19_Linux基础-ssh服务1

一. 练习

1、编写脚本，实现批量新增用户，用户名以user开头，具体新增用户数量随用户输入，并且为每个用户设置随机密码（密码长度为12位随机字符组成），记录创建的用户与密码，保存到/tmp/user文件中。

2、如何实现两个字符串的拼接，两个整数求和，以及5除以3，保留2位小数

3、如何计算本机有多少个用户以及多少个普通用户？

4、如何去除字符串中所有空格？

5、备份/var/log/nginx/access.log日志，每五分钟备份一次,并且以2020-11-15_10_05-access.log.tar.gz方式命名。将日志文件备份文件放到/nginx/目录下。

6、查找/etc/目录下10天以内3天以前修改过的文件，并将这些文件记录到/tmp/etc_log文件中

1.1 编写脚本，实现批量新增用户，用户名以user开头，具体新增用户数量随用户输入，并且为每个用户设置随机密码（密码长度为12位随机字符组成），记录创建的用户与密码，保存到/tmp/user文件中

题目1：编写脚本，实现批量新增用户，用户名以user开头，具体新增用户数量随用户输入，并且为每个用户设置随机密码（密码长度为12位随机字符组成），记录创建的用户与密码，保存到/tmp/user文件中。

示例1
---------------------------------------------------------------------
read -p "请输入你要添加的用户个数：" num1
for i in `seq $num1`    # 注：循环多少次
do
        id user$i &>/dev/null
        a=`echo $?`     # 注：上条命令返回值 0 成功 非0 失败
        str1=`date +%s+%N | md5sum|head -c 4`     # 注：%s时间戳
        if [ $a -eq 0 ] ;then
                echo "该用户已存在，不进行新建操作"
                break
        else
                useradd user$str1$i  &>/dev/null
                b=`echo $?`
                if [ $b -eq 0 ];then
                        echo "创建成功"
                        passwd1=`mkpasswd -l 12`  # 注：mkpasswd 生成随机12位密码串
                        echo $passwd1 |passwd user$str1$i --stdin  &>/dev/null  # 注：--stdin 密码从标准输入里面来
                        echo "user$str1$i:$passwd1" >>/tmp/user
                else
                        echo "创建失败"
                fi
        fi
done
---------------------------------------------------------------------
[root@cPen_web lianxi]# date +%s+%N		# 注：引用纳秒的概念，防止用户名 重复
1605251515+012657467
[root@cPen_web lianxi]# man date
       %%     a literal %
       %a     locale's abbreviated weekday name (e.g., Sun)	# 注：Sun
       %A     locale's full weekday name (e.g., Sunday)		# 注：Sunday
       %s     seconds since 1970-01-01 00:00:00 UTC			# 注：时间戳 从1970年1月1号到现在的秒数
       %N     nanoseconds (000000000..999999999)			# 注：纳秒  1纳秒=十亿分之一秒
[root@cPen_web ~]# date +%s+N | md5sum|head -c 4
2b13[root@cPen_web ~]# 

示例2
---------------------------------------------------------------------
read -p "输入新增用户数:" num
for i in `seq $num`
do
    useradd user$i &>/dev/null
    passwd=`mkpasswd -l 12`
    echo $passwd |passwd user$i --stdin &>/dev/null
    echo "用户名:user$i" "密码:$passwd" &>>/tmp/user
done

1.2 如何实现两个字符串的拼接，两个整数求和，以及5除以3，保留2位小数

题目2：如何实现两个字符串的拼接，两个整数求和，以及5除以3，保留2位小数

数值运算：https://blog.csdn.net/weixin_34408624/article/details/92598137
#注：挨在一起写实现2个字符串拼接

示例
---------------------------------------------------------------------
[root@cPen_web ~]# a=abc
[root@cPen_web ~]# b=def
[root@cPen_web ~]# echo $a$b		# 注：字符串拼接
abcdef
[root@cPen_web ~]# echo abc$a
abcabc
[root@cPen_web ~]# a=3
[root@cPen_web ~]# b=4
[root@cPen_web ~]# echo $(($a+$b))
7
#注：1个括号默认是字符串拼接  不会进行数值运算
[root@cPen_web ~]# a=123			# 注：默认都是str类型
[root@cPen_web ~]# a="123"
[root@cPen_web ~]# a='123'
------------------------------------------------------------
[root@cPen_web ~]# a=123
[root@cPen_web ~]# b=4
[root@cPen_web ~]# echo $(( $a > $b ))
1											# 注：正确返回1
[root@cPen_web ~]# echo $(( $a < $b ))
0											# 注：错误返回0
[root@cPen_web ~]# expr $a + $b				# 注：expr命令 进行数值运算
127
[root@cPen_web ~]# echo $(( $a + $b ))		# 注：2个圆括号实现整数运算
127
[root@cPen_web ~]# echo $[ $a + $b ]		# 注：中括号实现整数运算
127
[root@cPen_web ~]# let c=$a+$b				# 注：let 也可以实现整数运算
[root@cPen_web ~]# echo $c					# 注：let只能复制 不能直接赋值
127
#注：整数运算：4种方法
[root@cPen_web ~]# expr $a + $b
[root@cPen_web ~]# echo $(( $a + $b ))
[root@cPen_web ~]# echo $[ $a + $b ]
[root@cPen_web ~]# let c=$a+$b				# 注：let只能复制 不能直接赋值
数值运算：https://blog.csdn.net/weixin_34408624/article/details/92598137
------------------------------------------------------------------------
#注：小数运算
echo "scale=3;5/3"|bc						# 注：3表示保留3位小数  5/3
[root@cPen_web ~]# echo "scale=3;5/3"|bc	# 注：确保主机上装了bc
1.666
[root@cPen_web lianxi]# echo $((5/3))
1
[root@cPen_web lianxi]# echo |awk '{printf 5/3}'		# 注：awk默认保留5位小数
1.66667[root@cPen_web lianxi]# 
[root@cPen_web lianxi]# echo |awk '{printf "%.2f",5/3}'	# 注：保留2位小数
1.67[root@cPen_web lianxi]# 
数值运算：https://blog.csdn.net/weixin_34408624/article/details/92598137

1.3 如何计算本机有多少个用户以及多少个普通用户？

题目3：如何计算本机有多少个用户以及多少个普通用户？

示例
---------------------------------------------------------------------
#3、如何计算本机有多少个用户以及多少个普通用户？
wc -l /etc/passwd									# 注：本机有多少用户
awk -F":" '$3>=1000{print $1}' /etc/passwd |wc -l	# 注：本机有多少普通用户
#注：普通用户uid>1000

1.4 如何去除字符串中所有空格？

题目4：如何去除字符串中所有空格？

示例
---------------------------------------------------------------------
str="s t r i n g"
echo $str |tr -d " "							# 注：-d删除指定字符

1.5 备份/var/log/nginx/access.log日志，每五分钟备份一次,并且以2020-11-15_10_05-access.log.tar.gz方式命名。将日志文件备份文件放到/nginx/目录下

题目5：备份/var/log/nginx/access.log日志，每五分钟备份一次,并且以2020-11-15_10_05-access.log.tar.gz方式命名。将日志文件备份文件放到/nginx/目录下。

#注：确保crontab打开

示例
---------------------------------------------------------------------
[root@cPen_web ~]# crontab -e					# 注：计划任务里命令最好写绝对路径
*/5 * * * * tar czf /nginx/$(date +%Y-%m-%d_%H_%M-access.log.tar.gz) /var/log/nginx/access.log 

1.6 查找/etc/目录下10天以内3天以前修改过的文件，并将这些文件记录到/tmp/etc_log文件中

题目6：查找/etc/目录下10天以内3天以前修改过的文件，并将这些文件记录到/tmp/etc_log文件中

示例
---------------------------------------------------------------------
[root@cPen_web ~]# find /etc -type f -mtime -10 -mtime +3 		# 注：注意 是查找的文件
/etc/dnf/modules.d/python27.module
/etc/selinux/config
/etc/vsftpd/vsftpd.conf
/etc/dconf/db/site
/etc/dconf/db/local
/etc/dconf/db/distro
[root@cPen_web ~]# stat /etc/selinux/config 					# 注：stat看文件的原信息
………………
最近访问：2020-11-13 10:14:37.388001468 +0800
最近更改：2020-11-05 15:12:05.484883965 +0800
最近改动：2020-11-05 15:12:05.485883965 +0800
[root@cPen_web lianxi]# find /etc -type f -mtime -10 -mtime +3 &>/tmp/etc_log 

