51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

使用公钥/私钥对设定免密的Linux登录方式

作者:Sandra Henry-stocker
系统 Linux
使用一组公钥/私钥对让你不需要密码登录到远程 Linux 系统或使用 ssh 运行命令,这会非常方便,但是设置过程有点复杂。下面是帮助你的方法和脚本。

[[313585]]

使用一组公钥/私钥对让你不需要密码登录到远程 Linux 系统或使用 ssh 运行命令,这会非常方便,但是设置过程有点复杂。下面是帮助你的方法和脚本。

Linux 系统上设置一个允许你无需密码即可远程登录或运行命令的帐户并不难,但是要使它正常工作,你还需要掌握一些繁琐的细节。在本文,我们将完成整个过程,然后给出一个可以帮助处理琐碎细节的脚本。

设置好之后,如果希望在脚本中运行 ssh 命令,尤其是希望配置自动运行的命令,那么免密访问特别有用。

需要注意的是,你不需要在两个系统上使用相同的用户帐户。实际上,你可以把公用密钥用于系统上的多个帐户或多个系统上的不同帐户。

设置方法如下。

在哪个系统上启动?

首先,你需要从要发出命令的系统上着手。那就是你用来创建 ssh 密钥的系统。你还需要可以访问远程系统上的帐户并在其上运行这些命令。

为了使角色清晰明了,我们将场景中的第一个系统称为 “boss”,因为它将发出要在另一个系统上运行的命令。

因此,命令提示符如下:

  1. boss$

如果你还没有在 boss 系统上为你的帐户设置公钥/私钥对,请使用如下所示的命令创建一个密钥对。注意,你可以在各种加密算法之间进行选择。(一般使用 RSA 或 DSA。)注意,要在不输入密码的情况下访问系统,你需要在下面的对话框中的两个提示符出不输入密码。

如果你已经有一个与此帐户关联的公钥/私钥对,请跳过此步骤。

  1. boss$ ssh-keygen -t rsa
  2. Generating public/private rsa key pair.
  3. Enter file in which to save the key (/home/myself/.ssh/id_rsa):
  4. Enter passphrase (empty for no passphrase):            <== 按下回车键即可
  5. Enter same passphrase again:                           <== 按下回车键即可
  6. Your identification has been saved in /home/myself/.ssh/id_rsa.
  7. Your public key has been saved in /home/myself/.ssh/id_rsa.pub.
  8. The key fingerprint is:
  9. SHA256:1zz6pZcMjA1av8iyojqo6NVYgTl1+cc+N43kIwGKOUI myself@boss
  10. The key's randomart image is:
  11. +---[RSA 3072]----+
  12. |     . ..        |
  13. |   E+ .. .       |
  14. |  .+ .o + o      |
  15. |   ..+.. .o* .   |
  16. |    ... So+*B o  |
  17. |    +   ...==B . |
  18. | . o .   ....++. |
  19. |o o   . . o..o+  |
  20. |=..o.. ..o  o.   |
  21. +----[SHA256]-----+

上面显示的命令将创建公钥和私钥。其中公钥用于加密,私钥用于解密。因此,这些密钥之间的关系是关键的,私有密钥绝不应该被共享。相反,它应该保存在 boss 系统的 .ssh 文件夹中。

注意,在创建时,你的公钥和私钥将会保存在 .ssh 文件夹中。

下一步是将公钥复制到你希望从 boss 系统免密访问的系统。你可以使用 scp 命令来完成此操作,但此时你仍然需要输入密码。在本例中,该系统称为 “target”。

  1. boss$ scp .ssh/id_rsa.pub myacct@target:/home/myaccount
  2. myacct@target's password:

你需要安装公钥在 target 系统(将运行命令的系统)上。如果你没有 .ssh 目录(例如,你从未在该系统上使用过 ssh),运行这样的命令将为你设置一个目录:

  1. target$ ssh localhost date
  2. target$ ls -la .ssh
  3. total 12
  4. drwx------ 2 myacct myacct 4096 Jan 19 11:48 .
  5. drwxr-xr-x 6 myacct myacct 4096 Jan 19 11:49 ..
  6. -rw-r--r-- 1 myacct myacct  222 Jan 19 11:48 known_hosts

仍然在目标系统上,你需要将从“boss”系统传输的公钥添加到 .ssh/authorized_keys 文件中。如果该文件已经存在,使用下面的命令将把它添加到文件的末尾;如果文件不存在,则创建该文件并添加密钥。

  1. target$ cat id_rsa.pub >> .ssh/authorized_keys

下一步,你需要确保你的 authorized_keys 文件权限为 600。如果还不是,执行命令 chmod 600 .ssh/authorized_keys

  1. target$ ls -l authorized_keys
  2. -rw------- 1 myself myself 569 Jan 19 12:10 authorized_keys

