[TOC] ## 概念 ### 密鑰是什么 密鑰（key）是一個非常大的數字，通過加密算法得到。對稱加密只需要一個密鑰，非對稱加密需要兩個密鑰成對使用，分為公鑰（public key）和私鑰（private key） ### 密鑰登錄的過程 SSH 密鑰登錄分為以下的步驟，整個流程是自動的。 0. 預備步驟，客戶端生成自己的公鑰和私鑰 1. 客戶端的公鑰放入遠程服務器的指定位置。 2. 服務器收到用戶 SSH 登錄的請求，發送一些隨機數據給用戶，要求用戶證明自己的身份。 3. 客戶端收到服務器發來的數據，使用私鑰對數據進行簽名，然后再發還給服務器。 4. 服務器收到客戶端發來的加密簽名后，使用對應的公鑰解密，然后跟原始數據比較。如果一致，就允許用戶登錄。 ### 參數說明 ``` -b 參數指定密鑰的二進制位數,-b至少應該是1024，更安全一些可以設為2048或者更高 -C 參數可以為密鑰文件指定新的注釋 如: -C "your_email@domain.com" or -C "test key" -f 參數指定生成的私鑰文件 如: ssh-keygen -t dsa -f mykey 會在 當前目錄生成私鑰文件mykey和公鑰文件mykey.pub -F 參數檢查某個主機名是否在known_hosts文件里面 如: ssh-keygen -F example.com -N 參數用于指定私鑰的密碼 如: ssh-keygen -t dsa -N secretword -p 參數用于重新指定私鑰的密碼（passphrase） 與-N的不同之處在于，新密碼不在命令中指定，而是執行后再輸入 -R 參數將指定的主機公鑰指紋移出known_hosts文件 如: ssh-keygen -R example.com -t 參數用于指定生成密鑰的加密算法，一般為dsa或rsa ``` ## 操作流程 ### 生成密鑰 方式一: dsa ``` ssh-keygen -t dsa ``` 生成秘鑰`~/.ssh/id_dsa`,生成公鑰`~/.ssh/id_dsa.pub` 方式二: rsa ``` ssh-keygen -t rsa ``` 生成秘鑰`~/.ssh/id_rsa`,生成公鑰`~/.ssh/id_rsa.pub` 生成密鑰以后，建議修改它們的權限，防止其他人讀取 ``` $ chmod 600 ~/.ssh/id_rsa $ chmod 600 ~/.ssh/id_rsa.pub ``` ### 上傳公鑰 #### 手動上傳 你要以哪個用戶的身份登錄到服務器，密鑰就必須保存在該用戶主目錄的`~/.ssh/authorized_keys`文件 手動上產 ``` cat ~/.ssh/id_rsa.pub | ssh root@192.168.0.126 "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys" ``` 設置為只有自己可寫 ``` chmod 644 ~/.ssh/authorized_keys ``` #### ssh-copy-id 自動上傳公鑰 ``` ssh-copy-id -i key_file user@host ``` >[info] 公鑰文件可以不指定路徑和.pub后綴名，ssh-copy-id會自動在~/.ssh目錄里面尋找 ## 場景 ### 生成ssh 證書 `ssh-keygen -t rsa -P '' ` ### 管理機的秘鑰發給其他節點 ``` # ssh-keygen -t rsa -P '' # ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.0.111 # ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.0.229 // ssh 連接 # ssh root@192.168.0.111 //or # ssh -i ~/.ssh/id_rsa root@192.168.0.111 ```