Để thiết lập khóa SSH giữa hai máy chủ, chúng ta cần làm theo các bước sau:
Tạo một cặp khóa trên máy chủ nguồn. Khi chúng tôi cung cấp lệnh ssh-keygen, theo mặc định, nó sẽ tạo một cặp Khóa RSA 2048-bit và nếu bạn cần mã hóa mạnh hơn, bạn cũng có thể sử dụng 4096 bit. Để làm được điều đó, bạn cần sử dụng -b 4096 trong phần cuối của lệnh ssh-keygen. Tôi đang sử dụng một cái mặc định ở đây.
Một số điều cần quan tâm trong đầu ra dưới đây:
Trong dòng Nhập tệp để lưu khóa (/root/.ssh/id_rsa):
Nó đang yêu cầu đường dẫn để lưu khóa và một đường dẫn mặc định là bình thường. Nếu mặc định là ổn, bạn chỉ cần nhấn enter. Nếu bạn muốn thử đường dẫn thay thế, thì bạn cần chỉ định đường dẫn tương tự ở đó. Đôi khi điều này sẽ nói như:
/nguồn gốc/.ssh/id_rsa đã tồn tại. Ghi đè(và/n)?Bạn nên tạo một bản sao của thư mục .ssh trước khi thực hiện bất kỳ thay đổi nào hoặc nên biết bạn đang làm gì. Gửi một Có sẽ làm cho khóa cũ (nếu đã được sử dụng) không hoạt động.
Trong dòng Nhập cụm mật khẩu (trống không có cụm mật khẩu): Đây là một quy trình bảo mật bổ sung sẽ yêu cầu cụm mật khẩu mỗi lần khi bạn cố gắng đăng nhập vào SSH và điều đó sẽ hoạt động như xác minh 2 bước. Nhưng nếu bạn cần quyền truy cập ssh cho bất kỳ tập lệnh nào hoặc bất kỳ tác phẩm trực tiếp nào khác và các tác phẩm nhanh chóng, thì tốt hơn là không nên có điều này. Ngoài việc viết kịch bản hoặc tự động hóa các tác phẩm, chúng tôi sẽ đề xuất bạn nên có điều này chắc chắn.
Toàn bộ kết quả của lệnh để tham khảo:
[email được bảo vệ]: ~ $ssh-keygenTạo công khai/cặp khóa rsa riêng.
Vàotập tin trong cái màđể lưu chìa khóa(/nguồn gốc/.ssh/id_rsa):
Thư mục đã tạo'/root/.ssh'.
Nhập cụm mật khẩu(trốngvìkhông có mật khẩu):
Nhập lại cùng một cụm mật khẩu:
Giấy tờ tùy thân của bạn đã được lưutrong /nguồn gốc/.ssh/id_rsa.
Khóa công khai của bạn đã được lưutrong /nguồn gốc/.ssh/id_rsa.pub.
Dấu vân tay quan trọng là:
SHA256: z4nl0d9vJpo/5bdc4gYZh8nnTjHtXB4Se/UqyuyigUI sumesh@Sree
Chìa khóahình ảnh ngẫu nhiên của là:
+ --- [RSA 2048] ---- +
| |
| . |
| . oo.o |
| . = o = o + |
| E S o. * OBo |
| . . * hoặc +. +. = |
| . . . .o =. = ooo |
| . .. + o * .B |
| .. o. o + oB + |
+ ---- [SHA256] ----- +
[email được bảo vệ] ~ $
Bước 2: Sao chép Cặp khóa đã tạo này vào Máy chủ đích của bạn
Có 2 cách khác nhau để sao chép dữ liệu này vào máy chủ đích của bạn
- Sử dụng lệnh ssh-copy-id
- Sao chép khóa ssh bằng user / pass ssh thông thường dưới dạng một lớp lót từ máy cục bộ của chúng tôi hoặc sau khi đăng nhập vào máy chủ.
2.1 Sử dụng lệnh ssh-copy-id
ssh-copy-id sẽ xử lý việc sao chép và thiết lập khóa tới máy chủ từ xa theo cách phù hợp với bạn. Sau khi hoàn thành lệnh, bạn sẽ không cần mật khẩu cho mỗi lần đăng nhập. Giờ đây, bạn có thể viết tất cả các tập lệnh tự động của mình cho công việc quản trị hệ thống mà không cần phải nhập mật khẩu theo cách thủ công và tiết kiệm thời gian truy cập hàng ngày vào các hệ thống mà bạn sử dụng mọi lúc.
