Linux 下实现SSH互信

一、准备两台服务器：

A机：192.168.1.1

B机：192.168.1.2

二、双机建立信任

1、在A机生成秘钥证书

在root下执行ssh-keygen命令，一路回车，生成秘钥证书

# ssh-keygen  -t  rsa  

2、查看生成秘钥文件

# cd ~/.ssh  

# ll

文件：私钥证书id_rsa、公钥证书id_rsa.pub

3、A对B建立信任关系

3.1 将公钥证书id_rsa.pub复制到机器B的root家目录的.ssh子目录中，同时将文件名更换为authorized_keys

# scp -r id_rsa.pub root@192.168.1.2:/root/.ssh/authorized_keys

3.2 若3.1报错：No such file or directory

使用：# ssh-copy-id -i id_rsa.pub root@192.168.1.2

ssh-copy-id命令会自动将id_rsa.pub文件的内容追加到远程主机root用户下.ssh/authorized_keys文件中

3.3 查看B机器是否接收

# ssh 192.168.1.2  

# cd .ssh/   

# ls   

# cat authorized_keys

# exit

3.4 B对A建立信任，同上3的 *** 作步骤

一、实现原理使用一种被称为"公私钥"认证的方式来进行ssh登录。"公私钥"认证方式简单的解释是：首先在客户端上创建一对公私钥(公钥文件：~/.ssh/id_rsa.pub私钥文件：~/.ssh/id_rsa)，然后把公钥放到服务器上(~/.ssh/authorized_keys)，自己保留好私钥。当ssh登录时，ssh程序会发送私钥去和服务器上的公钥做匹配。如果匹配成功就可以登录了。二、实验环境A机：TS-DEV/10.0.0.163B机：CS-DEV/10.0.0.188三、Linux/Unix双机建立信任3.1在A机生成证书在A机root用户下执行ssh-keygen命令，在需要输入的地方，直接回车，生成建立安全信任关系的证书。#ssh-keygen-trsa注意：在程序提示输入passphrase时直接输入回车，表示无证书密码。上述命令将生成私钥证书id_rsa和公钥证书id_rsa.pub，存放在用户家目录的.ssh子目录中。3.2查看~/.ssh生成密钥的文件#cd~/.ssh#ll3.3A对B建立信任关系将公钥证书id_rsa.pub复制到机器B的root家目录的.ssh子目录中，同时将文件名更换为authorized_keys，此时需要输入B机的root用户密码(还未建立信任关系)。建立了客户端到服务器端的信任关系后，客户端就可以不用再输入密码，就可以从服务器端拷贝数据了。#scp-rid_rsa.pub10.0.0.188:/root/.ssh/authorized_keys3.4B对A建立信任关系在B机上执行同样的 *** 作，建立B对A的信任关系。#ssh-keygen-trsa#cd~/.ssh/#ll#scp-rid_rsa.pub10.0.0.163:/root/.ssh/authorized_keys如果想让B，C同时可以scp不输入密码，传输A中的数据则要把B、C的公钥都给A *** 作步骤：把两机器的id_rsa.pub中的数据都拷贝到A的/root/.ssh/authorized_keys文件中，一行表示一条A:scp-rid_rsa.pub10.0.0.163:/root/.ssh/authorized_keysB:scp-rid_rsa.pub10.0.0.188:/root/.ssh/authorized_keys测试sshroot@10.0.0.188'hostname'///sshroot@10.0.0.163'hostname'如果连接反应慢，请修改以下两参数/etc/ssh/sshd_configGSSAPIAuthenticationnoUseDNSno然后重启servicesshdrestart

---