ssh免密钥认证

ssh密码分发的实施方案

   1. 管理服务器创建私钥和公钥（密钥对）
   2. 将公钥文件远程传送复制到被管理服务器相应用户~/.ssh/id_dsa.pub下，并修改.ssh目录权限为700
   3. 修改公钥文件文件名称为authorized_keys(默认文件名，可在配置文件修改)，授权权限为600
   4. 利用ssh服务配置文件的配置参数，进行识别公钥文件authorized_keys
   5. 进而实现基于密钥远程登录服务器（免密码登录/非交互方式登录）

实施的过程：

1. 在管理服务器上创建密钥对(我的理解就是创建锁头)

[root@m01 ~]# ssh-keygen -t dsa
Generating public/private dsa key pair.
Enter file in which to save the key (/root/.ssh/id_dsa):  #私钥创建后保存位置
Enter passphrase (empty for no passphrase):  #私钥是否需要加密
Enter same passphrase again:  #确认密码
Your identification has been saved in /root/.ssh/id_dsa. 
Your public key has been saved in /root/.ssh/id_dsa.pub.
The key fingerprint is:
1e:c2:0f:9f:13:09:52:a5:67:48:9a:69:f8:f7:a6:bd root@m01
[root@m01 ~]# ll .ssh/
总用量 12
-rw------- 1 root root 668 9月   6 09:12 id_dsa  #私钥
-rw-r--r-- 1 root root 598 9月   6 09:12 id_dsa.pub #公钥
-rw-r--r-- 1 root root 401 9月   5 18:59 known_hosts

2.分发公钥（把锁头传到对应的服务器）

[root@m01 ~]# ssh-copy-id -i /root/.ssh/id_dsa.pub root@172.16.1.41
The authenticity of host '172.16.1.41 (172.16.1.41)' can't be established.
RSA key fingerprint is 46:a2:e1:d9:6c:c3:0d:2a:10:c4:c4:60:0f:3b:05:66.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '172.16.1.41' (RSA) to the list of known hosts.
root@172.16.1.41's password:
Now try logging into the machine, with "ssh 'root@172.16.1.41'", and check in:
 
  .ssh/authorized_keys
 
to make sure we haven't added extra keys that you weren't expecting.
 
ssh-copy-id - install your public key in a remote machine’s authorized_keys
ssh-copy-id [-i [identity_file]] [user@]machine
-i            ---指定要分发的公钥文件以及路径信息
[user@]       ---以什么用户身份进行分发公钥（root）,如果不输入，表示以当前系统用户身份分发公钥
machine       ---将公钥分发到哪台主机上，填写远程主机IP地址

a  扩展问题解决：

01. 受控端主机如果不是默认端口22，如何分发公钥
[root@m01 scripts]# ssh-copy-id -i /root/.ssh/id_dsa.pub root@172.16.1.41
ssh: connect to host 172.16.1.41 port 22: Connection refused
 
[root@m01 scripts]# which ssh-copy-id
/usr/bin/ssh-copy-id
[root@m01 scripts]# file /usr/bin/ssh-copy-id
/usr/bin/ssh-copy-id: POSIX shell script text executable
 
ssh $1 "exec sh -c 'cd; umask 077; test -d .ssh || mkdir .ssh ; cat >> .ssh/authorized_keys && (te
st -x /sbin/restorecon && /sbin/restorecon .ssh .ssh/authorized_keys >/dev/null 2>&1 || true)'" || exit 1
 
说明：分发公钥的实质，就是通过ssh远程执行分发公钥命令
01. 切换到用户家目录下，临时设置umask值
02. 判断客户端相应用户家目录中有没有.ssh目录，如果没有.ssh目录就进行创建
03. 将管理端公钥文件中的内容添加到客户端~/.ssh/authorized_keys,默认authorized_keys不存在，需要创建，文件权限（600）
 
问题解决：第一种方法
修改ssh-copy-id文件中内容：
ssh -p52113 $1 "exec sh -c 'cd; umask 077; test -d .ssh || mkdir .ssh ; cat >> .ssh/authorized_keys && (te
st -x /sbin/restorecon && /sbin/restorecon .ssh .ssh/authorized_keys >/dev/null 2>&1 || true)'" || exit 1
再次执行分发公钥命令即可
问题解决：第二种方法
修改ssh-copy-id命令中传参的参数信息：
[root@m01 scripts]# ssh-copy-id -i /root/.ssh/id_dsa.pub "-p52113 root@172.16.1.41" == ssh $1 == ssh "-p52113 root@172.16.1.41"
Now try logging into the machine, with "ssh '-p52113 root@172.16.1.41'", and check in:
 
  .ssh/authorized_keys
 
to make sure we haven't added extra keys that you weren't expecting.

