopite na root iz tega računa s pomočjo su ali sudo) in nato samo onemogoči preverjanje gesla, sicer obstajajo možnosti, da zaklenejo root uporabnike.
Če imate kakršne koli potrebe, se lahko za kakršno koli pomoč vedno obrnete na mene in delite svoje komentarje.