Untuk mengatur kunci SSH antara dua server kita harus mengikuti langkah-langkah ini:
Buat pasangan kunci di server sumber. Ketika kami memberikan perintah ssh-keygen, secara default akan membuat pasangan Kunci RSA 2048 -bit dan jika Anda membutuhkan enkripsi yang lebih kuat, Anda juga dapat menggunakan 4096 bit. Untuk itu Anda perlu menggunakan -b 4096 di akhir perintah ssh-keygen. Saya menggunakan yang default di sini.
Beberapa hal yang harus diperhatikan dalam output di bawah ini:
Sejalan Masukkan file untuk menyimpan kunci |_+_|
Itu meminta jalur untuk menyimpan kunci dan yang default biasanya baik-baik saja. Jika default baik-baik saja, Anda cukup menekan enter. Jika Anda ingin mencoba jalur alternatif, maka Anda perlu menentukan yang sama di sana. Beberapa kali ini akan mengatakan seperti:
/akar/.ssh/id_rsa sudah ada. Timpa(dan/n)?Anda harus mengambil salinan folder .ssh sebelum membuat perubahan atau mengetahui apa yang Anda lakukan. Mengirimkan Ya akan membuat kunci lama (jika sudah digunakan) tidak berfungsi.
Di baris Masukkan frasa sandi (kosongkan tanpa frasa sandi): Ini adalah prosedur keamanan tambahan yang akan menanyakan frasa sandi setiap kali Anda mencoba masuk ke SSH dan itu akan berfungsi sebagai verifikasi 2 langkah. Tetapi jika Anda memerlukan akses ssh untuk skrip apa pun atau karya langsung lainnya dan karya cepat, maka lebih baik tidak memilikinya. Selain membuat skrip atau mengotomatisasi karya, kami akan menyarankan Anda untuk memiliki ini dengan pasti.
Hasil lengkap dari perintah untuk referensi:
[dilindungi email] :~$ssh-keygenMenghasilkan publik/pasangan kunci rsa pribadi.
Memasukimengajukan di dalam yanguntuk menyimpan kunci(/akar/.ssh/id_rsa):
Direktori yang dibuat'/root/.ssh'.
Masukkan frasa sandi(kosonguntuktidak ada kata sandi):
Masukkan frasa sandi yang sama lagi:
Identifikasi Anda telah disimpandi dalam /akar/.ssh/id_rsa.
Kunci publik Anda telah disimpandi dalam /akar/.ssh/id_rsa.pub.
Sidik jari kuncinya adalah:
SHA256:z4nl0d9vJpo/5bdc4gYZh8nnTjHtXB4Se/UqyuyigUI sumesh@sree
Kuncigambar randomart adalah:
+---[RSA 2048]----+
| |
| . |
| . oo.o |
| .=o=o+|
| E S o. * OBo |
| . . * atau +.+. = |
| . . . .o=. =oo|
| . .. + o*.B|
| .. o. o + oB + |
+----[SHA256]-----+
[dilindungi email] ~$
Langkah 2: Salin Pasangan Kunci yang dibuat ini ke Server Tujuan Anda
Ada 2 cara berbeda untuk menyalin ini ke server tujuan Anda
- Menggunakan perintah ssh-copy-id
- Menyalin kunci ssh menggunakan pengguna/pass ssh normal sebagai satu liner dari mesin lokal kami atau setelah masuk ke server.
2.1 Menggunakan perintah ssh-copy-id
ssh-copy-id akan menangani penyalinan dan penyiapan kunci ke server jarak jauh dengan cara yang tepat untuk Anda. Setelah perintah selesai, Anda tidak memerlukan kata sandi untuk setiap login. Sekarang Anda dapat menulis semua skrip otomatis untuk pekerjaan admin sistem tanpa harus memasukkan kata sandi secara manual dan menghemat waktu untuk mengakses sistem yang Anda gunakan setiap saat.
Pertama, Anda perlu memeriksa apakah ada perintah seperti ini dan jika perintah tersebut berfungsi dan pengguna yang Anda coba memiliki akses ke perintah ini, maka Anda dapat menggunakan perintah ini untuk menyalin kunci publik ke server jarak jauh. Utilitas ini akan memindai akun lokal Anda untuk setiap kunci publik rsa dan akan meminta Anda untuk memasukkan kata sandi akun pengguna jarak jauh.
