ssh 서버 간 키 없는 통신 실현

ssh-keygent를 통해 두 서버 간의 키 없는 통신을 실현한다.
두 서버 모두centos6.6 시스템이다.
[root@server05~] #ssh-keygen-trsa #enter 키를 모두 누르면 다른 내용을 입력할 필요가 없습니다

Generating public/private rsa key pair.
Enter file in which to save the key(/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in/root/.ssh/id_rsa.
Your public key has been saved in/root/.ssh/id_rsa.pub.
The key fingerprint is:
a3:2c:6d:43:c2:e2:29:35:10:f4:16:76:6e:e9:d2:83root@server03
The key's randomart image is:
+--[ RSA 2048]----+
|o. o .           |
| .o + .          |
|.  o+           |
| ...=            |
| +Eo+. S        |
| o +.=.. .       |
|. o . *          |
| .  o .         |
|                 |
+-----------------+

[root@server05~]#ssh-copy-id 192.168.10.66#키를 다른 서버에 전송합니다. 이 명령을 여러 번 실행하면 여러 서버에 키 없는 통신을 할 수 있습니다.

The authenticity of host '192.168.10.66(192.168.10.66)' can't be established.
RSA key fingerprint isbd:68:9a:49:53:b9:48:f5:e2:68:9b:70:0f:8f:8a:20.
Are you sure you want to continueconnecting (yes/no)? yes    # ， yes；
Warning: Permanently added '192.168.10.66'(RSA) to the list of known hosts.
[email protected]'s password:
Now try logging into the machine, with"ssh '192.168.10.66'", and check in:
 
 .ssh/authorized_keys
 
to make sure we haven't added extra keysthat you weren't expecting.

[root@server05 ~]# hostname ; ssh 192.168.10.66'hostname'#는 두 서버를 동시에 조작하고 현재 화면에 출력할 수 있습니다.

server05  # ；
server06  # 192.168.10.66 ；

다음 내용은 네트워크, ssh-keygen 내용 해석에서 나온 것이다.
이름 ssh-keygen - 생성,인증 키 문법 관리 및 변환 ssh-keygen [-q] [-b bits] - t type [-N new_passphrase] [-C comment] [-foutput_keyfile] ssh-keygen -p [-P old_passphrase] [-N new_passphrase] [-f keyfile] ssh-keygen -i [-f input_keyfile] ssh-keygen -e [-f input_keyfile] ssh-keygen -e [-f input_keyfile] keyfile] ssh-keygen-c [-P passphrase] [-C comment][-f keyfile]     ssh-keygen -l [-f input_keyfile]     ssh-keygen -B [-f input_keyfile]     ssh-keygen -D reader     ssh-keygen -F hostname [-f known_hosts_file]     ssh-keygen -H [-f known_hosts_file]     ssh-keygen -R hostname [-f known_hosts_file]     ssh-keygen -U reader [-f input_keyfile]     ssh-keygen -r hostname [-f input_keyfile] [-g]     ssh-keygen -G output_file [-v] [-b bits] [-M memory] [-S start_point]     ssh-keygen -T output_file -f input_file [-v] [-a num_trials] [-W generator] ssh-keygen은 ssh(1)를 위한 인증 키를 생성, 관리, 변환하는 데 사용되며 RSA와 DSA 두 가지 키를 포함합니다.키 유형은 -t 옵션으로 지정할 수 있습니다.지정되지 않으면 기본적으로 SSH-2용 RSA 키를 생성합니다.ssh-keygen은 Diffie-Hellman group exchange(DH-GEX)에서 사용하는 소수 모드를 만드는 데도 사용할 수 있다.모드와 생성 소절을 참고하십시오.일반적으로 사용자가 RSA 또는 DSA 인증을 사용하려면 이 프로그램을 최소한 한 번 실행해야 한다.ssh/identity, ~/.ssh/id_dsa 또는 ~/.ssh/id_rsa 파일에서 인증에 필요한 키를 만듭니다.또한 시스템 관리자는 호스트 키를 생성할 수 있습니다.보통, 이 프로그램은 키 쌍을 생성하고, 파일에 개인 키를 저장하도록 요구하며, ".pub"접두사가 추가된 같은 이름의 파일에 공개 키를 저장합니다.프로그램은 암호 문자열 (passphrase) 을 입력해야 합니다. 비어 있는 것은 암호가 없다는 것을 의미합니다. (호스트 키의 암호는 비어 있어야 합니다.)암호와 암호 (password) 는 매우 비슷하지만, 암호는 단어, 문장부호, 숫자, 빈칸 또는 원하는 문자가 들어 있는 한 마디일 수 있다.좋은 밀어는 30자 이상의 문자로 알아맞히기 어려워 대소문자, 숫자, 비자모가 혼합되어 있다.암호는 -p 옵션으로 수정할 수 있습니다.잃어버린 암호는 복구할 수 없습니다.만약 암호를 잃어버리거나 잊어버리면 사용자는 반드시 새로운 키를 만들어서 해당하는 공공 키를 다른 기계에 나누어 주어야 한다.RSA1의 키 파일에는 사용자가 이 키를 식별하고 키의 용도나 기타 유용한 정보를 가리키는 데 편리한 주석 필드가 있습니다.키를 만들 때 주석 필드는 "로 초기화됩니다.user@host","나중에 - c 옵션으로 수정할 수 있습니다. 키가 생성되면 다음 명령은 키를 처리하고 활성화하는 방법을 설명합니다. 사용할 수 있는 옵션은 다음과 같습니다. - a trials는 - T를 사용하여 DH-GEX 후보 소수를 안전하게 선별할 때 실행해야 하는 기본 테스트 수량입니다. - B는 지정한 공개 키/개인 키 파일의 bubblebabble 요약을 표시합니다. - b bits는키 길이를 지정합니다.RSA 키의 경우 최소 768비트가 필요하며 기본값은 2048비트입니다.DSA 키는 1024비트여야 합니다(FIPS 186-2 표준 요구사항).- Ccomment는 새 주석을 제공합니다. - c는 개인 키와 공개 키 파일의 주석을 수정해야 합니다.이 옵션은 RSA1 키만 지원합니다.프로그램에서 개인 키 파일 이름, 암호 (존재하는 경우), 새 주석을 입력하라는 메시지를 표시합니다.- D reader 스마트 카드 reader에 저장된 RSA 공개 키를 다운로드합니다.-e는 OpenSSH의 개인 키 또는 공개 키 파일을 읽고 RFC 4716 SSH 공개 키 파일 형식으로 stdout에 표시합니다.