3 util循环用法，条件不成立就一直循环。成立时终止循环

shift---shell
#!/bin/sh
until [ $# -eq 0 ]
do
echo $*
shift #可以将传参的参数前进一个
done

4 .分发秘钥实现免交互

1）免密码创建密钥对

[root@m01 .ssh]# ssh-keygen -f /root/.ssh/id_dsa -P ""
Generating public/private rsa key pair.
Your identification has been saved in /root/.ssh/id_dsa.
Your public key has been saved in /root/.ssh/id_dsa.pub.
The key fingerprint is:
4b:48:96:0c:33:87:54:cc:7f:14:31:d4:1e:a4:2d:77 root@m01
The key's randomart image is:
+--[ RSA 2048]----+
|   .==o  .==.    |
|    .*o.  .+o    |
|      =. .o.o.E  |
|     o .. .o..   |
|      . S.       |
|       . .       |
|        .        |
|                 |
|                 |
+-----------------+
-f filename #指定路径
   Specifies the filename of the key file.
-P passphrase #提供一个密码
   Provides the (old) passphrase.
2）取消交互式分发
[root@m01 scripts]#  sshpass -p123456 ssh-copy-id -i /root/.ssh/id_dsa.pub "-o StrictHostKeyChecking=no root@172.16.1.31"
Now try logging into the machine, with "ssh '-o StrictHostKeyChecking=no root@172.16.1.31'", and check in:
 
  .ssh/authorized_keys
 
to make sure we haven't added extra keys that you weren't expecting.

5. 如果你的ssh端口有所改变

[root@m01 ~]# ssh-copy-id -i ~/.ssh/id_dsa.pub 172.16.1.31 
ssh: connect to host 172.16.1.31 
port 22: Connection refused
说明：当客户端端口改变时，ssh-copy-id命令默认使用22端口建立远程连接，传输公钥文件
解决方法：
[root@web01 ~]# ssh-copy-id -i ~/.ssh/id_dsa.pub "-p52113 172.16.1.31" 
Enter passphrase for key '/root/.ssh/id_dsa': 
Now try logging into the machine, with "ssh '-p52113 172.16.1.31'", and check in:
  .ssh/authorized_keys
to make sure we haven't added extra keys that you weren't expecting.

6 . 客户端测试

[root@m01 ~]# ssh 172.16.1.31 "free -m"
             total       used       free     shared    buffers     cached
Mem:           474        329        144          0         43        188
-/+ buffers/cache:         98        376
Swap:          767          0        767
[root@m01 ~]# ssh 172.16.1.31 "hostname"
nfs01

7. 批量脚本的编写

[root@m01 ~]# vim /server/scripts/piliang.sh 
##############################################################
rm -f /root/.ssh/*
ssh-keygen -t dsa -f /root/.ssh/id_dsa -P "" &>/dev/null
for ip in 41 31 8
do
   sshpass -p123456 ssh-copy-id -i /root/.ssh/id_dsa.pub "-o StrictHostKey
Checking=no root@172.16.1.$ip" >/dev/null 2>&1
   echo "172.16.1.$ip  ok"
done
# 01. 创建秘钥对时需要进行交互
# 02. 分发公钥时是需要输入yes/no
# 03. 分发公钥时需要输入密码信息
"/server/scripts/piliang.sh" 22L, 712C                  22,1          Bot
#!/bin/bash
##############################################################
# File Name: /server/scripts/pilian.sh
# Version: V1.0
# Author: Guo xiangfu
# Organization: www.guoxiangfu.com
# Email: 978299310@qq.com
# Created Time : 2017-09-02 11:45:13
# Description:
##############################################################
rm -f /root/.ssh/*
ssh-keygen -t dsa -f /root/.ssh/id_dsa -P "" &>/dev/null
for ip in 41 31 8
do
   sshpass -p123456 ssh-copy-id -i /root/.ssh/id_dsa.pub "-o StrictHostKeyChecking=no root@172.16.1.$ip" >/dev/null 2>&1
   echo "172.16.1.$ip  ok"
done
# 01. 创建秘钥对时需要进行交互
# 02. 分发公钥时是需要输入yes/no
# 03. 分发公钥时需要输入密码信息

8. 批量脚本的验证编写

[root@m01 ~]# vim /server/scripts/piliang_check.sh 
#!/bin/bash
##############################################################
# File Name: piliang_check.sh
# Version: V1.0
# Author: Guo xiangfu
# Organization: www.guoxiangfu.com
# Email: 978299310@qq.com
# Created Time : 2017-09-02 11:51:34
# Description:
##############################################################
CMD=$1
for ip in 31 41 8
do
  echo "=============172.16.1.$ip  info========================"
  ssh 172.16.1.$ip $CMD
done

a . 脚本的测试

[root@m01 ~]# sh /server/scripts/piliang.sh 
172.16.1.41  ok
172.16.1.31  ok
172.16.1.8  ok
[root@m01 ~]# sh /server/scripts/piliang_check.sh "hostname"
=============172.16.1.31  info========================
nfs01
=============172.16.1.41  info========================
backup
=============172.16.1.8  info========================
web01

打赏 支付宝打赏 微信打赏