Di sini kita akan menyalin kunci ssh root ke akses tingkat root server. Jadi untuk mendapatkan ini disalin, Anda harus login / beralih ke pengguna yang telah Anda buat kuncinya. Dalam hal ini kami mencoba koneksi root-root.
Output lengkap ada di bawah dan saya menambahkan detail yang diperlukan di antaranya
akar@Sumber]]:~$ ssh-copy-id root@192.1.1.19-P 1986Keaslian tuan rumah'[192.1.1.1.19]: 1986 ([192.1.1.19]: 1986)'bisa't didirikan.
Sidik jari kunci ECDSA adalah SHA256:YYOj54aEJvIle4D2osDiEhuS0NEDImPTiMhHGgDqQFk.
Apakah Anda yakin ingin melanjutkan koneksi (ya/tidak)? Ya
Jika Anda menggunakan ini untuk pertama kalinya, Anda akan mendapatkan respons seperti itu dan Anda perlu mengetik ya lalu tekan enter
/usr/NS/ssh-copy-id: INFO: mencoba masukdi dalamdengan kunci baru(S),untuk menyaring semua yang sudah terpasang
/usr/NS/ssh-copy-id: INFO:1kunci(S)tinggal dipasang- jikaAnda diminta
sekarang menjadiInstallkunci baru
akar@192.1.1.19kata sandi:
Masukkan kata sandi lalu tekan enter.
Jumlah kunci(S)menambahkan:1Sekarang coba masuk ke mesin, dengan: ssh -p ‘1986’ ‘ [dilindungi email]
dan periksa untuk memastikan bahwa itu berfungsi seperti yang diharapkan.
Setelah ini, Anda akan dapat masuk ke server tanpa kata sandi. Setelah password less auth berfungsi dengan baik, Anda dapat menonaktifkan otentikasi kata sandi sehingga Anda dapat mengunci akses ssh hanya dengan menggunakan kunci ssh
2.2 Menyalin kunci ssh menggunakan pengguna/pass ssh normal secara manual
Jika beberapa cara Anda tidak dapat menjalankan perintah di atas, saya akan menambahkan langkah-langkahnya sehingga Anda dapat menyalin kunci ssh dan mengatur kata sandi lebih sedikit auth dari mesin Anda ke server Anda.
Untuk melakukan ini, kami harus menambahkan konten file id_rsa.pub Anda secara manual ke file /root/.ssh/authorized_keys pada mesin Tujuan Anda. Jika Anda akan menyalin kunci untuk me-root pengguna, lokasinya adalah |_+_|
Dari Langkah 1: Anda mungkin telah melihat baris di bawah ini
Kunci publik Anda telah disimpan di |_+_|
Ini mengatakan kunci publik yang perlu Anda salin ke server jauh terletak di file di atas. Jadi, Anda perlu menyalin konten file ini dan kemudian menyalin atau menempelkannya di otor_keys dari server jarak jauh
Jadi lakukan langkah-langkah di bawah ini
Perintah di bawah ini akan memberi Anda kunci untuk disalin:
[dilindungi email] $kucing /akar/.ssh/id_rsa.pubssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQCqql6MzstZYh1TmWWv11q5O3pISj2ZFl9Hg
H1JLknLLx44+tXfJ7mIrKNxOOwxIxvcBF8PXSYvobFYEZjGIVCEAjrUzLiIxbyCoxVyle7Q+bqgZ
8SeeM8wzytsY+dVGcBxF6N4JS+zVk5eMcV385gG3Y6ON3EG112n6d+SMXY0OEBICO6x+PnUS
