Upang ma-setup ang mga SSH key sa pagitan ng dalawang mga server kailangan naming sundin ang mga hakbang na ito:
Lumikha ng isang pangunahing pares sa source server. Kapag binigyan namin ang utos ng ssh-keygen, sa pamamagitan ng default ay lilikha ng isang 2048 -bit na pares ng RSA Key at kung kailangan mo ng mas malakas na pag-encrypt maaari mo ring gamitin ang 4096 bit. Para doon kailangan mong gumamit ng -b 4096 sa dulo ng utos ng ssh-keygen. Gumagamit ako ng default dito.
Ang pares ng mga bagay na aalagaan sa output sa ibaba:
Sa linya Ipasok ang file kung saan i-save ang key (/root/.ssh/id_rsa):
Humihingi ito ng landas upang mai-save ang susi at default na isa ay normal na pagmultahin. Kung maayos ang default, maaari mo lamang pindutin ang enter. Kung nais mong subukan ang kahaliling landas, kailangan mong tukuyin ang pareho doon. Ilang beses sasabihin nito tulad ng:
/ugat/.ssh/mayroon nang id_rsa. Overwrite(at/n)?Dapat kang kumuha ng isang kopya ng .ssh folder bago gumawa ng anumang mga pagbabago o dapat malaman kung ano ang iyong ginagawa. Ang pagpapadala ng isang Oo ay gagawing lumang susi (kung ginagamit na) na hindi gumana.
Sa linya na Ipasok ang passphrase (walang laman para sa walang passphrase): Ito ay isang karagdagang pamamaraan sa seguridad na magtatanong ng passphrase sa bawat oras na susubukan mong mag-login sa SSH at gagana iyon bilang isang 2 hakbang na pag-verify. Ngunit kung kailangan mo ng pag-access sa ssh para sa anumang pag-script o anumang iba pang direktang mga gawa at mabilis na mga gawa, mas mahusay na hindi ito magkaroon. Maliban sa pag-script o pag-automate ng mga gawa, imumungkahi namin sa iyo na siguraduhin mo ito.
Buong resulta ng utos para sa sanggunian:
[protektado ng email]: ~ $ssh-keygenBumubuo ng publiko/pribadong pares ng key ng rsa.
Pasokfile sa alinupang mai-save ang susi(/ugat/.ssh/id_rsa):
Nilikha ang direktoryo'/root/.ssh'.
Ipasok ang passphrase(walang lamanpara sawalang passphrase):
Ipasok muli ang parehong passphrase:
Ang iyong pagkakakilanlan ay nai-savesa /ugat/.ssh/id_rsa
Ang iyong pampublikong key ay nai-savesa /ugat/.ssh/id_rsa.pub.
Ang susi ng fingerprint ay:
SHA256: z4nl0d9vJpo/5bdc4gYZh8nnTjHtXB4Se/UqyuyigUI sumesh@Sige
Ang susiang randomart na imahe ay:
+ --- [RSA 2048] ---- +
| |
| . . |
| . oo.o|
| . = o = o + |
| E S o. * OBo |
| . . * o +. +. = |
| . . . .o =. = ooo |
| . .. + o * .B |
| .. o. o + oB + |
+ ---- [SHA256] ----- +
[protektado ng email] ~ $
Hakbang 2: Kopyahin ang nilikha nitong Key Pair sa iyong Destination Server
Mayroong 2 magkakaibang paraan upang makopya ito sa iyong patutunguhang server
- Gamit ang utos na ssh-copy-id
- Ang pagkopya ng ssh key gamit ang normal na ssh user / pass bilang isang liner mula sa aming lokal na makina o pagkatapos ng pag-log in sa server.
2.1 Gamit ang utos na ssh-copy-id
hahawakan ng ssh-copy-id ang kopya at pag-set up ng susi sa isang remote server sa tamang paraan para sa iyo. Kapag nakumpleto na ang utos hindi mo kakailanganin ang isang password para sa bawat pag-login. Maaari mo na ngayong isulat ang lahat ng iyong mga awtomatikong script para sa system admin na gumagana nang hindi kinakailangang magpasok ng isang password nang manu-mano at makatipid ng oras sa araw-araw na pag-access ng mga system na ginagamit mo sa lahat ng oras.
