（SSH体系下的公私密钥的介绍和使用技巧）

SSH下authorized_keys, id_rsa, id_rsa.pub, known_hosts作用

known_hosts

SSH会把你每个你访问过计算机的公钥(public key)都记录在~/.ssh/known_hosts。当下次访问相同计算机时，OpenSSH会核对公钥。如果公钥不同，OpenSSH会发出警告， 避免你受到DNS Hijack之类的攻击。我在上面列出的情况，就是这种情况。

原因

一台主机上有多个Linux系统，会经常切换，那么这些系统使用同一ip，登录过一次后就会把ssh信息记录在本地的~/.ssh/known_hosts文件中，切换该系统后再用ssh访问这台主机就会出现冲突警告，需要手动删除修改known_hosts里面的内容。

有以下两个解决方案：

1. 手动删除修改known_hosts里面的内容；
2. 修改配置文件“~/.ssh/config”，加上这两行，重启服务器。

StrictHostKeyChecking no
UserKnownHostsFile /dev/null

优缺点

1. 需要每次手动删除文件内容，一些自动化脚本的无法运行（在SSH登陆时失败），但是安全性高；
2. SSH登陆时会忽略known_hosts的访问，但是安全性低；

id_rsa、id_rsa.pub

我们做对称加密或是非对称加密：都需要公钥和私钥。

• 公钥其实就是:id_rsa.pub：我们的客户端公钥上传到服务器，然后再把这个客户端公钥添加到authorized_keys。
• 添加公钥后，服务器就会认为你这个客户端为可信任。你则可以访问这个服务器了。但是必须要有私钥

获取id_rsa.pub

密钥形式登录的原理是：利用密钥生成器制作一对密钥——一只公钥和一只私钥。将公钥添加到服务器的某个账户上，然后在客户端利用私钥即可完成认证并登录。这样一来，没有私钥，任何人都无法通过SSH暴力破解你的密码来远程登录到系统。此外，如果将公钥复制到其他账户甚至主机，利用私钥也可以登录。

下面来讲解如何在Linux服务器上制作密钥对，将公钥添加给账户，设置SSH，最后通过客户端登录。

制作密钥对

首先在服务器上制作密钥对。首先用密码登录到你打算使用密钥登录的账户，然后执行以下命令：

[root@host ~]# ssh-keygen  <== 建立密钥对
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): <== 按 Enter
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase): <== 输入密钥锁码，或直接按 Enter 留空
Enter same passphrase again: <== 再输入一遍密钥锁码
Your identification has been saved in /root/.ssh/id_rsa. <== 私钥
Your public key has been saved in /root/.ssh/id_rsa.pub. <== 公钥
The key fingerprint is:
0f:d3:e7:1a:1c:bd:5c:03:f1:19:f1:22:df:9b:cc:08 root@host

密钥锁码在使用私钥时必须输入，这样就可以保护私钥不被盗用。当然，也可以留空，实现无密码登录。

现在，在root用户的家目录中生成了一个.ssh的隐藏目录，内含两个密钥文件。id_rsa为私钥，id_rsa.pub为公钥。

在服务器上安装公钥

键入以下命令，在服务器上安装公钥：

[root@host ~]# cd .ssh
[root@host .ssh]# cat id_rsa.pub >> authorized_keys

如此便完成了公钥的安装。为了确保连接成功，请保证以下文件权限正确：

[root@host .ssh]# chmod 600 authorized_keys
[root@host .ssh]# chmod 700 ~/.ssh

1. 设置SSH，打开密钥登录功能

编辑修改 /etc/ssh/sshd_config文件，进行如下设置：

cp /etc/ssh/sshd_config sshd_config_bk} #备份配置文件
sed -i 's@#Port 22@Port 22@' /etc/ssh/sshd_config #保证原来22端口可以
vi /etc/ssh/sshd_config

RSAAuthentication yes
PubkeyAuthentication yes

另外，请留意root用户能否通过SSH登录：

PermitRootLogin yes

当你完成全部设置，并以密钥方式登录成功后，再禁用密码登录：

PasswordAuthentication no

最后，重启SSH服务：

[root@host .ssh]# service sshd restart

authorized_keys

就是为了让两个linux机器之间使用ssh不需要用户名和密码。采用了数字签名RSA或者DSA来完成这个操作

案例分析

• A 服务器（192.168.10.11）为客户机器
• B 服务器（192.168.20.10）为目标机

要达到的目的：

• A机器ssh登录B机器无需输入密码；加密方式选 rsa|dsa均可以，默认dsa
• 单向登陆的操作过程（能满足上边的目的）：
  1. 登录A机器
  2. ssh-keygen -t [rsa|dsa]，将会生成密钥文件和私钥文件 id_rsa,id_rsa.pub或id_dsa,id_dsa.pub
  3. 将 id_dsa.pub 文件复制到B机器的root或者home下面用户的.ssh目录， 并·cat id_dsa.pub >> ~/.ssh/authorized_keys·
  4. 大功告成，从A机器登录B机器的目标账户，不再需要密码了；（直接运行 #ssh 192.168.20.60 ）

双向登陆的操作过程：

1. ssh-keygen做密码验证可以使在向对方机器上ssh ,scp不用使用密码.具体方法如下:
2. 两个节点都执行操作：#ssh-keygen -t rsa，然后全部回车,采用默认值.
3. 这样生成了一对密钥，存放在用户目录的~/.ssh下。
4. 将公钥考到对方机器的用户目录下，并将其复制到~/.ssh/authorized_keys中（操作命令：#cat id_dsa.pub >> ~/.ssh/authorized_keys）。