阿里云主机ssh 免密码登录

阿里云主机ssh 免密码登录,第1张

阿里云主机ssh 免密码登录

*** 作系统: CentOS 70 64位

CPU: 1 核

公网IP: 781292345

用户名: root

密码:bugaosuni

我在VMware下安装的Ubuntu 1404本文的主要目的就是在Ubuntu上能够免密码登录云主机。

具体设置步骤

Ubuntu 客户端

在该文件夹下就会产生三个文件夹:id_rsa,id_rsapub,know_hosts。

id_rsa:存储私钥,记得只能自己看哦。别人那到这个文件就完蛋蛋咯。

id_rsapub:存储公钥,用来通信加密使用,有了这个人家才能确定这是你。

scp id_ rsapub root@781292345:/root/ssh/id_ rsapub

Note:云主机上没有ssh/文件时,你要自己建立一个。

云主机端

rm id_rsapub

Ubuntu 客户端

这个时候就可以登录云主机了

ssh root@781292345

scp远程拷贝文件时提示错误:

Warning: Permanently added '1000182' (RSA) to the list of known hosts

Permission denied (publickey)

解决:

登录1000182,将/etc/ssh/sshd_config文件中的PasswordAuthentication no 改为PasswordAuthentication yes

重启sshd服务:/etc/initd/sshd restart

问题解决。

原因:scp是基于ssh的拷贝服务,ssh在没有密钥登录的情况下,禁用了密码登录,故出现如上错误。

服务端SSH 服务配置了禁止root用户登录策略。

处理办法

说明:相关策略可以提高服务器的安全性。请用户基于安全性和易用性权衡后,再确定是否需要修改相关配置。

要解决此问题,请进行如下配置检查和修改:

参数说明:

未配置该参数,或者将参数值配置为 yes (默认情况),都允许 root 用户登录。只有显示的设置为 no 时,才会阻断root 用户登录。

该参数只会影响用户的 SSH 登录,不影响用户通过 管理终端 等其它方式登录系统。

如果需要修改相关策略配置,在继续之前建议进行文件备份。

使用 vi 等编辑器,将参数值设置为 yes,或者整个删除或注释(在最开头添加 # 号)整行配置。比如:# PermitRootLogin yes

使用如下指令重启 SSH 服务:service sshd restart

尝试再次使用 root 用户登录服务器。

出现的问题以及解决方案

当出现Permission denied (publickey,gssapi-keyex,gssapi-with-mic) 警告的时候,恭喜你,你已经离成功很近了。

远程主机这里设为slave2,用户为Hadoop。

本地主机设为slave1

以下都是在远程主机slave2上的配置,使得slave1可以免密码连接到slave2上。如果想免密码互联,原理一样的,在slave1上也这么配置即可!

(1)首先:配置ssh服务器配置文件。

在root 用户下才能配置。

vi /etc/ssh/sshd_config

权限设为no:

如果前面有# 号,将#号去掉,之后将yes修改为no。

修改之后为:

PermitRootLogin no

UsePAM no

PasswordAuthentication no

权限设为yes:

RSAAuthentication yes

PubkeyAuthentication yes

(2)重启sshd服务

systemctl restart sshdservice

systemctl status sshdservice #查看ssh服务的状态

正常情况下应该是Active:active(running)

(3)修改文件夹以及文件的权限。

(4)在slave1上进行测试

ssh slave2

今天处理 ssh连接至 ubuntu 服务器时,提示以下错误:

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!

Someone could be eavesdropping on you right now (man-in-the-middle attack)!

It is also possible that a host key has just been changed

The fingerprint for the RSA key sent by the remote host is

da:f7:3e:ba:f7:00:e6:44:76:f2:58:6e:48:

Please contact your system administrator

Add correct host key in /用户home目录/ssh/known_hosts to get rid of this message

Offending RSA key in /用户home目录/ssh/known_hosts:1

RSA host key for ip地址 has changed and you have requested strict checking

Host key verification failed

经过google,出现这个问题的原因是,第一次使用SSH连接时,会生成一个认证,储存在客户端的known_hosts中。

可使用以下指令查看:

ssh-keygen -l -f ~/ssh/known_hosts

由于服务器重新安装系统了,所以会出现以上错误。

解决办法

ssh-keygen -R 服务器端的ip地址

会出现以下提示:

/用户home目录/ssh/known_hosts updated

Original contents retained as /用户home目录/ssh/known_hostsold

重新连线,出现以下提示:

The authenticity of host '192168310 (192168310)' can't be established

RSA key fingerprint is da:f7:3e:ba:f7:00:e6:44:76:f2:58:6e:48:

Are you sure you want to continue connecting (yes/no)

[TOC]

ssh 无密码登录要使用公钥与私钥。linux下可以用用ssh-keygen生成公钥/私钥对,下面以CentOS为例。有机器A(1921686421),B(1921686422)。
目标:A通过ssh免密码登录到B

特意强调,使用参数可以省去生成公钥/私钥的回车步骤

备注:

第一次登录需输入yes,现在A机可以无密码登录B机了,B登陆A,也同样,在B中生成公钥和私钥对,将公钥写入authorized_keys中,然后同步A、B中的authorized_keys,使其一致就ok了。

也即就是:登录的机子有私钥,被登录的机子要有登录机子的公钥,这个公钥/私钥对一般在私钥宿主机产生。上面是用rsa算法(不对称加密算法)的公钥/私钥对,当然也可以用dsa(对称加密算法:对应的文件是id_dsa,id_dsapub)

SSH是为建立在应用层和传输层基础上的安全协议( OSI七层与TCP/IP五层网络架构详解 )。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用SSH 协议可以有效防止远程管理过程中的信息泄露问题。

从客户端来看,SSH提供两种级别的安全验证:

