**公鑰登錄**：用戶將自己的公鑰儲存在遠程主機上。登錄的時候，遠程主機會向用戶發送一段隨機字符串，用戶用自己的私鑰加密后，再發回來。遠程主機用儲存的公鑰進行解密，解密成功則可以直接登錄，不需要再輸入密碼。 **1、在實現公鑰免密登錄之前需要先創建公鑰和私鑰** 可以使用此命令來創建 `ssh-keygen -t?[rsa|dsa]`，如無指定 -t 默認使用dsa加密方式，此命令將會生成公鑰文件和私鑰文件?id_rsa,id_rsa.pub或id\_dsa,id\_dsa.pub。其中.pub是公鑰文件 ``` [root@izwz91quxhnlkan8kjak5hz /]# ssh-keygen Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub. The key fingerprint is: SHA256:75vvEgUH3OgAdk7ZdIOKS/wz55f5tFfAkK0+WnJaElY root@izwz91quxhnlkan8kjak5hz The key's randomart image is: +---[RSA 2048]----+ | o.o=o=oo | | . +o *.E.. | | . ..+ + + | | + . + o o | | . oS. + . | | . +.= * .| | =.X +. .| | .=.+. ..| | +*o.o. | +----[SHA256]-----+ [root@izwz91quxhnlkan8kjak5hz /]# ls ~/.ssh/ authorized_keys id_rsa id_rsa.pub known_hosts ``` **2、把本地主機的公鑰復制到遠程主機的authorized_keys文件上：ssh-copy-id** > ssh-copy-id [option] [user@]hostname > option： > * -i 指定公鑰文件 > * -f 強制模式：不檢查遠程服務器上是否存在密鑰。這意味著它不需要私鑰。當然，這會導致在遠程系統上安裝多個密鑰副本 > * -p 指定遠程主機端口 ``` [root@izwz91quxhnlkan8kjak5hz .ssh]# ssh-copy-id -p 33 182.16.20.194 /usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub" /usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed /usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys ``` **3、authorized\_keys文件說明** 該文件存儲的是遠程登錄的用戶公鑰，ssh-copy-id命令就是將公鑰追加到遠程主機的authorized\_keys文件里。里面記錄了ssh的加密方式以及公鑰字符串。<br> 至此，公鑰免密配置就完成了，再次使用`ssh -p 33 root@182.16.20.194`命令登錄就不需要輸入密碼。 **4、拓展說明** * 設置authorized\_keys文件權限為600，.ssh目錄權限為700 * 其他方式為遠程主機添加本地主機的公鑰： * 第一步：使用此命令將公鑰發送到遠程主機：scp id_rsa.pub root@182.16.20.194:/root/.ssh * 第二步：在遠程主機上創建authorized_keys文件，并設置權限 * 第三步：將公鑰寫入authorized_keys：cat id_rsa.pub >> authorized_keys（>>為追加內容，> 會覆蓋原內容）