it-swarm-ru.tech

Как настроить SSH, чтобы не вводить пароль?

Как настроить SSH, чтобы мне не приходилось вводить пароль при подключении к хосту?

unixssh
146
Richard Hoskins

Сгенерируйте ключ SSH (если у вас его нет)

Если вы используете GNOME, приложение seahorse («Пароли и ключи шифрования») может сделать это за вас: Файл -> Новое -> Безопасный ключ оболочки.

Если вы предпочитаете терминал, запустите ssh-keygen -t <type> для генерации пары ключей. Допустимые типы пар ключей:

  • rSA: по умолчанию
  • dsa: более или менее эквивалентный, за исключением ограниченного 1024-битными ключами
  • ecdsa: та же безопасность с меньшими ключами, но относительно новая и немного редкая в программном обеспечении SSH.
  • ed25519: Высокая безопасность (более устойчива к атакам по побочным каналам и слабым генераторам случайных чисел). Очень быстрая генерация подписи. Очень новый Доступно только в OpenSSH> = 6.5 .

Программа запросит у вас пароль и место, где сохранить новый ключ. Рекомендуется использовать предложенный путь по умолчанию, потому что все другие инструменты будут искать его там.

Загрузите открытый ключ на удаленный сервер

Опять же, seahorse часто может сделать это за вас - в Мои персональные ключи щелкните правой кнопкой мыши по своему ключу SSH и выберите Настроить ключ для защищенной оболочки.

Или ssh-copy-id -i ~/.ssh/id_rsa.pub [email protected] в терминале.

Или полностью вручную пошагово:

  1. Создайте каталог (если он еще не существует) с именем .ssh в домашнем каталоге удаленного пользователя на удаленном хосте.
  2. В этом каталоге создайте файл с именем authorized_keys (если он еще не существует).
  3. Если ваш удаленный umask более либерален, чем обычно, сделайте файл не доступным для записи группой: chmod go-w ~/.ssh ~/.ssh/authorized_keys.
  4. Наконец, каким-то образом скопируйте (добавьте) содержимое вашего локального открытого ключа (~/.ssh/id_rsa.pub) в удаленный файл ~/.ssh/authorized_keys.

Загрузите ключ в агент ssh

Если вы загрузите свой закрытый ключ в ssh agent, он сохранит расшифрованный ключ в памяти. Мы хотим, чтобы этот пароль не вводился повторно всякий раз, когда мы выполняем Shell на сервере.

Во-первых, агент должен быть запущен, или путь запущенного коммуникационного сокета должен быть загружен в переменную. Запуск ssh-agent на терминале сгенерирует команды для назначения и установки переменных агента. Эти команды могут быть сохранены в файл для использования в другом терминале. Кроме того, можно выполнить эти команды и забыть о повторном использовании того же агента в другом терминале. например: eval $(ssh-agent).

Загрузка ключа - это простое выполнение ssh-add и присвоение ему парольной фразы.

Если вы используете GNOME, gnome-keyring-daemon обычно предоставляет те же функциональные возможности агента SSH, что и ssh-agent, поэтому вам не нужно ничего запускать. GNOME автоматически загрузит и разблокирует ключ при входе в систему.

Оболочка на удаленный сервер без пароля

Если все было сделано правильно, использование ssh [email protected] не будет запрашивать у вас пароль. Если что-то не так с агентом, а не с ключом, вам будет предложено ввести пароль для пароля, а не пароль для учетной записи пользователя.

Все, что использует ssh для связи, будет работать без ввода пароля учетной записи пользователя, когда в агент загружен правильный ключ. Такие программы, как scp , sftp и rsync , используют это.

Заметки:

  • Вам нужен только ключ SSHv2, так как SSHv1 очень небезопасен и теперь не используется.
  • Вам также нужен только один тип ключа - достаточно RSA или DSA. (ed25519 и ECDSA являются недавними и поэтому не поддерживаются везде).
  • Все эти шаги одинаковы для ключей RSA и DSA. Если вы используете DSA, используйте id_dsa вместо id_rsa, и ECDSA будет иметь id_ecdsa.
  • Серверы OpenSSH старше 3.0 использовали authorized_keys2 - но вряд ли вы найдете что-либо старше 5.0 в использовании.
  • Эти инструкции применимы только для OpenSSH версии 3.0 и новее. lsh, ssh.com и другие (Unix и не) SSH-серверы не включены в данное руководство.

