一:ssh原理图为:
1、就是为了让两个linux机器之间使用ssh不需要用户名和密码。采用了数字签名RSA或者DSA来完成这个操作
2、模型分析
假设 A (192.168.20.59)为客户机器,B(192.168.20.60)为目标机;
要达到的目的:
A机器ssh登录B机器无需输入密码;
加密方式选 rsa|dsa均可以,默认dsa
二、具体操作流程
单向登陆的操作过程(能满足上边的目的):
1、登录A机器
2、ssh-keygen -t [rsa|dsa],将会生成密钥文件和私钥文件 id_rsa,id_rsa.pub或id_dsa,id_dsa.pub
3、将 .pub 文件复制到B机器的 .ssh 目录, 并 cat id_dsa.pub >> ~/.ssh/authorized_keys
4、大功告成,从A机器登录B机器的目标账户,不再需要密码了;(直接运行 #ssh 192.168.20.60 )
双向登陆的操作过程:
1、ssh-keygen做密码验证可以使在向对方机器上ssh ,scp不用使用密码.具体方法如下:
2、两个节点都执行操作:#ssh-keygen -t rsa
然后全部回车,采用默认值.
3、这样生成了一对密钥,存放在用户目录的~/.ssh下。
将公钥考到对方机器的用户目录下 ,并将其复制到~/.ssh/authorized_keys中(操作命令:#cat id_dsa.pub >> ~/.ssh/authorized_keys )。
4、设置文件和目录权限:用hadoop 用户进行 /home/hadoop 主目录,如果是多台linux ,最好每台上的用户名建成一样
设置authorized_keys权限
$ chmod 600 authorized_keys
设置.ssh目录权限
$ chmod 700 -R .ssh
5、要保证.ssh和authorized_keys都只有用户自己有写权限。否则验证无效。(今天就是遇到这个问题,找了好久问题所在),其实仔细想想,这样做是为了不会出现系统漏洞。
我从20.60去访问20.59的时候会提示如下错误:
The authenticity of host '192.168.20.59 (192.168.20.59)' can't be established. RSA key fingerprint is 6a:37:c0:e1:09:a4:29:8d:68:d0:ca:21:20:94:be:18. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '192.168.20.59' (RSA) to the list of known hosts. root@192.168.20.59's password: Permission denied, please try again. root@192.168.20.59's password: Permission denied, please try again. root@192.168.20.59's password: Permission denied (publickey,gssapi-with-mic,password).
三、总结注意事项
1、文件和目录的权限千万别设置成chmod 777.这个权限太大了,不安全,数字签名也不支持。我开始图省事就这么干了
2、生成的rsa/dsa签名的公钥是给对方机器使用的。这个公钥内容还要拷贝到authorized_keys
(注意,如果是三台以上的linux机器如hostname h1,h2,h3 ,每台上的用户名为hadoop,则把所有机器上的
/home/hadoop/.ssh/id_dsa.pub 用 scp copy到一台机器中的一个目录下,都写入到/home/hadoop/.ssh/authorized_keys 中,使它成为一个包含所有公钥的大文件,再把这个文件公别copy到每一台linux下的/home/hadoop/.ssh/authorized_keys 下,再修改权限为600 )
3、linux之间的访问直接 ssh 机器ip
4、某个机器生成自己的RSA或者DSA的数字签名,将公钥给目标机器,然后目标机器接收后设定相关权限(公钥和authorized_keys权限),这个目标机就能被生成数字签名的机器无密码访问了
相关推荐
对于开发人员来说大多数时候都需要登录linux服务器,每次需要输入密码很是麻烦,shell脚本可以将每次输入验证步骤简化,只需要切换到脚本所在目录,输入“ ./ ssh_login.sh”即可实现自动登录
centos用ssh登陆,系统却总是提示密码不对,在 做攻防远程ssh_login密码破解时,无法破解出密码
随着Linux在服务器端应用的普及,Linux系统管理越来越依赖于远程。在各种远程登录工具中,Putty是 出色的工具之一。 Putty是一个免费的、Windows 32平台下的telnet、rlogin和ssh客户端,但是功能丝毫不逊色于...
一、在Windows中使用putty登录FreeBsd系统时,能够输入用户名,但是输入密码后按回车键半天无反应 。 答:设置过程如下: 1. 在/etc/ssh/sshd_config中添加如下内容,使普通用户可以通过SSH登录: Allow...
