Pentru a configura cheile SSH între două servere, trebuie să urmăm acești pași:
Creați o pereche de chei pe serverul sursă. Când dăm comanda ssh-keygen, aceasta va crea în mod implicit o pereche de chei RSA de 2048 biți și dacă aveți nevoie de o criptare mai puternică, puteți utiliza și 4096 biți. Pentru aceasta, trebuie să utilizați -b 4096 în capătul de comandă ssh-keygen. Folosesc unul implicit aici.
Câteva lucruri care trebuie luate în considerare în rezultatul de mai jos:
În linie Introduceți fișierul în care să salvați cheia (/root/.ssh/id_rsa):
Solicită calea să salveze cheia, iar cea implicită este normală. Dacă implicit este bine, puteți apăsa pur și simplu Enter. Dacă doriți să încercați o cale alternativă, atunci trebuie să o specificați acolo. Uneori, aceasta va spune:
/rădăcină/.ssh/id_rsa există deja. Suprascrie(și/n)?Ar trebui să luați o copie a folderului .ssh înainte de a face orice modificare sau ar trebui să știți ce faceți. Trimiterea unui Da va face ca vechea cheie (dacă este deja utilizată) să nu funcționeze.
În linia Introduceți expresia de acces (goală fără expresie de acces): Aceasta este o procedură de securitate suplimentară care va solicita expresia de acces de fiecare dată când încercați să vă autentificați la SSH și care va funcționa ca o verificare în doi pași. Dar dacă aveți nevoie de acces ssh pentru orice scenariu sau orice alte lucrări directe și lucrări rapide, atunci este mai bine să nu aveți acest lucru. În afară de scriptarea sau automatizarea lucrărilor, vă vom sugera să aveți acest lucru cu siguranță.
Rezultatul complet al comenzii pentru referință:
[e-mail protejat]: ~ $ssh-keygenGenerarea publicului/pereche de chei private rsa.
introducefişier în carepentru a salva cheia(/rădăcină/.ssh/id_rsa):
Director creat„/root/.ssh”.
Introduceți expresia de acces(golpentrufără expresie de acces):
Introduceți din nou aceeași expresie de acces:
Identificarea dvs. a fost salvatăîn /rădăcină/.ssh/id_rsa.
Cheia dvs. publică a fost salvatăîn /rădăcină/.ssh/id_rsa.pub.
Amprenta cheie este:
SHA256: z4nl0d9vJpo/5bdc4gYZh8nnTjHtXB4Se/UqyuyigUI sumesh@Sree
Cheiaimaginea randomart este:
+ --- [RSA 2048] ---- +
| |
| . .
| . oo.o |
| . = o = o + |
| E S o. * OBo |
| . . * sau +. +. = |
| . . . .o =. = ooo |
| . .. + o * .B |
| .. o. o + oB + |
+ ---- [SHA256] ----- +
[e-mail protejat] ~ $
Pasul 2: copiați această pereche de chei creată pe serverul dvs. de destinație
Există 2 moduri diferite de a copia acest lucru pe serverul dvs. de destinație
- Folosind comanda ssh-copy-id
- Copierea cheii ssh folosind un utilizator / pas normal ssh ca o linie de pe mașina noastră locală sau după conectarea la server.
2.1 Utilizarea comenzii ssh-copy-id
ssh-copy-id va gestiona copierea și configurarea cheii către un server la distanță în modul potrivit pentru dvs. Odată finalizată comanda, nu veți avea nevoie de o parolă pentru fiecare autentificare. Acum puteți scrie toate scripturile automatizate pentru administrarea sistemului fără a fi nevoie să introduceți manual o parolă și să economisiți timp accesul zilnic la sistemele pe care le utilizați tot timpul.
Mai întâi trebuie să verificați dacă există o comandă ca aceasta și dacă comanda funcționează și dacă utilizatorul pe care încercați îl are acces la această comandă, atunci puteți utiliza această comandă pentru a copia cheia publică pe serverul de la distanță. Acest utilitar vă va scana contul local pentru orice cheie publică rsa și vă va solicita parola contului utilizatorului la distanță.