Примеры:

  • Копирование открытого ключа на удаленный хост:

     ssh-copy-id -i ~/.ssh/id_rsa.pub myaccount @ remotehost # this 
 
 cat ~/.ssh/id_rsa.pub | ssh myaccount @ remotehost\
 'mkdir -p ~/.ssh; cat >> ~/.ssh/authorized_keys '# или этот
  • Переменные агента сохранения для повторного использования (подробный пример)
     ssh-agent> ~/.ssh/кросс-терминальный агент 
. ~/.Ssh/кросс-терминал агента
159
grawity

Вы не указали, какой Unix вы используете, к какому Unix вы подключаетесь, какую оболочку вы используете, какой вариант SSH вы используете и т.д. Так что, возможно, некоторые из них могут быть немного изменены; это основано на относительно недавних версиях OpenSSH, который используется во многих вариантах Unix.

Это все из вашей локальной настольной системы.

ssh-keygen

Убедитесь, что для имени ключа используется значение по умолчанию. Я предлагаю вам делать установить пароль для этого ключа, в противном случае это проблема безопасности. "-t rsa" не будет плохой идеей, но, вероятно, не нужна.

ssh-copy-id [email protected]

Он попросит вас ввести пароль, который вы будете использовать для входа в систему, и настроит для вас авторизованные ключи. (нет необходимости делать это вручную)

Тогда это:

`ssh-agent`

или возможно это:

exec ssh-agent sh

или же:

exec ssh-agent bash

Это запустит агент SSH, который может держать ваш ключ. Во многих современных вариантах Unix, если вы вошли в систему графически, это уже произошло. Первый вариант (с обратными галочками) помещает ssh-agent в фоновый режим и устанавливает переменные окружения для общения с ним. Во втором случае агент запускает для вас оболочку, поэтому при выходе из оболочки агент завершается.

Во многих современных вариантах Unix агент уже работает, особенно если вы вошли в систему графически. Вы можете попробовать «ps aux | grep ssh-agent» или «ps -ef | grep ssh-agent»; если что-то уже запущено, используйте это.

Тогда, наконец:

ssh-add

Он попросит пароль; дайте тот, который вы дали ssh-keygen. Есть также способы сделать это графически. И вы можете поместить ssh-agent и ssh-add в свои сценарии входа в систему (настройка отличается в зависимости от используемой вами оболочки), чтобы автоматизировать это, но некоторые варианты Unix (например, текущий Ubuntu Linux) делают большую часть этого автоматически, поэтому все, что вам действительно нужно сделать, это создать ключ и использовать ssh-copy-id для его установки на удаленном хосте.

Теперь «ssh [email protected]» должен работать без запроса какой-либо аутентификации. За кулисами он использует ключ, который держит ssh-agent, и просит агента сделать для него магические трюки с подписью.

22
freiheit

Это можно сделать и в PuTTY на Windows.

Как только вы настроите пару открытый/закрытый ключ (как показывают другие ответы), запустите PuttyGen. Там загрузите существующий закрытый ключ, который вы уже настроили, а затем сохраните его как закрытый ключ PuTTY (ppk).

Затем в PuTTY просто нажмите на сохраненную сессию, в которую вы хотите выполнить автоматический вход, и нажмите «Загрузить». Отсюда перейдите в Connection -> Data на левой панели и в поле «Auto-login username» введите имя пользователя для этого удаленного сервера:

PuTTY username entry

После этого перейдите в Connection -> SSH -> Auth и найдите ppk, который вы сделали в PuttyGen:

PuTTY private key entry

Затем вернитесь на страницу сеанса и сохраните сеанс, который вы загрузили ранее.

11
スーパーファミコン

Из очень похожего вопроса на ServerFault я бы порекомендовал использовать ssh-copy-id , который выполняет все шаги, связанные с настройкой ключей аутентификации для вас:

ssh-copy-id - это скрипт, который использует ssh для входа на удаленный компьютер (предположительно, с использованием пароля для входа в систему, поэтому аутентификация по паролю должна быть включена, если вы не сделали несколько умных попыток использовать несколько идентификаторов)

Он также изменяет права доступа к домашнему файлу удаленного пользователя, ~/.ssh и ~/.ssh/authorized_keys, чтобы удалить возможность записи группы (в противном случае вы не сможете войти в систему, если в удаленной конфигурации sshd установлены StrictModes).

Если задана опция -i, то используется файл идентификации (по умолчанию ~/.ssh/identity.pub), независимо от того, есть ли какие-либо ключи в вашем ssh-agent.

