场景
192.168.0.169 和?192.168.0.189 服务器的userAgent用户?通过 noPassUser 用户免密登录?192.168.0.248 服务器
快速配置
配置用户和ssh证书
192.168.0.248
# 新增 noPassUser 用户、设置密码
[root]# useradd noPassUser
[root]# passwd noPassUser
更改用户 noPassUser 的密码 。
新的 密码:
passwd:所有的身份验证令牌已经成功更新
# 切换 noPassUser用户,创建ssh 证书
[root]# su noPassUser
[noPassUser]# ssh-keygen -m PEM -t rsa
Enter file in which to save the key (/home/noPassUser/.ssh/id_rsa):
Enter file in which to save the key (/home/noPassUser/.ssh/id_rsa):
... ...
[noPassUser]# cd /home/noPassUser
[noPassUser]# chmod 700 .ssh
[noPassUser]# cd .ssh/
[noPassUser]# touch authorized_keys
[noPassUser]# chmod 600 *
注意:.ssh目录的权限为700,其下文件authorized_keys和私钥的权限为600。否则会因为权限问题导致无法免密码登录
192.168.0.169/189
创建userAgent 用户和配置ssh证书 和 248 一样
公钥配置
将169和189服务器上的?id_rsa.pub 内容追加到?248 的?/home/noPassUser/.ssh/authorized_keys
169??id_rsa.pub >>??/home/noPassUser/.ssh/authorized_keys
189? id_rsa.pub >>??/home/noPassUser/.ssh/authorized_keys
[noPassUser .ssh]$cat authorized_keys
ssh-rsa AAAAB*******************u73sDWUc= userAgent@192.168.0.169
ssh-rsa AAAAB*******************6psyT4/U= userAgent@192.168.0.189
注意:追加是?>> ,如果用 > 是覆盖
免密登录
192.168.0.169/189
[userAgent]$ ssh noPassUser@192.168.0.248
.
.
.
[noPassUser ~]$ 免密登录248服务器成功
[noPassUser ~]$ exit
logout
Connection to 192.168.0.248 closed.
[userAgent]$ ll
-rw------- 1 userAgent userAgent 2459 Jul 13 16:35 id_rsa
-rw-r--r-- 1 userAgent userAgent 562 Jul 13 16:35 id_rsa.pub
-rw-r--r-- 1 userAgent userAgent 175 Jul 13 16:46 known_hosts
[userAgent]$ cat known_hosts
192.168.0.248 ecdsa-sha2-nistp256 AAAAE*********ajc5A=
登录成功之后,248会把公钥传递给169/189,保存在known_hosts中,以后再次连接时,248会依然传递给新的公钥,openSSH会核对公钥,如果两个公钥不同,openSSHare会发起警告,避免受到DNS Hijack之类的攻击。
|