linux服务器互信

今天研究linux互信的建立 基于双机的双机环境192.168.1.253    服务器192.168.1.92，192.168.1.94 互为双机    192.168.1.91为客户端
    在91执行
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Created directory ‘/root/.ssh‘.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
e0:f0:3b:d3:0a:3d:da:42:01:6a:61:2f:6c:a0:c6:e7 user1@rh.test.com
以上执行过程生成两个密钥文件,一个公钥一个私钥.

再执行
 scp ~/.ssh/id_rsa.pub 192.168.1.253:~/.ssh/authorized_keys
这时会把公钥文件拷贝到双机中正在提供服务的那台机器上去，查看authorized_keys文件，为以下内容：
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA32BWQbzoQBbqM5khbrwHfYuuAq306l7A6UFRq6KDe+m5OaIIku9QOs6MXylK466s5Q/s5YR6cpRzdEY4c6XRJ4BpL5zVPIXejD8OmfQK5t9dQDHoFCBpX/K6O+vZSn9+ppve1c/RMInphlpddnq8C/Bq0847jSiNtJfYhDMiIUNQ5fmpE3ajGj2yjztS1gL8Mb6NfOA19/X3ggQQo2PoFUr7RaT+8x1wrXztQGvfx+I8omaBm2upD3uLmEht7621EVY4OP80sDc9AJdYQUwyHKC8gd2/N7GmHK2EmWllaWqb3jCHzWJB2njsmaZy8QcoxiY4DYlKtS/L0wSfFIWbeQ== root@linux-hs6z

此时在192.168.1.91上也会生成一个文件，known_hosts，里面有一行
192.168.1.253 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEA2mfCt6NPmUtWHJCS4+LxYD4d1N+t/QeJakiklWUZPy3pT1n4X5S73iJGqI+EoRj2JiX518hlxMCKKUSdVoesqqDKmBjW7zualC0YLfklxp7W/fK34tD1V3Uu6HXVwkursDR183W5VDYTjbsCB/tGx6yxtHLoECvdID0N3IUc47U=

这里可以看出，建立互信后，在客户端91上会有一个配置文件，配置的是连接服务器253上的私钥，通过这个私钥就能通过服务器的验证。

做完以上操作后 通过ssh 192.168.1.253能够不输入密码就能访问253服务器了。访问的是提供服务的主机94
然后进行双机切换，将双机的主机切换到92上，这时再执行ssh 192.168.1.253，报以下错
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
d6:64:63:91:5c:31:ce:4c:8e:dd:d9:56:c8:f2:26:ff.
Please contact your system administrator.
Add correct host key in /root/.ssh/known_hosts to get rid of this message.
Offending key in /root/.ssh/known_hosts:18
RSA host key for 192.168.1.253 has changed and you have requested strict checking.
Host key verification failed.

提示公钥已经改变，说明通过我们本地的私钥去×××器上的公钥找不到。
那么直接通过浮动IP来进行互信的策略失败。

客户端（91）针对每个服务器都会有对应的一个私钥，如果在91上要执行ssh 192.168.1.92 那么91服务器就是客户端，92服务器就是服务端
以后每往一个服务器发送一个公钥，都会在这个文件里面增加一行，记录的格式如上，服务器地址和私钥

同时 如果要让我们的92服务器支持多台客户端，必须不能在每台客户端都用scp ~/.ssh/id_rsa.pub 192.168.1.92:~/.ssh/authorized_keys 命令
不然每次执行都会覆盖前一个公钥，导致公钥不可用

那么就可以在客户端先执行scp ~/.ssh/id_rsa.pub 192.168.1.92:~/.ssh/authorized_keys3
然后再执行  ssh root@192.168.1.92 "cat ~/.ssh/authorized_keys4 >> ~/.ssh/authorized_keys"
把临时公钥的内容写到公钥列表中，然后执行  ssh root@192.168.1.81 rm  ~/.ssh/authorized_keys3

最后测试ssh 192.168.1.92 不用密码也能访问
 

转载于:https://blog.51cto.com/liyanping/1122444