Una kailangan mong suriin kung mayroong isang utos na tulad nito at kung gumagana ang utos at ang gumagamit kung saan mo sinusubukan ay may access sa utos na ito, maaari mong gamitin ang utos na ito upang kopyahin ang pampublikong key sa remote server. Sine-scan ng Utility na ito ang iyong lokal na account para sa anumang pampublikong rsa key at hihimokin ka para sa password ng account ng malayuang gumagamit.
Dito makokopya namin ang root ssh key sa pag-access sa antas ng root ng mga server. Kaya upang makopya ito, kailangan mong mag-login / lumipat sa gumagamit kung saan mo nilikha ang susi. Sa kasong ito sinusubukan namin ang koneksyon sa root-root.
Ang buong output ay nasa ibaba at nagdaragdag ako ng mga kinakailangang detalye sa pagitan nila
ugat@Pinagmulan]]: ~ $ ssh-copy-id root@192.1.1.19-p 1986Ang pagiging tunay ng host'[192.1.1.19]: 1986 ([192.1.1.19]: 1986)'maaarihindi maitatag.
Ang ECDSA key fingerprint ay SHA256: YYOj54aEJvIle4D2osDiEhuS0NEDImPTiMhHGgDqQFk.
Sigurado ka bang nais mong magpatuloy sa pagkonekta (oo / hindi)? oo
Kung ginagamit mo ito sa unang pagkakataon, makakakuha ka ng ganoong tugon at kailangan mong i-type ang oo at pagkatapos ay pindutin ang enter
/usr/am/ssh-copy-id: INFO: sumusubok na mag-logsagamit ang bagong susi(s),upang i-filter ang anumang naka-install na
/usr/am/ssh-copy-id: INFO:1susi(s)mananatiling mai-install- kungsinenyasan ka
ngayon ito ay upangi-installang mga bagong susi
ugat@192.1.1.19password
Ipasok ang password at pagkatapos ay pindutin ang enter.
Bilang ng mga susi(s)idinagdag:1Ngayon subukang mag-log in sa makina, kasama ang: ssh -p ‘1986’ ‘[protektado ng email] ′
at suriin upang matiyak na gumagana ito ayon sa inaasahan.
Pagkatapos nito magagawa mong mag-login sa server nang walang anumang mga password. Kapag gumagana nang mas mababa ang password ay gumagana nang maayos, maaari mong hindi paganahin ang pagpapatotoo ng password upang ma-lock mo ang ssh access sa paggamit lamang ng ssh keys
2.2 Ang pagkopya ng ssh key gamit ang normal na ssh user / manual na pumasa
Kung ang ilan kung paano hindi mo nagawang gumana ang utos sa itaas, idaragdag ko ang mga hakbang upang makopya mo ang ssh key at mag-set up ng password na mas mababa mula sa iyong machine sa iyong server.
Upang magawa ito kailangan naming manu-manong idagdag ang nilalaman ng iyong id_rsa.pub file sa /root/.ssh/authorized_keys file sa iyong Destination machine. Kung kokopyahin mo ang susi sa pag-root ng gumagamit ang lokasyon ay magiging /root/.ssh/authorized_keys .
Mula sa Hakbang 1: maaaring nakita mo ang linya sa ibaba
Ang iyong pampublikong key ay nai-save sa /root/.ssh/id_rsa.pub.
Sinasabi nito na ang pampublikong key na kailangan mong kopyahin sa remote server ay matatagpuan sa itaas na file. Kaya kailangan mong kopyahin ang nilalaman ng file na ito at pagkatapos ay kopyahin o i-paste ang mga ito sa mga awtorisadong_keys ng remote server
Kaya gawin ang mga hakbang sa ibaba
Sa ibaba ang utos ay magbibigay sa iyo ng susi upang makopya:
