Linux(Centos)配置OpenSSH无密码登陆

企鹅博客
18933
文章
0
评论
2020年1月13日11:20:46 评论 0 views

最近在搭建Hadoop环境需要设置无密码登陆,所谓无密码登陆其实是指通过证书认证的方式登陆,使用一种被称为"公私钥"认证的方式来进行ssh登录。

" 公私钥"认证方式简单的解释:首先在客户端上创建一对公私钥 (公钥文件:~/.ssh/id_rsa.pub; 私钥文件:~/.ssh/id_rsa)。然后把公钥放到服务器上(~/.ssh/authorized_keys), 自己保留好私钥.在使用ssh登录时,ssh程序会发送私钥去和服务器上的公钥做匹配.如果匹配成功就可以登录了。

在Ubuntu和Cygwin 配置都很顺利,而在CentOS系统中配置时遇到了很多问题。故此文以Centos (Centos5 ) 为例详细讲解如何配置证书验证登陆,具体操作步骤如下: 

1. 确认系统已经安装好OpenSSH的server 和client

    安装步骤这里不再讲述,不是本文的重点。

 

2. 确认本机sshd的配置文件(需要root权限)

    $ vi /etc/ssh/sshd_config

    找到以下内容,并去掉注释符”#“

    RSAAuthentication yes
    PubkeyAuthentication yes
    AuthorizedKeysFile      .ssh/authorized_keys

 

3.  如果修改了配置文件需要重启sshd服务 (需要root权限)

   $ vi /sbin/service sshd restart

 

 

4. ssh登陆系统 后执行测试命令:

   $ ssh localhost

   回车会提示你输入密码,因为此时我们还没有生成证书

 

5.生成证书公私钥的步骤:

   $ ssh-keygen -t dsa -P '' -f ~/.ssh/id_dsa
   $ cat ~/.ssh/id_dsa.pub >> ~/.ssh/authorized_keys

 

6.测试登陆 ssh localhost:

   $ ssh localhost

 正常情况下会登陆成功,显示一些成功登陆信息,如果失败请看下面的 一般调试步骤

 

7.一般调试步骤

   本人在配置时就失败了,按照以上步骤依旧提示要输入密码。于是用ssh -v 显示详细的登陆信息查找原因:

   $ ssh -v localhost

   回车显示了详细的登陆信息如下:

 

。。。。。。省略

debug1: Authentications that can continue: publickey,gssapi-with-mic,password

debug1: Next authentication method: gssapi-with-mic


debug1: Unspecified GSS failure. Minor code may provide more information
Unknown code krb5 195

debug1: Unspecified GSS failure. Minor code may provide more information
Unknown code krb5 195

debug1: Unspecified GSS failure. Minor code may provide more information
Unknown code krb5 195

debug1: Next authentication method: publickey
debug1: Trying private key: /home/huaxia/.ssh/identity
debug1: Trying private key: /home/huaxia/.ssh/id_rsa
debug1: Offering public key: /home/huaxia/.ssh/id_dsa
debug1: Authentications that can continue: publickey,gssapi-with-mic,password
debug1: Next authentication method: password
[email protected]'s password:

 

同时用root用户登陆查看系统的日志文件:

 

   $tail /var/log/secure -n 20 

 

。。。。。。省略

Jul 13 11:21:05 shnap sshd[3955]: Accepted password for huaxia from 192.168.8.253 port 51837 ssh2

Jul 13 11:21:05 shnap sshd[3955]: pam_unix(sshd:session): session opened for user huaxia by (uid=0)

Jul 13 11:21:47 shnap sshd[4024]: Connection closed by 127.0.0.1

Jul 13 11:25:28 shnap sshd[4150]:
Authentication refused: bad ownership or modes for file /home/huaxia/.ssh/authorized_keys
Jul 13 11:25:28 shnap sshd[4150]: Authentication refused: bad ownership or modes for file /home/huaxia/.ssh/authorized_keys
Jul 13 11:26:30 shnap sshd[4151]: Connection closed by 127.0.0.1
。。。。。。省略

 

   从上面的日志信息中可知文件/home/huaxia/.ssh/authorized_keys 的权限有问题。

   查看/home/huaxia/.ssh/ 下文件的详细信息如下:

 

$ ls -lh ~/.ssh/

总计 16K

-rw-rw-r-- 1 huaxia huaxia 602 07-13 11:22 authorized_keys

-rw------- 1 huaxia huaxia 672 07-13 11:22 id_dsa

-rw-r--r-- 1 huaxia huaxia 602 07-13 11:22 id_dsa.pub

-rw-r--r-- 1 huaxia huaxia 391 07-13 11:21 known_hosts

   修改文件authorized_keys的权限(权限的设置非常重要,因为不安全的设置安全设置,会让你不能使用RSA功能 ):

 

$ chmod 600 ~/.ssh/authorized_keys

 

   再次测试登陆如下:

 

$ ssh localhost

Last login: Wed Jul 13 14:04:06 2011 from 192.168.8.253

 

   看到这样的信息表示已经成功实现了本机的无密码登陆。

 

8.认证登陆远程服务器(远程服务器OpenSSH的服务当然要启动)

 

    拷贝本地生产的key到远程服务器端(两种方法)

    方法一:

$cat ~/.ssh/id_rsa.pub | ssh 远程用户名@远程服务器ip 'cat - >> ~/.ssh/authorized_keys'

 

    方法二:

    在本机上执行:

$ scp ~/.ssh/id_dsa.pub [email protected]:/home/michael/

    登陆远程服务器[email protected] 后执行:

 

$ cat id_dsa.pub >> ~/.ssh/authorized_keys

 

   本机远程登陆192.168.8.148的测试:

 

$ssh [email protected]

Linux michael-VirtualBox 2.6.35-22-generic #33-Ubuntu SMP Sun Sep 19 20:34:50 UTC 2010 i686 GNU/Linux

Ubuntu 10.10

Welcome to Ubuntu!

* Documentation: https://help.ubuntu.com/

216 packages can be updated.

71 updates are security updates.

New release 'natty' available.

Run 'do-release-upgrade' to upgrade to it.

Last login: Wed Jul 13 14:46:37 2011 from michael-virtualbox

[email protected]:~$

    可见已经成功登陆。

 

chmod 600 ~/.ssh/authorized_keys

继续阅读
  • 版权声明: 发表于 2020年1月13日11:20:46
  • 转载注明:https://www.qieseo.com/210140.html
Docker 涉密信息管理介绍 Linux教程

Docker 涉密信息管理介绍

容器正在改变我们对应用程序和基础设施的看法。无论容器内的代码量是大还是小,容器架构都会引起代码如何与硬件相互作用方式的改变 —— 它从根本上将其从基础设施中抽象出来。对于容器安全来说,在 Docker...
Fedora如何设置启动默认进入文本模式 Linux教程

Fedora如何设置启动默认进入文本模式

Fedora安装成功后一般启动默认进入的是图形模式,但是图形模式会占用大量的资源,对于怎样修改为启动默认进入文本模式,在网上搜索一般得到的答案是,修改/etc/inittab文件: vi /etc/i...
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: