ssh-keygen 排错一则-nianzong-ChinaUnix博客

运维之道

首页　| 　博文目录　| 　关于我

nianzong

博客访问： 2505751
博文数量： 540
博客积分： 11289
博客等级：上将
技术积分： 6160
用户组：普通用户
注册时间： 2008-02-11 20:27

个人简介

潜龙勿用,见龙在田

文章分类

全部博文（540）

java（1）
php/perl（1）
团队建设（0）
jboss（3）
数据结构初级知识（1）
SVN版本管理（2）
文学（12）

散文（0）

诗歌欣赏（10）
电脑硬件（1）
英语学习（9）
人生（18）

private（1）
职场（12）
Nginx（21）
Web加速专题（4）

Squid（1）
Mail（11）

POSTFIX（4）

Sendmail（4）

Qmail（2）
MySQL（41）

Memcached（7）

MySQL Replicatio（9）

MySQL-Proxy（2）
Cisco&网络技术（12）

网络技术基本概念（4）

CCIE（0）

CCNP（0）

CCNA（0）

Cisco网络技术（0）

负载均衡技术（2）

Network（0）
Cluster & LB & H（15）

HA（2）

LVS（7）
备份存储（13）
IT运维（81）

大阿里大淘宝（15）

自动安装部署（5）

性能测试/分析/优（9）

zabbix（2）

云里雾里之云计算（1）

网站运维架构探讨（10）

Vmware（3）

DNS（8）

性能监控（0）

服务器架站、硬件（8）

Nagios（6）

Cacti（1）
项目管理相关（3）
Security（4）
Tomcat（8）
Apache（14）
Oracle（0）
Unix（0）

Solaris（0）

AIX（0）
IT认证（1）

Cisco（0）

LPI（0）

RHCE（1）
音乐（3）
Windows（12）

WindowsServer200（1）

WindowsXP（7）
健康养生（22）

气功养生（7）

太极拳（7）
Linux（187）

vps（2）

Linux_kernel（7）

RHEL/CentOS（11）

Debian/Ubuntu（6）

OpenSource（1）

System Admin（71）

LinuxOSDownload（5）

BASH Shell（61）

Iptables（11）

Linux_Security（10）
未分配的博文（28）

文章存档

2018年（2）

2013年（5）

2012年（24）

2011年（104）

2010年（60）

2009年（217）

2008年（128）

我的朋友

相关博文

ssh-keygen 排错一则

分类： LINUX

2008-07-31 17:00:59

一段时间没用ssh key登录方式，想在两台服务器上使用key的方式，免得每次登陆都要输入密码，时间长了就觉得麻烦。
Server1：RHEL4U4的
[nianzong@apache .ssh]$ uname -a
Linux apache 2.6.9-42.ELsmp #1 SMP Wed Jul 12 23:27:17 EDT 2006 i686 i686 i386 GNU/Linux

Server2：这是CentOS4.6
[nianzong@mail .ssh]$ uname -a
Linux mail 2.6.9-67.ELsmp #1 SMP Fri Nov 16 12:48:03 EST 2007 i686 i686 i386 GNU/Linux

以前做ssh key登录方式时都是用的root帐号，基本都是无往不利的，权限采用默认即可。今天实验中两台机器帐号都是nianzong，一个普通的帐号。按照如下步骤：
1. ssh-keygen -t rsa ；一路回车
2. 将产生的公钥id_rsa.pub scp到 Remote server

3. At remote server:
$ cd ~/.ssh
$ touch authorized_keys && cat id_rsa.pub >> authorized_keys

最后ssh登录竟然还提示需要密码，前面怀疑ssh配置、防火墙那个等，调试后仍然不行。然后用root帐号redo了一遍，一切ok。看来跟那些玩意儿都没关系。
ssh -v看不出啥玩意来，再tail -f /var/log/secure看到有如下log：
Jul 31 07:45:22 mail sshd[668]: Failed gssapi-with-mic for nianzong from ::ffff:192.168.1.184 port 38315 ssh2
Jul 31 07:45:22 mail sshd[668]: Failed gssapi-with-mic for nianzong from ::ffff:192.168.1.184 port 38315 ssh2
Jul 31 15:45:22 mail sshd[667]: Authentication refused: bad ownership or modes for file /home/nianzong/.ssh/authorized_keys
Jul 31 07:45:22 mail sshd[668]: Failed publickey for nianzong from ::ffff:192.168.1.184 port 38315 ssh2
google，baidu没什么有价值的文章，仔细看了下这个关键字“bad ownership”，ls -lh查看两边的拥有者和组都是nianzong，应该不会有错啊。检查了一下用root做实验时的authorized_keys的权限是600，
而当前nianzong的是664，改成600后就OK了，
其实把authorized_keys的读写权限改为644即可，也就是说要保证这个文件只能是拥有者具有写权限。
$ chmod 644 authorized_keys
虽然成功使用key登录了，但是看了下日志：
Jul 31 08:50:24 mail sshd[19330]: Failed gssapi-with-mic for nianzong from ::ffff:192.168.1.184 port 38335 ssh2
Jul 31 08:50:24 mail sshd[19330]: Failed gssapi-with-mic for nianzong from ::ffff:192.168.1.184 port 38335 ssh2
Jul 31 08:50:24 mail sshd[19330]: Postponed publickey for nianzong from ::ffff:192.168.1.184 port 38335 ssh2
Jul 31 16:50:24 mail sshd[19329]: Accepted publickey for nianzong from ::ffff:192.168.1.184 port 38335 ssh2
Jul 31 08:50:24 mail sshd[19330]: Accepted publickey for nianzong from ::ffff:192.168.1.184 port 38335 ssh2
对于log中的Failed gssapi-with-mic，root帐号登录时也是有的，这是什么错误至今未明，只有以后再查了。
ok，throubleshooting到此结束！

无密码key登录方式的理解：
如果A想无密码key方式登录B，那么把A产生的public key添加到B的authorized_keys认证文件里去

下次写一篇详细设置文章

阅读(1713) | 评论(0) | 转发(0) |

上一篇：演练太极拳的原则

下一篇：UNIX 技巧: UNIX 高手的另外 10 个习惯

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6