ssh连接linux服务器免认证

SecureCRT密钥远程登录Linux

前言：Linux系统用密钥登录的好处

SSH公钥加密的方式使得对方即使截取了帐号密码，在没有公钥私钥的情况下，依然无法远程ssh登录系统，这样就大大加强了远程登录的安全性。

OS：Centos 6.4

SSH工具：SecureCRT 5.1.3

第一步：打开SecureCRT的连接，如图：

第二步：选择图中从左边开始数第三个图标，新建会话

第三步：默认SSH2的选项，现在我们都是用的SSH服务第二版了。然后在主机名的地方添加我们的ip，这里我们的ip为10.0.0.122，端口为ssh服务的端口这里我们选择默认的22，防火墙一般是没有的，用户名添加我们要登录linux的用户，一般系统的优化是默认不允许root远程登录的，但是这里为了方便演示我们就用root用户吧。

第四步：完成上述操作后还会弹出一个界面，这里描述想不想填随便，点击完成，这样我们就新创建了一个会话来通过CRT工具登录Linux系统

第五步：好了会话生成了我们先不要管，在工具的主界面选择“工具”，在下拉会话中选择“创建公钥”，回弹出下图，选择下一步

第六步：选择下一步会弹出下一个会话界面，我们选择RSA密钥的加密形式，现在SSH2已经支持RSA和DSA两种加密形式了。只不过RSA是字母加密的形式，DSA是证书加密的形式。好的这里我们选择RSA。点击下一步。

第七步：进入设置通行短语界面了，这就类似于我们的用户登录密码，这里我设置为csp!@123，下面的描述就是一个提示作用。输入完毕后我们点击下一步

第八步：就是选择密钥长度，这个密钥生产时间很短，而且是长度越长保密性越好，那么我们就设置最大的2048，反正也费不了多少时间。选择完成下一步：

第九步：这一步就是生成公钥了，值得注意的是，鼠标最好晃着点，不然静止不动生产会很慢的，动起来也就快起来了。好了生产完毕点击进入下一步

第十步：也就是选择我们的公钥的存放位置，这里呢我们选择一个醒目的位置，然后最好给它换个名字，方便我们识别嘛。好了选择好位置改好位置点击完成吧。

第十一步：这里会弹出一个对话框问我们是否选择全局变量。这里我们选择否，如果选择是呢，就是我们CRT所有的需要登录的机器都是密钥登录，而且密钥默认地址都是我们生产密钥的地方。显然对于我们测试的目的来说，还是选否吧，大不了等会再去设置一下嘛。

第十二步：利用ftp或者其他的上传工具将我们生产的公钥CRT_to_linux_for_ila.pub上传到系统上面去，转换SSH2兼容格式的公钥为openssh能识别的公钥格式，转换后的文件名为authorized_keys，这是ssh的公钥文件。然后再顺便将我们新生产的公钥文件放到/etc/.ssh目录下面。命令如下：

[root@csp6 ~]# ssh-keygen-i -f CRT_to_linux_for_ila.pub >>authorized_keys

[root@csp6 ~]# mv authorized_keys/root/.ssh/

[root@csp6 ~]# chmod 600/root/.ssh/authorized_keys 然后这步也挺关键的，将此文件变成600权限，这样就安全一点。而且要这样设置。顺便也要将.ssh的目录权限设置成700权限，不然我们的密钥登录估计要失败。

第十三步：然后我们要去配置文件区进行一下修改，直接将下面的语句插入就行。

[root@csp6 ~]# vi /etc/ssh/ssh_config

RSAAuthentication yes

PubkeyAuthentication yes 启用PublicKey认证

AuthorizedKeysFile .ssh/authorized_keys Pub文件路径lickey

PasswordAuthentication no禁止密码验证登陆

第十四步：然后重启linux系统的ssh服务

[root@csp6~]# service sshd restart

Stoppingsshd: [OK]

Startingsshd: [OK]

第十五步：右击我们新创建的会话10.0.0.122，选择属性界面，进入我们要配置的界面。（因为我们之前在创建公钥的时候没有选择全局变量设置，所以要来我们要来选择密钥登录的会话这里单独的设置一下。）

点击SSH2,在图右边的会话中点击一下“公钥”，这时候公钥右边的属性就会可以点击了，我们点击属性进入到里面。

第十六步：选择使用会话公钥设置，在使用身份或证书文件选择我们我们当初用CRT工具产生了一对密钥对中的不带.pub扩展名的文件。然后点击确定。

第十七步：重新用CRT登录，如果密钥配对成功，就会让我们输入提前设置的通行短语，就是类似于密码的东西。好了我们输入之前我们设置的同行短语csp!@123.点击确定。如果成功就登录了，如果不成功就报错了。

注意：

用CRT密码登录成功后，比方说我们同时打开了多个会话其他的都是密码登录的，我们这台122的机器是密钥登录的，我们将此会话退出了，但是没有退出CRT工具，那么当我们重新登录122系统的时候是什么都不需要输入就默认登录成功的。这就有安全隐患了啊，所以啊当我们不用的时候最好将CRT工具关闭，这样当我们再重新打开CRT重新登录122这台电脑的时候就又需要重新输入通行短语了。

我们用CRT公钥生成工具生成了两个文件，一个是带.pub扩展名的文件，一个是不带.pub扩展名的文件，这里带.pub扩展名的文件就是公钥，不带.pub扩展名的文件就是私钥。公钥和私钥的关系就是锁跟钥匙的关系。我们将锁发给了122这台机器，那么也就是将锁发给了122这台电脑。那么我们就可用我们手中不带.pub扩展名的私钥文件，也就是用我们手中的钥匙去打开122这台电脑的锁便可登录系统了。我们可以将不带.pub扩展名的文件拷贝到我们的U盘上面，这样我们也可以在其他的电脑上面通过密钥文件来访问服务器，并且如果你要是为了安全考虑，就只把密钥放到优盘上面，每次登录之前插上U盘，那么平时你这台电脑就访问不了服务器了。

如果我们既想公钥登录又可以账号密码登录的形式，但是优先级是密钥登录，那么就要首先在操作系统的配置文件里面不禁止账号密码登录，并且用CRT工具将密钥登录放到优先级。注意属性左边有个很明显的上下箭头，我们可以选中公钥，然后一直点击公钥右边的上箭头将它置顶，然后将口令放置于第二位。

转载于:https://blog.51cto.com/laoshuxmao/1303737