文件名:ssh_auto_login 代码如下:#!/usr/bin/expect### ssh模拟登陆器## @author zhiyuan <hzyhouzhiyuan>##if {$argc<4} { puts “Error params: $argv” puts “Expect params :user passwd ip port ...
由于端口22被ssh服务器占用,所以需要关闭ssh服务并重启vsftp服务。 客户端用Flashfxp测试:新建站点"VsftpTest",输入Vsftp服务器的IP地址,端口填22,用户名填ftp1,密码填你设置的密码,然后点击"连接"按钮: 由于...
1、 密码策略 /etc/login.defs 2、 Grub /etc/grub.conf 3、 登录注销 /etc/profile 4、 历史命令 /etc/profile 5、 启动审核 service auditd restart 6、 限制root的SSH登录 /etc/ssh/sshd_config 7、 更改SSH端口 ...
进入ssh 输入以下命令重置密码(把命令最后面的 “testpasswd” 替换成你要改的新密码) 注: 若是debian/ubuntu用户,请使用有root权限的账户去执行这条命令 cd /...
随着Linux在服务器端应用的普及,Linux系统管理越来越依赖于远程。在各种远程登录工具中,Putty是 出色的工具之一。 Putty是一个免费的、Windows 32平台下的telnet、rlogin和ssh客户端,但是功能丝毫不逊色于...
sudo vim /etc/pam.d/login 在第二行添加 auth required pam_tally2.so deny=3 unlock_time=5 even_deny_root root_unlock_time=10 参数介绍 even_deny_root 也限制root用户; deny 设置普通用户和root用户连续...
2.3.8 修改/etc/pam.d/login ................................................................................ 13 2.3.9 关闭防火墙的 selinux .................................................................
4.28 ssh指令:加密的远程登录工具 4.29 statserial指令:samba服务器程序 4.30 talk指令:与其他用户交谈 4.31 tcpdump指令:倾倒网络传输数据 4.32 telnet指令:远程登录 4.33 testparm 指令:测试 Samba 配置文件...
目前在公司是一人一台虚拟机,大多数工作都要在虚拟机上完成,为此每天要执行很多次【ssh xxx@xxxxxx】指令登录虚拟机;有很多方式解决这个问题,如使用xshell、secureCRT等工具记录常用的连接,我就写了一个简单的...
ttyd 是一个 C 语言编写的命令行程序,可以把任意命令行程序分享到网页上操作,可以看做是个网页版的远程终端,支持 Linux、macOS、FreeBSD系统,还可以运行在 OpenWrt/LEDE 之类的嵌入式系统上。 功能特色: ...
这些是登录导语login banner。 在本文中,我们将教你如何配置它们。 你可以配置两种类型的提示信息。 用户登录前显示的提示信息(在你选择的文件中配置,例如 /etc/login.warn) 用户成功登录后显示的提示信息(在 ...
/dev/sdb10 15265 17172 1953776 83 Linux /dev/sdb11 17173 19080 1953776 83 Linux [root@node2 ~]# 做完分区之后 在两个节点上分别执行以下命令: # partprobe 配置raw设备(每个节点都操作) #vi /etc/udev/...
/etc/group 设定用户的组名与相关信息 /etc/passwd 帐号信息 /etc/shadow 密码信息 /etc/sudoers 可以sudo命令的配置文件 /etc/securetty 设定哪些终端可以让root登录 /etc/login....
###安装Mac OS X 要在 Mac 上使用Shutdown ,只需在您的系统首选项中启用Remote Login共享选项。 从应用程序登录的用户名和密码取决于您在Allow access for上的选择。 在 Mac OS X 下,您可以选择不同的命令来...
客户端应该能够连接到群集,而不必键入密码。 这通常通过在群集上注册RSA密钥来管理。 在linux上,这是通过以下方式完成的: 生成一组公钥和私钥 ssh-keygen -t rsa 向集群注册密钥 ssh-copy-id login@cluster ...
pam2control pam2control,通常称为p2c,是易于配置的基于PAM的身份验证提供程序。 仅通过在配置文件中添加一行,就可以管理某些用户(或用户组;... SSH密码和公钥身份验证的单独访问规则。 对2FA PIN和通知电子