Aici vom copia cheia rădăcină ssh în accesul la nivel de rădăcină al serverelor. Deci, pentru a copia acest lucru, trebuie să vă autentificați / comutați la utilizatorul pentru care ați creat cheia. În acest caz, încercăm conexiunea root-root.
Ieșirea completă este mai jos și adaug detaliile necesare între ele
rădăcină@Sursă]]: ~ $ ssh-copy-id root@192.1.1.19-p 1986Autenticitatea gazdei„[192.1.1.19]: 1986 ([192.1.1.19]: 1986)”poate sasă nu fie stabilit.
Amprenta cheie ECDSA este SHA256: YYOj54aEJvIle4D2osDiEhuS0NEDImPTiMhHGgDqQFk.
Sigur doriți să continuați conectarea (da / nu)? da
Dacă utilizați acest lucru pentru prima dată, veți primi un astfel de răspuns și trebuie să tastați da și apoi să apăsați Enter
/usr/a.m/ssh-copy-id: INFO: încercarea de înregistrareîncu noua cheie(s),pentru a filtra toate cele care sunt deja instalate
/usr/a.m/ssh-copy-id: INFO:1cheie(s)rămân de instalat- dacăvi se solicită
acum esteinstalarenoile taste
rădăcină@192.1.1.19parola:
Introduceți parola și apoi apăsați Enter.
Numărul cheii(s)adăugat:1Acum încercați să vă conectați la mașină, cu: ssh -p ‘1986’ ‘[email protected] ′
și verificați pentru a vă asigura că funcționează conform așteptărilor.
După aceasta, vă veți putea conecta la server fără parole. Odată ce autentificarea cu parolă mai mică funcționează bine, puteți dezactiva autentificarea parolei, astfel încât să puteți bloca accesul ssh doar folosind cheile ssh
2.2 Copierea cheii ssh folosind manual ssh user / pass manual
Dacă nu cumva nu puteți face ca acea comandă de mai sus să funcționeze, voi adăuga pașii, astfel încât să puteți copia cheia ssh și parola de configurare mai puțin autent de pe computerul dvs. pe server.
Pentru a face acest lucru, trebuie să adăugăm manual conținutul fișierului dvs. id_rsa.pub la fișierul /root/.ssh/authorized_keys de pe mașina dvs. de destinație. Dacă aveți de gând să copiați cheia utilizatorului root, locația va fi /root/.ssh/authorized_keys .
De la Pasul 1: este posibil să fi văzut linia de mai jos
Cheia dvs. publică a fost salvată în /root/.ssh/id_rsa.pub.
Aceasta spune că cheia publică pe care trebuie să o copiați pe serverul de la distanță se află în fișierul de mai sus. Deci, trebuie să copiați conținutul acestui fișier și apoi să le copiați sau să le lipiți în tastele_autorizate ale serverului de la distanță
Deci, faceți pașii de mai jos
Comanda de mai jos vă va da cheia de copiat:
[e-mail protejat] $pisică /rădăcină/.ssh/id_rsa.pubssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQCqql6MzstZYh1TmWWv11q5O3pISj2ZFl9Hg
H1JLknLLx44 + tXfJ7mIrKNxOOwxIxvcBF8PXSYvobFYEZjGIVCEAjrUzLiIxbyCoxVyle7Q + bqgZ
8SeeM8wzytsY + dVGcBxF6N4JS + zVk5eMcV385gG3Y6ON3EG112n6d + SMXY0OEBIcO6x + PnUS