还要检查目标系统上 .ssh 目录的权限是否设置为 700。如果需要,执行 chmod 700 .ssh 命令修改权限。

  1. target$ ls -ld .ssh
  2. drwx------ 2 myacct myacct 4096 Jan 14 15:54 .ssh

此时,你应该能够从 boss 系统远程免密运行命令到目标系统。除非目标系统上的目标用户帐户拥有与你试图连接的用户和主机相同的旧公钥,否则这应该可以工作。如果是这样,你应该删除早期的(并冲突的)条目。

使用脚本

使用脚本可以使某些工作变得更加容易。但是,在下面的示例脚本中,你会遇到的一个烦人的问题是,在配置免密访问权限之前,你必须多次输入目标用户的密码。一种选择是将脚本分为两部分——需要在 boss 系统上运行的命令和需要在 target 系统上运行的命令。

这是“一步到位”版本的脚本:

  1. #!/bin/bash
  2. # NOTE: This script requires that you have the password for the remote acct
  3. #       in order to set up password-free access using your public key
  4.  
  5. LOC=`hostname`  # the local system from which you want to run commands from
  6.                 # wo a password
  7.  
  8. # get target system and account
  9. echo -n "target system> "
  10. read REM
  11. echo -n "target user> "
  12. read user
  13.  
  14. # create a key pair if no public key exists
  15. if [ ! -f ~/.ssh/id_rsa.pub ]; then
  16.   ssh-keygen -t rsa
  17. fi
  18.  
  19. # ensure a .ssh directory exists in the remote account
  20. echo checking for .ssh directory on remote system
  21. ssh $user@$REM "if [ ! -d /home/$user/.ssh ]; then mkdir /home/$user/.ssh; fi"
  22.  
  23. # share the public key (using local hostname)
  24. echo copying the public key
  25. scp ~/.ssh/id_rsa.pub $user@$REM:/home/$user/$user-$LOC.pub
  26.  
  27. # put the public key into the proper location
  28. echo adding key to authorized_keys
  29. ssh $user@$REM "cat /home/$user/$user-$LOC.pub >> /home/$user/.ssh/authorized_ke
  30. ys"
  31.  
  32. # set permissions on authorized_keys and .ssh (might be OK already)
  33. echo setting permissions
  34. ssh $user@$REM "chmod 600 ~/.ssh/authorized_keys"
  35. ssh $user@$REM "chmod 700 ~/.ssh"
  36.  
  37. # try it out -- should NOT ask for a password
  38. echo testing -- if no password is requested, you are all set
  39. ssh $user@$REM /bin/hostname

脚本已经配置为在你每次必须输入密码时告诉你它正在做什么。交互看起来是这样的:

  1. $ ./rem_login_setup
  2. target system> fruitfly
  3. target user> lola
  4. checking for .ssh directory on remote system
  5. lola@fruitfly's password:
  6. copying the public key
  7. lola@fruitfly's password:
  8. id_rsa.pub                                    100%  567   219.1KB/s   00:00
  9. adding key to authorized_keys
  10. lola@fruitfly's password:
  11. setting permissions
  12. lola@fruitfly's password:
  13. testing -- if no password is requested, you are all set
  14. fruitfly

在上面的场景之后,你就可以像这样登录到 lola 的帐户:

  1. $ ssh lola@fruitfly
  2. [lola@fruitfly ~]$

一旦设置了免密登录,你就可以不需要键入密码从 boss 系统登录到 target 系统,并且运行任意的 ssh 命令。以这种免密的方式运行并不意味着你的帐户不安全。然而,根据 target 系统的性质,保护你在 boss 系统上的密码可能变得更加重要。 

责任编辑:庞桂玉 来源: Linux中国
Linux公钥私钥
相关推荐
TLS和HTTPS加密,私钥体系
最近一段时间,国内各大网站纷纷用上了https连接,在访问这些网站的时候,很多浏览器会给予“特别关照”,给它们的链接旁边加上一个绿色的小锁,那么,什么是https,它与网络安全又有什么关系呢今天我们就来谈谈https与tls(传输层安全)。

2019-02-18 14:18:04

怎样在 Github 中使用登录
手机上按下指纹、或者刷个脸就能进入系统,类似这样的操作就是免密登录,只不过在PC使用浏览器访问网站时,大多都还是需要使用账号密码登录,为了安全性,可能还需要输入各种稀奇古怪的验证码。现在有一种无需输入密码的解决方案:Passkey。

2023-07-27 08:44:49

趣图了解Linux私钥区别以及关系
Linux系统上非对称性加密需要用到公钥、私钥。也常涉及到数字签名、数字证书、CA证书等概念。本文通过有趣的海绵宝宝和它小伙伴故事搭配有趣的图片形式来阐述这些概念,希望能帮助读者更简单易懂地理解这些概念及知识点。

