ssh基本設定

運維在使用跳板機的時候一般都使用ssh 來遠端連線伺服器進行操作，但是如果伺服器過多密碼過於繁瑣，在連線時每次都要輸入密碼相當麻煩。因此簡單的配置ssh秘鑰登入就顯得比較方便了。

目前的ssh秘鑰分為兩種 rsa和dsa 兩種演算法 dsa其安全性與rsa差不多

步驟一：ssh-keygen 這裡可以指定秘鑰的生成型別 -t rsa或者dsa 根據系統版本而定

系統會預設在.ssh目錄下生成幾個檔案其中包括：

authorized_keys id_dsa id_dsa.pub known_hosts

authorized_keys 授權的秘鑰

id_dsa 本機私鑰

id_dsa.pub 本機公鑰

known_hosts 訪問過主機的公鑰

一般這些檔案的許可權，公鑰私鑰600 known_hosts644 .ssh/ 755

在生成金鑰的同時發布金鑰和獲取公鑰

可以使用：

scp id_dsa.pub root@服務端的authorized_key 中

ssh-copy-id -i id_dsa.pub username@hosts 也可以但這種方式只是支援22埠

首次輸入password即可

登入ssh root@ip即可

下邊是ssh的簡單互動過程：

（1）ssh啟動時，會主動找/etc/ssh/ssh_host*文件，系統剛安裝好時是沒有這些公鑰金鑰的，因此，ssh會計算這些公鑰，同時也計算出自己需要的私玥文件

（3）伺服器接到請求後，傳送通過第一步計算得到的公鑰給客戶端（這裡可能是明碼傳送，公鑰本來就是公開的）

（4）a.若客戶端第一次連線伺服器，則會將伺服器公鑰資料記錄。 b.若是已經記錄過該伺服器的公鑰資料，則客戶端會去比對此次接收到的與之前的記錄是否有差異。若接受此公鑰資料，則開始計算客戶端自己的公私鑰資料

（5）使用者將自己的公鑰傳送給伺服器。此時伺服器：『具有伺服器的私鑰與客戶端的公鑰』，客戶端則是：『具有伺服器的公鑰以及客戶端自己的私鑰』，你會看到，在此次聯機的伺服器與客戶端的金鑰系統 (公鑰+私鑰) 並不一樣，所以才稱為非對稱式金鑰系統喔。

（6）a.伺服器到客戶端：伺服器傳送資料時，拿使用者的公鑰加密後送出。客戶端接收後，用自己的私鑰解密； b.客戶端到伺服器：客戶端傳送資料時，拿伺服器的公鑰加密後送出。伺服器接收後，用伺服器的私鑰解密。

laihuadongcto