只要知道帐号和口令,就可以登录到远程主机。所有传输的数据都会被加密,但缺点是:不能保证你正在连接的服务器就是你想连接的服务器。以下是登录验证流程:

​ 当第一次链接远程主机时,会提示你当前主机的”公钥指纹”,询问你是否继续,如果选择继续后就可以输入密码进行登录了,当远程的主机接受以后,该台服务器的公钥就会保存到~/ssh/known_hosts文件中。

这种验证的前提是客户端需要生成一对密钥,将公钥放到需访问的远程服务器。这种验证比上一种的好处是,不能仿冒真正的服务器,因为要仿冒必须拿到客户端生成的公钥。缺点就是验证等待过程稍长些。

1、在客户端打开终端,执行 ssh-keygen ,该命令会默认在 ~/ssh/ 目录下创建 id_rsa 、 id_rsapub 两个文件,分别为你的公钥和私钥

2、将公钥 id_rsapub 文件拷贝到服务器端的 ~/ssh/authorized_keys 文件中,可通过scp拷贝

A要免密码登录到B,B首先要拥有A的公钥,然后B要做一次加密验证。非对称加密,公钥加密的密文不能公钥解开,只能私钥解开

ssh-agent

ssh-agent是密钥管理器,是一种控制用来保存公钥身份验证所使用的私钥的程序

运行ssh-agent以后,使用ssh-add将私钥交给ssh-agent保管,其他程序需要身份验证的时候可以将验证申请交给ssh-agent来完成整个认证过程

ssh-agent是管理多个ssh key的代理,受管理的私钥通过ssh-add来添加
好处1:不用重复输入密码
用 ssh-add 添加私钥时,如果私钥有密码的话,照例会被要求输入一次密码,在这之后ssh-agent可直接使用该私钥,无需再次密码认证。

好处2:不用到处部署私钥
假设私钥分别可以登录同一内网的主机 A 和主机 B,出于一些原因,不能直接登录 B。可以通过在 A 上部署私钥或者设置 Forwarding(转发) 登录 B,也可以转发认证代理连接在 A 上面使用ssh-agent私钥登录 B;可以在A上直接sftp传文件到B上。

如这边有一台机器是local,能通过公钥直接登陆server1和server2。server1和server2之间无公钥登陆。

现在要在server1上直接登陆server2,在local上执行

执行了之后就将私钥给ssh-agent保管了,server1上面登陆server2的时候,需要私钥验证的时候直接找ssh-agent要就可以了
接下来登陆server1,注意-A

可以发现server1上多了/tmp/ssh-xxxxxxxxx/agentxxxxx的socket,之后神奇的事发生了,在 server1上可直接进server2,只需执行如下命令,如果加了-A则可以继续ssh forwarding(转发) ,以至无限的机器forwarding。
ssh (-A) server2
同样的原理可以试一下sftp, scp等基于ssh的命令。

如运行ssh-add,遇到 Could not open a connection to your authentication agent。

解决: 需要ssh-agent启动bash,或者说把bash挂到ssh-agent下面。

1 ssh免密码登陆及其原理

不得不说,免密登录确实很方便
使用配置公钥秘钥

这个网上其实很多资料,
首先在服务器执行ssh-kegen,一路回车
或ssh-keygen -t rsa -C " your_email@examplecom "
完成后会在、root/ssh下生产公钥秘钥文件
将公钥追加到authorized_keys
cat rsa_pub>>authorized_keys
将秘钥复制到本地,
找到puttygen来生成ppk文件
打开puttygen,点击load,选择所有文件, 选择 id_rsa文件,Save private key,保存秘钥
然后登录页面选择这个秘钥文件就可以,后面登录就不用了再输入密码了

win10现在貌似已经默认安装了openshh,可以直接用来ssh登录
也可以配置成免密登录
win10命令行执行ssh-keygen生成公钥以及秘钥
公钥放到服务器目录root/ssh,和1一样的方式
生成的时候如果选择不是默认目录,则需要添加下秘钥
管理员身份打开powershell
执行下列命令

cd 到秘钥所在路径
get-service ssh-agent| set-servers-startuptype manaul
startservices sshagent
get-servcies sshagent
ssh-add s_sra

power shell也要深入学习下了,很多有用的功能
然后,执行ssh root@1921680102
直接就可以登录到服务器了,
做个bat或ps1脚本,把ssh这句写入,就可以实现双击直接登录了,

在本地生成公钥和私钥,然后将公钥放到linux的root(也就是~)目录下的ssh文件夹下(隐藏文件夹),如何没有则生成一个。
1 在Mac客户端命令行生成公钥和私钥

2 发送公钥到CentOS服务器端

3 登录服务器进行授权

1可密码、公私钥认证,实现sftp文件上传下载

2脚本

a显示命令行帮助:pythonsftp_downloaderpy-h

b运行:pythonsftp_downloaderpy-uzhangsan-ppassword-pkmy-openssh-private-key-sfmy-server-list-file-path-srcfthe-file-name-to-be-download-ddthe-file-dir-to-save_vote

c可把b中的命名设置成alias(windows平台我用的Cmder终端,可设置alias),使用就简单了

4脚本说明:

aargparse模块使用接收命令行参数,然后分别设置_vote_tie_follow来区分要下载不同类型的服务器日志与传不同的日志路径

beasylog模块,自己封装的日志模块

cgevent,对文件中的多个服务器地址使用协程来加快下载

dparamiko模块,核心使用,ssh连接认证

e只封装了下载,上传、执行服务器命令等可以自己再扩展

d当前只是为了满足方便使用,有很多地方可以调和纠错,指正。


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zz/13428445.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-08-03
下一篇 2023-08-03

发表评论

登录后才能评论

评论列表(0条)

保存