如何在Linux系统中建立SSH信任关系？

在 linux 中，通过使用 ssh-keygen 生成密钥对，并将公钥复制到目标服务器的 ~/.ssh/authorized_keys 文件中，即可建立 ssh 信任关系。

Linux SSH信任关系配置与管理

在Linux系统中，SSH（Secure Shell）是一种常用的远程登录和文件传输工具，通过配置SSH信任关系，可以实现免密码登录，极大地提高了操作的便捷性和效率，本文将详细介绍如何在Linux系统中建立和管理SSH信任关系。

一、生成SSH密钥对

在本地主机上生成SSH密钥对，可以使用以下命令：

$ ssh-keygen -t rsa

执行上述命令后，会提示选择保存路径和输入密码短语，一般情况下，直接按Enter键使用默认路径和不设置密码短语，此步骤将在~/.ssh/目录下生成两个文件：id_rsa（私钥）和id_rsa.pub（公钥）。

二、配置SSH无密码登录

1. 拷贝公钥到远程服务器

使用ssh-copy-id命令将本地公钥拷贝到远程服务器上的authorized_keys文件中。

$ ssh-copy-id user@remote_host

该命令会提示输入远程服务器的登录密码，成功后，远程服务器的~/.ssh/authorized_keys文件中将包含本地主机的公钥。

2. 手动复制公钥

如果不想使用ssh-copy-id命令，可以手动复制公钥，在本地主机上查看并复制公钥内容：

$ cat ~/.ssh/id_rsa.pub

登录到远程服务器，并将公钥内容追加到authorized_keys文件中：

$ echo "your_public_key_content" >> ~/.ssh/authorized_keys

确保authorized_keys文件的权限设置为600：

$ chmod 600 ~/.ssh/authorized_keys

三、测试SSH无密码登录

完成上述步骤后，可以尝试从本地主机登录到远程服务器，验证是否已经实现无密码登录：

$ ssh user@remote_host

如果一切配置正确，系统将不再提示输入密码，直接登录到远程服务器。

四、常见问题及解决方法

1. 端口22连接被拒绝

如果无法连接到远程服务器的22号端口，可能是由于防火墙未开放该端口，可以通过以下命令开放端口：

临时开放端口
$ /sbin/iptables -I INPUT -i eth0 -s 10.10.10.10 -p tcp --dport 22 -j ACCEPT
永久开放端口（以CentOS为例）
$ vi /etc/sysconfig/iptables

在文件中添加一行：

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

保存后重启iptables服务：

$ service iptables restart

2. SSH配置文件问题

如果遇到权限问题或认证失败，检查以下配置：

（1）/etc/ssh/sshd_config：确保以下参数正确配置：

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
PasswordAuthentication no # 可选，根据需求决定是否关闭密码认证

（2）/etc/ssh/ssh_config：如果有多个服务器需要配置不同的密钥，可以在该文件中添加相应的配置：

Host host1
    HostName remote_host1
    User user1
    IdentityFile ~/.ssh/id_rsa_host1
Host host2
    HostName remote_host2
    User user2
    IdentityFile ~/.ssh/id_rsa_host2

3. SELinux导致的问题

在某些情况下，SELinux可能会阻止SSH的正常功能，可以临时关闭SELinux进行测试：

$ setenforce 0

如果确认是SELinux导致的问题，可以配置策略以允许SSH正常工作。

$ restorecon -r -vv /home/user/.ssh/

然后重启服务器生效。

五、删除SSH信任关系

如果需要删除两台主机之间的信任关系，只需删除远程服务器上的公钥条目即可，登录到远程服务器，编辑authorized_keys文件，删除对应的公钥行，保存后，再次尝试从本地主机登录时，将提示输入密码。

通过以上步骤，可以在Linux系统中成功配置SSH信任关系，实现免密码登录，这不仅提高了工作效率，还增强了系统的安全性，在实际操作中可能会遇到各种问题，需要根据具体情况进行调整和解决，希望本文能为大家在使用SSH时提供参考和帮助。

FAQs

Q1: 如果远程服务器没有安装OpenSSH怎么办？

A1: 如果远程服务器没有安装OpenSSH，可以通过包管理器进行安装，在基于Debian的系统上使用以下命令：

$ sudo apt-get install openssh-server

在基于RedHat的系统上使用以下命令：

$ sudo yum install openssh-server

安装完成后，启动SSH服务并设置为开机自启：

$ sudo systemctl start sshd
$ sudo systemctl enable sshd

Q2: 如何更改SSH端口号以提高安全性？

A2: 可以通过修改/etc/ssh/sshd_config文件中的Port参数来更改SSH端口号，将默认的22号端口改为2222：

Port 2222

然后重启SSH服务：

$ sudo systemctl restart sshd

确保防火墙开放新的端口号：

$ /sbin/iptables -I INPUT -i eth0 -p tcp --dport 2222 -j ACCEPT

小伙伴们，上文介绍了“linux ssh信任”的内容，你了解清楚吗？希望对你有所帮助，任何问题可以给我留言，让我们下期再见吧。