GHrSgpBgX7Ks1r7xqFa7heJLLt2wWwkARptX7udSq05paBhcpB0pHtA1Rfz3K2B+ZVIpSDfki9UV
KzT8JUmwW6NNzSgxUfQHGwnW7kj4jp4AT0VZk3ADw497M2G/12N0PPB5CnhHf7ovgy6nL1ik
rygTKRFmNZISvAcywB9GVqNAVE+ZHDSCuURNsAInVzgYo9xgJDW8wUw2o8U77+xiFxgI5QSZ
X3Iq7YLMgeksaO4rBJEa54k8m5wEiEE1nUhLuJ0X/vh2xPff6SQ1BL/zkOhvJCACK6Vb15mDOeCS
q54Cr7kvS46itMosi/uS66+PujOO+xt/2FWYepz6ZlN70bRly57Q06J+ZJoc9FfBCbCyYH7U/ASsmY0
95ywPsBo1XQ9PqhnN1/YOorJ068foQDNVpm146mUpILVxmq41Cj55YKHEazXGsdBIbXWhcrRf4G
2fJLRcGUr9q8/lERo9oxRm5JFX6TCmj6kmiFqv +Ow9gI0x8GvaQ== akar@Sumber
Masuk ke Server jarak jauh tempat Anda perlu menyalin kunci di atas ini dan pastikan Anda menggunakan pengguna yang sama yang Anda perlukan untuk menyalin kunci ssh. Jika Anda memerlukan akses root langsung, salin kuncinya langsung ke bagian /root/.ssh/
Buat folder .ssh jika belum ada
Untuk memeriksa apakah itu ada dan jika tidak membuatnya menggunakan perintah di bawah ini:
[dilindungi email] :$ls -NS /akar/.sshJika foldernya tidak ada, buat dengan perintah di bawah ini:
[dilindungi email] $mkdir -P /akar/.ssh[dilindungi email] $menyentuh /akar/.ssh/otorisasi_keys
[dilindungi email] :$dibuangssh-rsa
AAAAB3NzaC1yc2EAAAADAQABAAACAQCqql6MzstZYh1TmWWv11q5O3pISj2ZFl9HgH1JLknLLx44 + tXfJ7mIrKNxOOwxI
xvcBF8PXSYvobFYEZjGIVCEAjrUzLiIxbyCoxVyle7Q+bqgZ8SeeM8wzytsY+dVGcBxF6N4JS+zVk5eMcV385gG3Y6ON3
EG112n6d + SMXY0OEBICO6x + PnUSGHrSgpBgX7Ks1r7xqFa7heJLLt2wWwkARptX7udSq05paBhcpB0pHtA1Rfz3K2B + ZV
IpSDfki9UVKzT8JUmwW6NNzSgxUfQHGwnW7kj4jp4AT0VZk3ADw497M2G/12N0PPB5CnhHf7ovgy6nL1ikrygTKRFmNZI
SvAcywB9GVqNAVE+ZHDSCuURNsAInVzgYo9xgJDW8wUw2o8U77+xiFxgI5QSZX3Iq7YLMgeksaO4rBJEa54k8m5wEiEE1
nUhLuJ0X/vh2xPff6SQ1BL/zkOhvJCACK6Vb15mDOeCSq54Cr7kvS46itMosi/uS66+PujOO+xt/2FWYepz6ZlN70bRly
57Q06J+ZJoc9FfBCbCyYH7U/ASsmY095ywPsBo1XQ9PqhnN1/YOorJ068foQDNVpm146mUpILVxmq41Cj55YKHEazXGsd
BIbXWhcrRf4G2fJLRcGUr9q8/lERo9oxRm5JFX6TCmj6kmiFqv +Ow9gI0x8GvaQ==akar@Sumber>>
/akar/.ssh/otorisasi_keys
Pastikan izin foldernya benar
chmod -R Pergilah=/akar/.ssh/Setelah ini, silakan coba masuk ke server dari terminal baru dan pastikan auth tanpa kunci berfungsi seperti yang diharapkan. Hanya kemudian nonaktifkan otentikasi kata sandi di konfigurasi ssh.
CATATAN: Pastikan Anda dapat masuk ke server sesuai kebutuhan Anda (baik langsung dari mesin Anda, atau Anda dapat masuk ke pengguna lain di server jarak jauh dan beralih ke root dari akun itu secara manual menggunakan su atau Sudo ) dan kemudian hanya nonaktifkan otentikasi kata sandi jika tidak ada peluang untuk mengunci pengguna root.
Jika Anda memiliki kebutuhan, Anda selalu dapat menghubungi saya untuk bantuan apa pun dan membagikan komentar Anda.