Trước tiên, bạn cần kiểm tra xem có lệnh như thế này không và nếu lệnh đó đang hoạt động và người dùng mà bạn đang thử có quyền truy cập vào lệnh này hay không thì bạn có thể sử dụng lệnh này để sao chép khóa công khai vào máy chủ từ xa. Tiện ích này sẽ quét tài khoản cục bộ của bạn để tìm bất kỳ khóa công khai rsa nào và sẽ nhắc bạn nhập mật khẩu của tài khoản của người dùng từ xa.
Ở đây chúng ta sẽ sao chép key ssh gốc vào quyền truy cập cấp root của máy chủ. Vì vậy, để sao chép điều này, bạn cần đăng nhập / chuyển sang người dùng mà bạn đã tạo khóa. Trong trường hợp này, chúng tôi đang thử kết nối gốc-gốc.
Đầu ra đầy đủ ở bên dưới và tôi đang thêm các chi tiết cần thiết vào giữa chúng
nguồn gốc@Nguồn]]: ~ $ ssh-copy-id root@192.1.1.19-P 1986Tính xác thực của máy chủ'[192.1.1.19]: 1986 ([192.1.1.19]: 1986)'có thểkhông được thành lập.
Dấu vân tay của khóa ECDSA là SHA256: YYOj54aEJvIle4D2osDiEhuS0NEDImPTiMhHGgDqQFk.
Bạn có chắc chắn muốn tiếp tục kết nối (có / không)? đúng
Nếu bạn sử dụng ứng dụng này lần đầu tiên, bạn sẽ nhận được phản hồi như vậy và bạn cần nhập yes, sau đó nhấn enter
/usr/là/ssh-copy-id: INFO: cố gắng đăng nhậptrongvới chìa khóa mới(NS),để lọc ra bất kỳ cái nào đã được cài đặt
/usr/là/ssh-copy-id: THÔNG TIN:1Chìa khóa(NS)vẫn được cài đặt- nếu nhưbạn được nhắc
bây giờ nó làTải vềchìa khóa mới
nguồn gốc@192.1.1.19mật khẩu của:
Nhập mật khẩu và sau đó nhấn enter.
Số lượng chìa khóa(NS)thêm:1Bây giờ hãy thử đăng nhập vào máy, với: ssh -p ‘1986’ ‘[email protected] ′
và kiểm tra để đảm bảo rằng nó đang hoạt động như mong đợi.
Sau đó, bạn sẽ có thể đăng nhập vào máy chủ mà không cần mật khẩu. Khi xác thực ít mật khẩu hoạt động tốt, bạn có thể tắt xác thực mật khẩu để có thể khóa quyền truy cập ssh chỉ bằng cách sử dụng các khóa ssh
2.2 Sao chép khóa ssh bằng cách sử dụng / pass ssh thông thường theo cách thủ công
Nếu một số cách bạn không thể làm cho lệnh trên hoạt động, tôi sẽ thêm các bước để bạn có thể sao chép khóa ssh và thiết lập mật khẩu ít auth từ máy của bạn sang máy chủ của bạn.
Để thực hiện việc này, chúng tôi phải nối thủ công nội dung của tệp id_rsa.pub vào tệp /root/.ssh/authorized_keys trên máy Đích của bạn. Nếu bạn định sao chép khóa cho người dùng root, vị trí sẽ là /root/.ssh/authorized_keys .
Từ Bước 1: bạn có thể đã thấy dòng dưới đây
Khóa công khai của bạn đã được lưu trong /root/.ssh/id_rsa.pub.
