ssh免秘钥登录

ssh 无密码登录要使用公钥与私钥。linux下可以用用ssh-keygen生成公钥/私钥对，下面我以CentOS为例。

有机器A(192.168.1.155)，B(192.168.1.181)。现想A通过ssh免密码登录到B。

1.在A机下生成公钥/私钥对。

[chenlb@A ~]$ ssh-keygen -t rsa -P ''

-P表示密码，-P '' 就表示空密码，（这里的密码是跳转到B机器的时候需要的密码，如果为空就免秘钥登录了）也可以不用-P参数，这样就要三车回车，用-P就一次回车。
它在/home/chenlb下生成.ssh目录，.ssh下有id_rsa和id_rsa.pub。

2.把A机下的id_rsa.pub复制到B机下，在B机的.ssh/authorized_keys文件里，我用scp复制。

[chenlb@A ~]$ scp .ssh/id_rsa.pub chenlb@192.168.1.181:/home/chenlb/id_rsa.pub 
chenlb@192.168.1.181's password:
id_rsa.pub                                    100%  223     0.2KB/s   00:00

由于还没有免密码登录的，所以要输入密码。

3.B机把从A机复制的id_rsa.pub添加到.ssh/authorzied_keys文件里。

[chenlb@B ~]$ cat id_rsa.pub >> .ssh/authorized_keys
[chenlb@B ~]$ chmod 600 .ssh/authorized_keys

如果希望ssh公钥生效需满足至少下面两个条件：

　　　　　1) .ssh目录的权限必须是700 

　　　　　2) .ssh/authorized_keys文件权限必须是600

4.A机登录B机。

[chenlb@A ~]$ ssh 192.168.1.181
The authenticity of host '192.168.1.181 (192.168.1.181)' can't be established.
RSA key fingerprint is 00:a6:a8:87:eb:c7:40:10:39:cc:a0:eb:50:d9:6a:5b.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.1.181' (RSA) to the list of known hosts.
Last login: Thu Jul  3 09:53:18 2008 from chenlb
[chenlb@B ~]$

第一次登录是时要你输入yes。

现在A机可以无密码登录B机了。

小结：登录的机子可有私钥，被登录的机子要有登录机子的公钥。这个公钥/私钥对一般在私钥宿主机产生。上面是用rsa算法的公钥/私钥对，当然也可以用dsa(对应的文件是id_dsa，id_dsa.pub)

想让A，B机无密码互登录，那B机以上面同样的方式配置即可

可能还会提示输入密码的解决方法：

1) 如果出现报警："Address X.X.X.X maps to localhost, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!"。

在"192.168.201.236"(连接端)服务器上执行如下命令：

echo "GSSAPIAuthentication no" >> ~/.ssh/config

在"192.168.201.237"(被连接端)服务器上执行"vi /etc/ssh/sshd_config"命令，修改下面两项值为"no" ：

"GSSAPIAuthentication no" 

"UseDNS no"

2) 如果出现报警："Agent admitted failure to sign using the key."执行命令："ssh-add"(把专用密钥添加到ssh-agent的高速缓存中)

如果还不行，执行命令："ps -Af | grep agent "(检查ssh代理是否开启，如果有开启的话，kill掉该代理)

然后执行"ssh-agent"(重新打开一个ssh代理)

如果还是不行，继续执行命令："sudo service sshd restart"(重启一下ssh服务)

3) 通过命令"/usr/sbin/sestatus -v" 查看SELinux状态，如果"SELinux status"参数为"enabled"(开启状态)，则关闭SELinux。

临时关闭方法（不用重启机器）："setenforce 0"修改配置文件关闭方法（需要重启机器）：执行命令"/etc/selinux/config"，将"SELINUX=enforcing"改为"SELINUX=disabled"

4) 执行命令"vim /etc/ssh/sshd_config"去掉下面三行的注释：

RSAAuthentication yes

PubkeyAuthentication yes

AuthorizedKeysFile      .ssh/authorized_keys

本文转自gaofeng36599 51CTO博客，原文链接:http://blog.51cto.com/786678398/1937352