GHrSgpBgX7Ks1r7xqFa7heJLLt2wWwkARptX7udSq05paBhcpB0pHtA1Rfz3K2B + ZVIpSDfki9UV
KzT8JUmwW6NNzSgxUfQHGwnW7kj4jp4AT0VZk3ADw497M2G/12N0PPB5CnhHf7ovgy6nL1ik
rygTKRFmNZISvAcywB9GVqNAVE + ZHDSCuURNsAInVzgYo9xgJDW8wUw2o8U77 + xiFxgI5QSZ
X3Iq7YLMgeksaO4rBJEa54k8m5wEiEE1nUhLuJ0X/vh2xPff6SQ1BL/zkOhvJCACK6Vb15mDOeCS
q54Cr7kvS46itMosi/uS66 + PujOO + xt/2FWYepz6ZlN70bRly57Q06J + ZJoc9FfBCbCyYH7U/ASsmY0
95ywPsBo1XQ9PqhnN1/YOorJ068foQDNVpm146mUpILVxmq41Cj55YKHEazXGsdBIbXWhcrRf4G
2fJLRcGUr9q8/lERo9oxRm5JFX6TCmj6kmiFqv +Ow9gI0x8GvaQ== rădăcină@Sursă
Conectați-vă la serverul la distanță pe care trebuie să copiați această cheie de mai sus și asigurați-vă că utilizați același utilizator la care trebuie să copiați cheia ssh. Dacă aveți nevoie de acces direct la root, copiați cheia direct în secțiunea /root/.ssh/
Creați un folder .ssh dacă nu există
Pentru a verifica dacă există și dacă nu, creați-l folosind comenzile de mai jos:
[e-mail protejat]: $eu sunt -la /rădăcină/.sshDacă folderul nu este acolo, atunci creați-l cu comanda de mai jos:
[e-mail protejat] $mkdir -p /rădăcină/.ssh[e-mail protejat] $atingere /rădăcină/.ssh/chei_autorizate
[e-mail protejat]: $aruncatssh-rsa
AAAAB3NzaC1yc2EAAAADAQABAAACAQCqql6MzstZYh1TmWWv11q5O3pISj2ZFl9HgH1JLknLLx44 + tXfJ7mIrKNxOOwxI
xvcBF8PXSYvobFYEZjGIVCEAjrUzLiIxbyCoxVyle7Q + bqgZ8SeeM8wzytsY + dVGcBxF6N4JS + zVk5eMcV385gG3Y6ON3
EG112n6d + SMXY0OEBIcO6x + PnUSGHrSgpBgX7Ks1r7xqFa7heJLLt2wWwkARptX7udSq05paBhcpB0pHtA1Rfz3K2B + ZV
IpSDfki9UVKzT8JUmwW6NNzSgxUfQHGwnW7kj4jp4AT0VZk3ADw497M2G/12N0PPB5CnhHf7ovgy6nL1ikrygTKRFmNZI
SvAcywB9GVqNAVE + ZHDSCuURNsAInVzgYo9xgJDW8wUw2o8U77 + xiFxgI5QSZX3Iq7YLMgeksaO4rBJEa54k8m5wEiEE1
nUhLuJ0X/vh2xPff6SQ1BL/zkOhvJCACK6Vb15mDOeCSq54Cr7kvS46itMosi/uS66 + PujOO + xt/2FWYepz6ZlN70bRly
57Q06J + ZJoc9FfBCbCyYH7U/ASsmY095ywPsBo1XQ9PqhnN1/YOorJ068foQDNVpm146mUpILVxmq41Cj55YKHEazXGsd
BIbXWhcrRf4G2fJLRcGUr9q8/lERo9oxRm5JFX6TCmj6kmiFqv +Ow9gI0x8GvaQ== rădăcină@Sursă>>
/rădăcină/.ssh/chei_autorizate
Asigurați-vă că permisiunea folderului este una corectă
chmod -R merge=/rădăcină/.ssh/După aceasta, vă rugăm să încercați să vă conectați la server de la un terminal nou și asigurați-vă că autentificarea fără cheie funcționează conform așteptărilor. Abia apoi dezactivați autentificarea parolei în configurația ssh.
NOTĂ: Asigurați-vă dublu că sunteți capabil să vă conectați la server, după cum este necesar de dvs. (fie direct de pe computerul dvs., fie vă puteți conecta la un alt utilizator de pe serverul de la distanță și puteți trece la root din acel cont manual folosind su sau sudo) și apoi numai dezactivați autentificarea parolei altfel există șanse să blocați utilizatorii root.
Dacă aveți nevoi, puteți să mă contactați oricând pentru orice ajutor și să vă împărtășiți comentariile.