Điều này cho biết khóa công khai mà bạn cần sao chép vào máy chủ từ xa nằm trong tệp trên. Vì vậy, bạn cần sao chép nội dung của tệp này và sau đó sao chép hoặc dán chúng vào các khóa_cấp_cấp của máy chủ từ xa
Vì vậy, hãy làm theo các bước dưới đây
Lệnh dưới đây sẽ cung cấp cho bạn khóa được sao chép:
[email được bảo vệ] $con mèo /nguồn gốc/.ssh/id_rsa.pubssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQCqql6MzstZYh1TmWWv11q5O3pISj2ZFl9Hg
H1JLknLLx44 + tXfJ7mIrKNxOOwxIxvcBF8PXSYvobFYEZjGIVCEAjrUzLiIxbyCoxVyle7Q + bqgZ
8SeeM8wzytsY + dVGcBxF6N4JS + zVk5eMcV385gG3Y6ON3EG112n6d + SMXY0OEBIcO6x + PnUS
GHrSgpBgX7Ks1r7xqFa7heJLLt2wWwkARptX7udSq05paBhcpB0pHtA1Rfz3K2B + ZVIpSDfki9UV
KzT8JUmwW6NNzSgxUfQHGwnW7kj4jp4AT0VZk3ADw497M2G/12N0PPB5CnhHf7ovgy6nL1ik
rygTKRFmNZISvAcywB9GVqNAVE + ZHDSCuURNsAInVzgYo9xgJDW8wUw2o8U77 + xiFxgI5QSZ
X3Iq7YLMgeksaO4rBJEa54k8m5wEiEE1nUhLuJ0X/vh2xPff6SQ1BL/zkOhvJCACK6Vb15mDOeCS
q54Cr7kvS46itMosi/uS66 + PujOO + xt/2FWYepz6ZlN70bRly57Q06J + ZJoc9FfBCbCyYH7U/ASsmY0
95ywPsBo1XQ9PqhnN1/YOorJ068foQDNVpm146mUpILVxmq41Cj55YKHEazXGsdBIbXWhcrRf4G
2fJLRcGUr9q8/lERo9oxRm5JFX6TCmj6kmiFqv +Ow9gI0x8GvaQ== gốc@Nguồn
Đăng nhập vào máy chủ Từ xa mà bạn cần sao chép khóa ở trên và đảm bảo rằng bạn sử dụng cùng một người dùng mà bạn cần sao chép khóa ssh. Nếu bạn cần quyền truy cập root trực tiếp, hãy sao chép khóa trực tiếp vào phần /root/.ssh/
Tạo một thư mục .ssh nếu nó không tồn tại
Để kiểm tra xem nó có tồn tại hay không và hãy tạo nó bằng cách sử dụng các lệnh dưới đây:
[email được bảo vệ]: $ls -NS /nguồn gốc/.sshNếu thư mục không có ở đó, hãy tạo nó bằng lệnh dưới đây:
[email được bảo vệ] $mkdir -P /nguồn gốc/.ssh[email được bảo vệ] $chạm vào /nguồn gốc/.ssh/ủy quyền
[email được bảo vệ]: $quăng đissh-rsa
AAAAB3NzaC1yc2EAAAADAQABAAACAQCqql6MzstZYh1TmWWv11q5O3pISj2ZFl9HgH1JLknLLx44 + tXfJ7mIrKNxOOwxI
xvcBF8PXSYvobFYEZjGIVCEAjrUzLiIxbyCoxVyle7Q + bqgZ8SeeM8wzytsY + dVGcBxF6N4JS + zVk5eMcV385gG3Y6ON3
EG112n6d + SMXY0OEBIcO6x + PnUSGHrSgpBgX7Ks1r7xqFa7heJLLt2wWwkARptX7udSq05paBhcpB0pHtA1Rfz3K2B + ZV
IpSDfki9UVKzT8JUmwW6NNzSgxUfQHGwnW7kj4jp4AT0VZk3ADw497M2G/12N0PPB5CnhHf7ovgy6nL1ikrygTKRFmNZI
SvAcywB9GVqNAVE + ZHDSCuURNsAInVzgYo9xgJDW8wUw2o8U77 + xiFxgI5QSZX3Iq7YLMgeksaO4rBJEa54k8m5wEiEE1
nUhLuJ0X/vh2xPff6SQ1BL/zkOhvJCACK6Vb15mDOeCSq54Cr7kvS46itMosi/uS66 + PujOO + xt/2FWYepz6ZlN70bRly
57Q06J + ZJoc9FfBCbCyYH7U/ASsmY095ywPsBo1XQ9PqhnN1/YOorJ068foQDNVpm146mUpILVxmq41Cj55YKHEazXGsd
BIbXWhcrRf4G2fJLRcGUr9q8/lERo9oxRm5JFX6TCmj6kmiFqv +Ow9gI0x8GvaQ== gốc@Nguồn>>
/nguồn gốc/.ssh/ủy quyền
Đảm bảo quyền của thư mục là đúng
chmod -NS đi=/nguồn gốc/.ssh/Sau đó, hãy thử đăng nhập vào máy chủ từ một thiết bị đầu cuối mới và đảm bảo rằng xác thực không cần chìa khóa đang hoạt động như mong đợi. Chỉ sau đó vô hiệu hóa xác thực mật khẩu trong cấu hình ssh.
LƯU Ý: Đảm bảo bạn có thể đăng nhập vào máy chủ khi cần (trực tiếp từ máy của bạn hoặc bạn có thể đăng nhập vào người dùng khác trong máy chủ từ xa và chuyển sang root từ tài khoản đó theo cách thủ công bằng su hoặc sudo) và sau đó chỉ vô hiệu hóa xác thực mật khẩu nếu không sẽ có cơ hội khiến người dùng root bị khóa.
Nếu bạn có nhu cầu, bạn luôn có thể liên hệ với tôi để được giúp đỡ và chia sẻ ý kiến của bạn.