ssh互信 ssh私钥免密登录

环境相关：
OS：CentOS release 6.9
IP：192.168.77.10

1. 简单解释

ssh服务可以生成公私钥，公私钥的类型有两种：rsa和dsa，作用是使用私钥免输入密码登录到公钥所在的主机的用户，这就是ssh的是要免密登录。
ssh互信是指多个用户之间相互配置免密登录，可以是自己配置免密登录自己，做互信用的公私钥可以是多套也可以是一套。
下面介绍几个常用的免密登录或者互信的使用场景。

2. 相关目录和权限说明

相关环境目录和文件说明：

# 某用户的ssh公私钥所在目录在用户家目录的.ssh目录下
# 主机安装后，如果该用户从来没有使用过ssh命令连接到任何主机，此时~/.ssh目录是不存在的
# 不建议手动创建，使用一次ssh命令连接自己即可创建出来
useradd vincent
echo vincent|passwd --stdin vincent
su - vincent
ls -la .ssh
# ls: cannot access .ssh: No such file or directory
ls -la ~/.ssh
# ls: cannot access /home/vincent/.ssh: No such file or directory
# 以英文据点开始的文件或者目录是隐藏的，使用ls -a参数可以查看到

ssh 127.0.0.1
# The authenticity of host '127.0.0.1 (127.0.0.1)' can't be established.
# RSA key fingerprint is 02:da:60:ad:4f:3e:d2:6b:33:b3:9a:27:d5:e3:80:e7.
# Are you sure you want to continue connecting (yes/no)?
# 显示以上信息时.ssh目录已经创建了，此时直接ctrl+c结束掉即可
# 也可以输入yes回车，然后输入密码进行ssh登录，以用户自己登陆到主机的回环地址下的用户自己

ls -ld ~/.ssh/
# drwx------ 2 vincent vincent 4096 Jan  2 12:22 /home/vincent/.ssh/
# 如果要手动创建，则该目录的权限要设置成700，不推荐手动创建，创建命令如下：
# su - vincent
# mkdir ~/.ssh
# chmod 700 ~/.ssh

cd ~/.ssh
# 上一步ctrl+c结束掉，此时该目录为空
# 如果上一步没有ctrl+c结束掉，正常登录后该目录会有一个叫做 known_hosts 文件
# 记录已经连接过的主机信息

ssh 127.0.0.1
# The authenticity of host '127.0.0.1 (127.0.0.1)' can't be established.
# RSA key fingerprint is 02:da:60:ad:4f:3e:d2:6b:33:b3:9a:27:d5:e3:80:e7.
# Are you sure you want to continue connecting (yes/no)? yes
# Warning: Permanently added '127.0.0.1' (RSA) to the list of known hosts.
# 这一句警告就是说将 127.0.0.1 (RSA)信息添加到已知的主机信息中，即known_hosts文件中
# vincent@127.0.0.1's password: 
exit
ls -l known_hosts 
# -rw-r--r-- 1 vincent vincent 391 Jan  2 12:32 known_hosts
# 文件权限是644，完全没有必要手动创建

ssh -o StrictHostKeyChecking=no localhost
# Warning: Permanently added 'localhost' (RSA) to the list of known hosts.
# vincent@localhost's password: 
# Last login: Tue Jan  2 12:32:28 2018 from 127.0.0.1
exit
# 如果不想在第一次连接到某主机某的用户时交互的输入yes（即known_hosts文件中没有该主机的该用户的信息）
# 可以使用 -o StrictHostKeyChecking=no 参数默认自动添加未知主机到known_hosts文件中
# 这是一个非常技巧性的参数

# 生成rsa的公私钥
ssh-keygen -t rsa
# 输入该命令敲回车之后，还需要连续敲三次回车，当然每次回车之前是可以输入一些信息的
# 比如第一次是指定生成的公私钥文件名，一般建议默认，第二次和第三次是输入密码和确认密码
ls -l
# -rw------- 1 vincent vincent 1675 Jan  2 12:45 id_rsa
# -rw-r--r-- 1 vincent vincent  397 Jan  2 12:45 id_rsa.pub
# 文件id_rsa就是默认生成的私钥文件，权限只能是600，如果不是这个权限，则会出问题
# 文件id_rsa.pub是默认生成的公钥文件，权限是644

# 理论上讲只要某台机器的某个用户上有刚才生成的公钥文件，那么用私钥文件就能够免密码登录到该机器
# 公钥像锁，私钥像该锁的钥匙，把公钥放到某主机的某用户下，相当于在某用户的门上安装了一把自己有钥匙的锁
# 自己拿着钥匙就能开锁进门了
# 但是公钥可能有很多个，比如多个用户都要免密码登录到一个主机的某个用户下
# 因此公钥文件不能直接使用，而要生成另外一个文件存放所有公钥用于免密登录
cat id_rsa.pub >> authorized_keys
chmod 600 authorized_keys
ssh 127.0.0.1 date
# 该文件的权限只能是600，否则也是无法免密登录的
# ssh IP CMD 是指ssh到主机后执行命令CMD，然后退出主机

