ssh 无密码登录要使用公钥与私钥。linux下可以用用ssh-keygen生成公钥/私钥对,下面我以CentOS为例。

有机器A(192.168.1.155),B(192.168.1.181)。现想A通过ssh免密码登录到B。

1.在A机下生成公钥/私钥对。

[chenlb@A ~]$ ssh-keygen -t rsa -P ''


-P表示密码,-P '' 就表示空密码,(这里的密码是跳转到B机器的时候需要的密码,如果为空就免秘钥登录了)也可以不用-P参数,这样就要三车回车,用-P就一次回车。
它在/home/chenlb下生成.ssh目录,.ssh下有id_rsa和id_rsa.pub。

2.把A机下的id_rsa.pub复制到B机下,在B机的.ssh/authorized_keys文件里,我用scp复制。

[chenlb@A ~]$ scp .ssh/id_rsa.pub chenlb@192.168.1.181:/home/chenlb/id_rsa.pub 
chenlb@192.168.1.181's password:
id_rsa.pub                                    100%  223     0.2KB/s   00:00


由于还没有免密码登录的,所以要输入密码。

3.B机把从A机复制的id_rsa.pub添加到.ssh/authorzied_keys文件里。

[chenlb@B ~]$ cat id_rsa.pub >> .ssh/authorized_keys
[chenlb@B ~]$ chmod 600 .ssh/authorized_keys


如果希望ssh公钥生效需满足至少下面两个条件:

     1) .ssh目录的权限必须是700 

     2) .ssh/authorized_keys文件权限必须是600



4.A机登录B机。

[chenlb@A ~]$ ssh 192.168.1.181
The authenticity of host '192.168.1.181 (192.168.1.181)' can't be established.
RSA key fingerprint is 00:a6:a8:87:eb:c7:40:10:39:cc:a0:eb:50:d9:6a:5b.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.1.181' (RSA) to the list of known hosts.
Last login: Thu Jul  3 09:53:18 2008 from chenlb
[chenlb@B ~]$


第一次登录是时要你输入yes。

现在A机可以无密码登录B机了。

小结:登录的机子可有私钥,被登录的机子要有登录机子的公钥。这个公钥/私钥对一般在私钥宿主机产生。上面是用rsa算法的公钥/私钥对,当然也可以用dsa(对应的文件是id_dsa,id_dsa.pub)

想让A,B机无密码互登录,那B机以上面同样的方式配置即可



可能还会提示输入密码的解决方法:

1) 如果出现报警:"Address X.X.X.X maps to localhost, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!"。

在"192.168.201.236"(连接端)服务器上执行如下命令:

echo "GSSAPIAuthentication no" >> ~/.ssh/config

在"192.168.201.237"(被连接端)服务器上执行"vi /etc/ssh/sshd_config"命令,修改下面两项值为"no" :

"GSSAPIAuthentication no" 

"UseDNS no"

2) 如果出现报警:"Agent admitted failure to sign using the key."执行命令:"ssh-add"(把专用密钥添加到ssh-agent的高速缓存中)

如果还不行,执行命令:"ps -Af | grep agent "(检查ssh代理是否开启,如果有开启的话,kill掉该代理)

然后执行"ssh-agent"(重新打开一个ssh代理)

如果还是不行,继续执行命令:"sudo service sshd restart"(重启一下ssh服务)

3) 通过命令"/usr/sbin/sestatus -v" 查看SELinux状态,如果"SELinux status"参数为"enabled"(开启状态),则关闭SELinux。

临时关闭方法(不用重启机器):"setenforce 0"修改配置文件关闭方法(需要重启机器):执行命令"/etc/selinux/config",将"SELINUX=enforcing"改为"SELINUX=disabled"

4) 执行命令"vim /etc/ssh/sshd_config"去掉下面三行的注释:

RSAAuthentication yes

PubkeyAuthentication yes

AuthorizedKeysFile      .ssh/authorized_keys