Все, что вам нужно сделать, это просто:

ssh-copy-id [email protected]

Введите пароль один раз, и все готово!

3
Chris Bunch

Помимо всего, что уже было сказано о том, как установить ssh-ключи, я рекомендую Keychain как ssh-agent консольный интерфейс, который позволяет обрабатывать только один для системного процесса, а не для входа в систему.

Я знаю, что уже есть инструменты GNOME и KDE, которые делают то же самое, но если вы консольный наркоман type, это здорово (и может использоваться в большинстве систем Unix).

Чтобы использовать его, просто добавьте следующее к своему ~/.bashrc (аналогично для других оболочек):

if type keychain >/dev/null 2>/dev/null; then
  keychain --nogui -q <all your SSH/PGP keys>
  [ -f ~/.keychain/${HOSTNAME}-sh ] && . ~/.keychain/${HOSTNAME}-sh
  [ -f ~/.keychain/${HOSTNAME}-sh-gpg ] && . ~/.keychain/${HOSTNAME}-sh-gpg
fi
3
scetoaux

PuTTY имеет параметр -pw , который позволяет вам создать ярлык на рабочем столе следующим образом:

"C:\Program Files\PuTTY\putty.exe" -ssh [email protected] -pw your_password
2
Genc Hosting

Я написал этот очень очень короткий урок после того, как ДЕЙСТВИТЕЛЬНО ДЕЙСТВИТЕЛЬНО разочаровался в ДЕЙСТВИТЕЛЬНО ДЕЙСТВИТЕЛЬНО длинных уроках, потому что на самом деле это так просто :)

test -f ~/.ssh/id_rsa.pub || ssh-keygen -t rsa #press enter twice if given prompts, then "ssh-add"

scp ~/.ssh/id_rsa.pub [email protected]:/tmp/ #type password

ssh [email protected] #type password

cat /tmp/id_rsa.pub >> ~/.ssh/authorized_keys

rm /tmp/id_rsa.pub
2
samthebest

http://linuxproblem.org/art_9.html

Ваша цель

Вы хотите использовать Linux и OpenSSH для автоматизации ваших задач. Поэтому вам необходим автоматический вход с хоста A/пользователя a на хост B/пользователя b. Вы не хотите вводить какие-либо пароли, потому что вы хотите вызвать ssh из сценария Shell.

2
TheTXI
  1. На подключающемся хосте запустите ssh-keygen. (Если он говорит вам, что вы должны указать тип, выполните ssh-keygen -t rsa.) Когда он попросит вас указать местоположение файла, выберите значение по умолчанию. Когда вас попросят ввести фразу-пароль, нажмите Enter, чтобы не ввести фразу-пароль.
  2. cat ~/.ssh/id_rsa.pub (или каким-либо другим местоположением файла по умолчанию в ssh-keygen, хотя вам понадобится установить действительно old ssh, чтобы он отличался); скопируйте вывод в буфер обмена.
  3. Войдите в систему, как правило, на хост назначения как учетную запись, к которой вы хотите подключиться. Отредактируйте файл ~/.ssh/authorized_keys (если ~/.ssh не существует, slogin куда-то; это простой и легкий способ создать его с нужными разрешениями). Вставьте ваш буфер обмена (содержащий id_rsa.pub от другого хоста) в этот файл.
1
chaos

Если вы хотите сделать все это в терминале в Linux:

На хосте

cd ~/.ssh /

ssh-keygen -t {rsa | dsa} -b {1024 | 2048 | 4096} -C "текст комментария, если хотите" -f id_ArbitraryName

Элементы в {} являются опциями, используйте rsa или dsa и выберите размер в битах (чем больше, тем безопаснее)

Затем вам нужно добавить права доступа к файлам Authorized_keys и Author__Cys2.

cat id_ArbitraryName.pub >> авторизованные ключи

cat id_AribtraryName.pub >> authorized_keys2

Затем загрузите файл id_AribtraryName в ящик, из которого вы хотите создать ssh. Если соединительная коробка основана на Unix, может потребоваться файл конфигурации (в PuTTY, кто-то из вышеперечисленных говорил об этом).

На соединительной коробке

В вашем конфигурационном файле - vim ~/.ssh/config

Host example.Host.com # или имя вашего компьютера

Имя пользователя

IdentityFile ~/.ssh/id_ArbitraryName

Конфигурационному файлу нужны разрешения 600. Папке SSh нужно 700.

Надеюсь, это поможет, если вы столкнетесь с проблемой конфигурации, которая часто пропускается.

0
nerdwaller