# 以上配置authorized_keys文件是手工配置，是有正规的命令自动配置的
ssh-copy-id 127.0.0.1
# vincent@127.0.0.1's password: 
# Now try logging into the machine, with "ssh '127.0.0.1'", and check in:
#  .ssh/authorized_keys
# to make sure we haven't added extra keys that you weren't expecting.
# 推荐该操作
# 使用 ssh-copy-id 命令，会在authorized_keys不断追加公钥信息

# 生成dsa的公私钥
ssh-keygen -t dsa
# 操作上只有这一个区别
# 一般只生成rsa的公私钥即可

3. 场景一：某用户自己免密登录自己

# 环境清理：
rm -rf ~/.ssh
# 正式开始设置：
mkdir ~/.ssh
chmod 700 ~/.ssh
ssh-keygen -t rsa
ssh-keygen -t dsa
cd ~/.ssh
cat *.pub >> authorized_keys
# 因为生成了rsa和dsa的密钥，因此需要将两个公钥文件内容写入authorized_keys文件
chmod 600 authorized_keys
ssh -o StrictHostKeyChecking=no 127.0.0.1 date
ssh -o StrictHostKeyChecking=no localhost date
ssh -o StrictHostKeyChecking=no $(hostname) date
ssh -o StrictHostKeyChecking=no $(hostname -i) date
# 以上四条命令是指连接到回环地址，回环地址主机名，主机名，主机名对外IP地址
# 这四条命令是必须要执行的，因为一般或者某些第三方程序测试互信的时候不会使用参数 -o StrictHostKeyChecking=no 的
# 此时known_hosts没有相关信息，需要手动输入yes，或者测试互信就直接失败掉了
# 比如oracle的10gRAC搭建过程中测试互信的时候就会发生该类问题，导致互信检测失败

4. 场景二：某用户要批量控制多个主机多个用户

rm -rf ~/.ssh
mkdir ~/.ssh
chmod 700 ~/.ssh
ssh-keygen -t rsa
ssh-keygen -t dsa
# 配置私钥
ssh-copy-id root@192.168.77.67
ssh -o StrictHostKeyChecking=no root@192.168.77.67 date
# 当前用户可以免密登录到对应IP的root用户，当前用户是否为root，没有限制
ssh-copy-id root@192.168.1.251
ssh -o StrictHostKeyChecking=no root@192.168.1.251 date
# 多个网段也是可以的，只要IP和端口是通的即可

5. 场景三：两用户（多用户）互信

useradd vincent1
useradd vincent2
useradd vincent3
echo vincent|passwd --stdin vincent1
echo vincent|passwd --stdin vincent2
echo vincent|passwd --stdin vincent3
# 创建三个用户作为实验用模拟用户

su - vincent1
mkdir ~/.ssh
chmod 700 ~/.ssh
ssh-keygen -t rsa
ssh-keygen -t dsa
ssh-copy-id vincent1@127.0.0.1
ssh-copy-id vincent2@127.0.0.1
ssh-copy-id vincent3@127.0.0.1
ssh -o StrictHostKeyChecking=no vincent1@127.0.0.1 date
ssh -o StrictHostKeyChecking=no vincent2@127.0.0.1 date
ssh -o StrictHostKeyChecking=no vincent3@127.0.0.1 date
exit
# 配置vincent1的公私钥，配置vincent1到自己和另外两个用户的免密登录

su - vincent2
mkdir ~/.ssh
chmod 700 ~/.ssh
ssh-keygen -t rsa
ssh-keygen -t dsa
ssh-copy-id vincent1@127.0.0.1
ssh-copy-id vincent2@127.0.0.1
ssh-copy-id vincent3@127.0.0.1
ssh -o StrictHostKeyChecking=no vincent1@127.0.0.1 date
ssh -o StrictHostKeyChecking=no vincent2@127.0.0.1 date
ssh -o StrictHostKeyChecking=no vincent3@127.0.0.1 date
exit
# 配置vincent2的公私钥，配置vincent2到自己和另外两个用户的免密登录

su - vincent3
mkdir ~/.ssh
chmod 700 ~/.ssh
ssh-keygen -t rsa
ssh-keygen -t dsa
ssh-copy-id vincent1@127.0.0.1
ssh-copy-id vincent2@127.0.0.1
ssh-copy-id vincent3@127.0.0.1
ssh -o StrictHostKeyChecking=no vincent1@127.0.0.1 date
ssh -o StrictHostKeyChecking=no vincent2@127.0.0.1 date
ssh -o StrictHostKeyChecking=no vincent3@127.0.0.1 date
exit
# 配置vincent3的公私钥，配置vincent3到自己和另外两个用户的免密登录

6. 场景四：全部一套公私钥

所有的主机都是用同一套公私钥和authorized_keys文件，这个情况是偷懒的方法，也容易留下后门，不推荐使用，如果有人攻破了你一台主机，那么相当于你的所有机器都被攻破：

mkdir ~/.ssh
chmod 700 ~/.ssh
ssh-keygen -t rsa
ssh-keygen -t dsa
cd ~/.ssh
cat *.pub >> authorized_keys
scp -r ~/.ssh USER@IP:~/
# 使用scp 分发该目录，分发到哪里，哪里就能相互的直接互信
# 相当方便，但请不要跟别人讲是从本博文看到的方法。┏(゜ω゜)=☞ 走你。

[TOC]