이 옵션은 여러 상업 버전의 SSH에 키를 출력할 수 있습니다.- F hostname 재known_hosts 파일에서 지정한 hostname을 검색하고 모든 일치 항목을 표시합니다.이 옵션은 주로 흩어져 있는 호스트 이름/IP 주소를 찾는 데 사용되며, - H 옵션과 연결된 출력 키의 흩어진 값을 찾을 수 있습니다.- f filename 키 파일 이름을 지정합니다.     -G output_파일은 DH-GEX에 대한 후보 소수자를 생성합니다.이러한 소수는 사용하기 전에 - T 옵션을 사용하여 안전하게 필터링해야 합니다.-g는 -r를 사용하여 지문 자원 기록을 인쇄할 때 일반적인 DNS 형식을 사용합니다.- H 대 known_hosts 파일은 산열 계산을 합니다.이것은 파일의 모든 호스트 이름/IP 주소를 상응하는 산열 값으로 대체합니다.원래 파일의 내용은 ".old"접미사를 추가해서 저장됩니다.이 산열 값은 ssh와 sshd에서만 사용할 수 있습니다.이 옵션은 산열된 호스트 이름/IP 주소를 수정하지 않기 때문에 일부 공공 키가 산열된 파일에서 안전하게 사용할 수 있습니다.- i 암호화되지 않은 SSH-2 호환 키/공개 키 파일을 읽고 stdout에 OpenSSH 호환 키/공개 키를 표시합니다.이 옵션은 주로 여러 비즈니스 버전의 SSH에서 키를 가져오는 데 사용됩니다.- l 공개 키 파일의 지문 데이터를 표시합니다.또한 RSA1의 개인 키를 지원합니다.RSA 및 DSA 키의 경우 해당 공개 키 파일을 찾아 지문 데이터를 표시합니다.- M memory는 DH-GEXS 후보 수를 생성할 때 최대 메모리 사용량(MB)을 지정합니다.     -N new_passphrase는 새로운 밀어를 제공합니다.-P passphrase는 (구) 암호를 제공합니다.-p는 개인 키를 재구성하지 않고 개인 키 파일의 암호를 바꾸도록 요구합니다.프로그램은 개인 키 파일 이름, 원래의 암호, 그리고 두 번의 새 암호를 입력하라는 메시지를 표시합니다.-q 조용 모드./etc/rc에서 새 키를 만들 때 사용합니다.-R hostnamehosts 파일에서 hostname에 속하는 모든 키를 삭제합니다.이 옵션은 산열된 호스트(H 옵션 참조)의 키를 삭제하는 데 주로 사용됩니다.-r hostname은 hostname이라는 공개 키 파일의 SSHFP 지문 자원 기록을 인쇄합니다.-S start는 DH-GEX 후보 모델을 생성할 때 시작점(16진수)을 지정합니다.     -T output_파일은 Diffie-Hellman group exchange 후보 소수(G 옵션으로 생성)의 안전성을 테스트합니다.- t type 만들 키 유형을 지정합니다.사용 가능: "rsa1"(SSH-1) "rsa"(SSH-2) "dsa"(SSH-2) - U reader는 현존하는 RSA 키를 스마트카드reader-v 상세 모드에 업로드합니다.ssh-keygen은 처리 과정의 상세한 디버깅 정보를 출력합니다.디버깅 모드의 생성 과정에 자주 사용됩니다.여러 개의 -v 옵션을 반복해서 사용하면 정보의 상세도 (최대 3회) 를 증가시킬 수 있습니다.-W generator는 DH-GEX 테스트 후보 모드에 사용할 generator -y에서 OpenSSH 전용 형식의 키 파일을 읽고 OpenSSH 키를 stdout에 표시합니다.모듈 생성 ssh-keygen은 Diffie-Hellman Group Exchange(DH-GEX) 프로토콜에 사용되는 그룹을 생성할 수 있습니다.생성 과정은 두 단계로 나뉜다. 우선 메모리를 많이 소모하는 빠르고 빠른 방법으로 후보 소수를 생성한다.그리고 이 소수에 대한 적응성 테스트를 실시한다.- G 옵션을 사용하여 후보 소수점 수를 생성하고 - b 옵션을 사용하여 자릿수를 지정할 수 있습니다.예: # ssh-keygen -G moduli-2048.candidates-b2048은 기본적으로 지정한 비트 범위 내의 랜덤 점에서 소수를 검색하지만, - S 옵션을 사용하여 이 랜덤 점 (16진수) 을 지정할 수 있습니다.후보 그룹을 생성한 후 - T 옵션을 사용하여 적응성 테스트를 해야 합니다.이 때 ssh-keygen은 stdin에서 후보 소수(또는 -f 옵션을 통해 파일을 읽는다)를 읽습니다. 예를 들어 #ssh-keygen -T moduli-2048 -f moduli-2048.candidates의 모든 후보 소수는 기본적으로 100개의 기본 테스트를 통과해야 합니다. - a 옵션을 통해 수정할 수 있습니다.DHgenerator의 값은 자동으로 선택되지만, W옵션을 통해 강제로 지정할 수도 있습니다.유효한 값은 2, 3, 5가 선별된 DH 그룹에서/etc/ssh/moduli에 저장할 수 있습니다.중요한 점은 이 파일은 서로 다른 길이 범위의 모델을 포함해야 하고 통신 쌍방이 같은 모델을 공유해야 한다는 것이다.