[protektado ng email] $pusa /ugat/.ssh/id_rsa.pubssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQCqql6MzstZYh1TmWWv11q5O3pISj2ZFl9Hg
H1JLknLLx44 + tXfJ7mIrKNxOOwxIxvcBF8PXSYvobFYEZjGIVCEAjrUzLiIxbyCoxVyle7Q + bqgZ
8SeeM8wzytsY + dVGcBxF6N4JS + zVk5eMcV385gG3Y6ON3EG112n6d + SMXY0OEBIcO6x + PnUS
GHrSgpBgX7Ks1r7xqFa7heJLLt2wWwkARptX7udSq05paBhcpB0pHtA1Rfz3K2B + ZVIpSDfki9UV
KzT8JUmwW6NNzSgxUfQHGwnW7kj4jp4AT0VZk3ADw497M2G/12N0PPB5CnhHf7ovgy6nL1ik
rygTKRFmNZISvAcywB9GVqNAVE + ZHDSCuURNsAInVzgYo9xgJDW8wUw2o8U77 + xiFxgI5QSZ
X3Iq7YLMgeksaO4rBJEa54k8m5wEiEE1nUhLuJ0X/vh2xPff6SQ1BL/zkOhvJCACK6Vb15mDOeCS
q54Cr7kvS46itMosi/uS66 + PujOO + xt/2FWYepz6ZlN70bRly57Q06J + ZJoc9FfBCbCyYH7U/ASsmY0
95ywPsBo1XQ9PqhnN1/YOorJ068foQDNVpm146mUpILVxmq41Cj55YKHEazXGsdBIbXWhcrRf4G
2fJLRcGUr9q8/lERo9oxRm5JFX6TCmj6kmiFqv +Ow9gI0x8GvaQ== ugat@Pinagmulan
Mag-login sa Remote server kung saan kailangan mong kopyahin ang key sa itaas at tiyaking ginagamit mo ang parehong gumagamit kung saan kailangan mong kopyahin ang ssh key. Kung kailangan mo ng direktang pag-access sa root, kopyahin ang key nang direkta sa seksyong /root/.ssh/
Lumikha ng isang folder .ssh kung wala ito
Upang suriin kung mayroon iyon at kung hindi nilikha ito gamit ang mga sumusunod na utos:
[protektado ng email]: $ls -ang /ugat/.sshKung ang folder ay wala roon, pagkatapos ay likhain ito sa ibaba na utos:
[protektado ng email] $mkdir -p /ugat/.ssh[protektado ng email] $hawakan /ugat/.ssh/pinahintulutan_keys
[protektado ng email]: $itinaponssh-rsa
AAAAB3NzaC1yc2EAAAADAQABAAACAQCqql6MzstZYh1TmWWv11q5O3pISj2ZFl9HgH1JLknLLx44 + tXfJ7mIrKNxOOwxI
xvcBF8PXSYvobFYEZjGIVCEAjrUzLiIxbyCoxVyle7Q + bqgZ8SeeM8wzytsY + dVGcBxF6N4JS + zVk5eMcV385gG3Y6ON3
EG112n6d + SMXY0OEBIcO6x + PnUSGHrSgpBgX7Ks1r7xqFa7heJLLt2wWwkARptX7udSq05paBhcpB0pHtA1Rfz3K2B + ZV
IpSDfki9UVKzT8JUmwW6NNzSgxUfQHGwnW7kj4jp4AT0VZk3ADw497M2G/12N0PPB5CnhHf7ovgy6nL1ikrygTKRFmNZI
SvAcywB9GVqNAVE + ZHDSCuURNsAInVzgYo9xgJDW8wUw2o8U77 + xiFxgI5QSZX3Iq7YLMgeksaO4rBJEa54k8m5wEiEE1
nUhLuJ0X/vh2xPff6SQ1BL/zkOhvJCACK6Vb15mDOeCSq54Cr7kvS46itMosi/uS66 + PujOO + xt/2FWYepz6ZlN70bRly
57Q06J + ZJoc9FfBCbCyYH7U/ASsmY095ywPsBo1XQ9PqhnN1/YOorJ068foQDNVpm146mUpILVxmq41Cj55YKHEazXGsd
BIbXWhcrRf4G2fJLRcGUr9q8/lERo9oxRm5JFX6TCmj6kmiFqv +Ow9gI0x8GvaQ== ugat@Pinagmulan>>
/ugat/.ssh/pinahintulutan_keys
Tiyaking tama ang pahintulot ng folder
chmod -R punta ka na=/ugat/.ssh/Pagkatapos nito mangyaring subukan ang pag-login sa server mula sa isang bagong terminal at tiyaking gumagana ang keyless auth tulad ng inaasahan. Pagkatapos lamang hindi paganahin ang pagpapatotoo ng password sa ssh config.
TANDAAN: Siguraduhin na makakapag-login ka sa server kung kinakailangan mo (maaaring direkta mula sa iyong machine, o maaari kang mag-login sa ibang gumagamit sa remote server at lumipat sa root mula sa account na iyon nang manu-mano gamit ang su o sudo) at pagkatapos lamang huwag paganahin ang password auth pa may mga pagkakataon na ma-lock ang mga root user.
Kung mayroon kang anumang mga pangangailangan maaari kang makipag-ugnay sa akin palagi para sa anumang tulong at ibahagi ang iyong mga komento.