2019-10-10 08:11:08

Linux公钥私钥
区块链私钥有什么区别?
在加密领域,有很多技术术语可供挑选,但总是值得了解它们的含义。

2022-05-17 14:16:54

区块链加密货币私钥
TLS、SSL、CA 证书、私钥...今天捋一捋!
通过HTTPS,客户端可以确认服务端的身份,保证数据在传输过程中不被篡改,当我们在自己的浏览器上与某一个网站建立HTTPS连接的时候,满足如下情况可以表示这个服务端可以被信任。

2023-03-15 10:38:55

用Spring Boot实现https ssl登录
要让项目实现ssl免密登录,首先需要开启https。实际开发中,会在网上申请一个机构颁发的证书。这里为了方便,我会使用openssl命令自己生成一个证书来使用。

2021-01-06 10:09:05

Spring Boothttps sslhttps
JavaScript学习 -- RSA算法应用实例及私钥生成方法
您可以在JavaScript中使用RSA算法进行加密和解密操作,并自动生成公钥和私钥。需要注意的是,生成的公钥和私钥应妥善保管,确保其安全性和保密性,以防止数据泄露和非法使用。

2023-08-04 07:33:57

jsencryptRSA算法
程序员必须了解计算机加密规则-私钥
这些密码学的概念容易被搞混淆,的确也情有可原。因为公钥、私钥、加密、认证这些都是较为复杂的问题,其概念不太容易理解,理解不透就容易产生各种似是而非的概念,为了让大家对于密码学有进一步的了解,这里我就详细解说一下公钥和私钥的具体作用和使用方法。

2018-11-26 09:21:56

详解Java使用Jsch与sftp服务器实现ssh登录
在实际项目中常会遇到需要连接服务器获取文件的场景,如账务系统需要通过连接行方的sftp服务器拉取回单文件。本文将主要讨论使用Java中的jsch与sftp服务器实现ssh免密连接。

2019-10-23 04:37:56

Jschsftp服务器
我做了一个App,如何让别人限时使用
私钥不能泄露,因此放到软件里面的只能是公钥。但是难道能使用私钥加密,用公钥解密?

2022-02-22 20:35:22

公钥私钥数据
为什么用加密却不能用解密?
HTTPS相当于HTTP+TLS,目前主流的是TLS1.2,基于TCP三次握手之后,再来TLS四次握手。

2022-12-13 08:00:39

SSH密钥管理
SSH的密钥管理主要包括两个方面:生成公钥私钥对以及公钥的分发。

2012-10-23 09:54:17

如何保证网络传输数据安全性?
非对称加密算法需要两个密钥:公开密钥(publickey:简称公钥)和私有密钥(privatekey:简称私钥)。公钥与私钥是一对,如果用公钥对数据进行加密,只有用对应的私钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。

2023-07-13 07:35:19

浅析基于技术DNSSEC
DNSSEC采用公钥技术对DNS信息进行数字签名,DNSSEC提供两方面的验证:DNS源发送方身份认证;DNS数据包完整性验证。

2011-05-19 10:39:26

使用Unix密钥启用自动登录
您需要使用sshkeygen来指定Unix密钥加密的类型,创建公钥或私钥。每当需要使用公钥登录到远程主机时,您可以结合使用个人Unix密钥脚本和远程主机上该用户接受的密钥列表。

2010-04-27 15:19:11

Unix密钥
Hadoop中ssh+IP、ssh+别名登录配置
Hadoop运行过程中需要管理远端Hadoop守护进程,在Hadoop启动以后,NameNode是通过SSH(SecureShell)来启动和停止各个DataNode上的各种守护进程的。

2017-06-22 08:58:51

Hadoopssh+IPssh+
密码学简介
在本文中,我试图介绍非对称加密背后的基本概念,尽管只是从头开始讨论了这样一个复杂的话题。

2020-05-20 08:35:55

公钥密码学非对称密码密码
网络安全知识:电子邮件安全
为了加密邮件,LotusNotesDomino为每个用户创建唯一的公钥和私钥。使用私钥对消息进行加密,以便只有拥有公钥的用户才能读取该消息。必须将公钥发送给笔记的预期接收者,以便他们可以使用它来解密加密笔记。如果有人向您发送加密邮件,LotusNotesDomino将使用发件人的公钥为您解密该邮件。

2023-08-27 00:02:49

新版Android已支持FIDO2标准 登录应用或网站
谷歌刚刚宣布了与FIDO联盟达成的最新合作,为Android用户带来了无需密码、即可登录网站或应用的便捷选项。

2019-02-26 09:30:47

AndroidiOS移动系统
不睡觉也要会—支付宝网站支付
公钥和私钥是一个相对概念它们的公私性是相对于生成者来说的。一对密钥生成后,保存在生成者手里的就是私钥,生成者发布出去大家用的就是公钥。

2023-11-28 08:53:15

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服