---

二. 练习

请用shell写出一个简单的猜拳游戏，枚举值（0石头、1剪刀、2布），有两位选手分别是rob1、rob2，他们的出拳方式由系统自动枚举，并连续猜十盘，最后给出十盘的结果

示例1：判定各种情况 if语句
---------------------------------------------------------------------
#!/bin/bash
echo "猜拳游戏开始啦！！！"
echo "今天我们的两位对手是rob1和rob2"
pingju=0
rob1_win=0
rob2_win=0
for i in `seq 10`
do
        a=`echo $[RANDOM%3]`
        b=`echo $[RANDOM%3]`
        case $a in
        0)
                c=bor1出的是石头
                ;;
        1)
                c=bor1出的是剪刀
                ;;
        2)
                c=bor1出的是布
                ;;
        esac
        case $b in
        0)
                d=bor2出的是石头
                ;;
        1)
                d=bor2出的是剪刀
                ;;
        2)
                d=bor2出的是布
                ;;
        esac
        if (($a==$b));then
                echo -e "$c\n$d \n他们战平了"
                pingju=$[$pingju+1]
                continue
        fi
        if [[ $a -eq 1 || $b -eq 1 ]];then      # 注：如果1方出布
                if [[ $a -eq 0 || $b -eq 0 ]];then # 注：如果1方出拳头
                                if  (($a>$b));then
                                        echo -e "$c\n$d,rob2获胜"
                                        rob2_win=$[$rob2_win+1]
                                        continue
                                else
                                        echo -e "$c\n$d,rob1获胜"
                                        rob1_win=$[$rob1_win+1]
                                        continue
                                fi
                fi
        fi
        if (($a>$b));then
                echo -e "$c\n$d,rob1获胜"
                rob1_win=$[$rob1_win+1]
        else
                echo -e "$c\n$d,rob2获胜"
                rob2_win=$[$rob2_win+1]
        fi

done

echo "rob1获胜次数$rob1_win,rob2获胜次数$rob2_win,平局次数$pingju
============================================================================================

示例2：使用减法
#注：if语句的使用
---------------------------------------------------------------------
for i in `seq 10`
do
        rob1=$(($RANDOM%3))
        echo rob1=$rob1
        rob2=$(($RANDOM%3))
        echo rob2=$rob2
        if [ $rob1 -eq $rob2 ]
        then
                echo "平局"
        elif [ $(($rob1-$rob2)) -eq -1 ] || [ $(($rob1-$rob2)) -eq 2 ]  # 注：rob1赢的情况
        then
                echo "rob1 win"
        else
                echo "rob2 win"
        fi
done
============================================================================================

示例3
---------------------------------------------------------------------
r1_win=0
r2_win=0
equal=0
for i in `seq 10`
do
    echo -ne "第$i盘\t"
    rob1_res=$(($RANDOM%3))
    rob2_res=$(($RANDOM%3))
    if [[ $(($rob1_res - $rob2_res)) = -1 ]]; then echo -ne "rob1胜\t" &&r1_win=$(($r1_win + 1)); fi
    if [[ $(($rob1_res - $rob2_res)) =  2 ]]; then echo -ne "rob1胜\t" &&r1_win=$(($r1_win + 1)); fi
    if [[ $(($rob2_res - $rob1_res)) = -1 ]]; then echo -ne "rob2胜\t" &&r2_win=$(($r2_win + 1)); fi
    if [[ $(($rob2_res - $rob1_res)) =  2 ]]; then echo -ne "rob2胜\t" &&r2_win=$(($r2_win + 1)); fi
    if [[ $(($rob1_res - $rob2_res)) =  0 ]]; then echo -ne "平局\t" && equal=$(($equal + 1)); fi
    [[ $rob1_res = 0 ]] && echo -ne "rob1:石头\t"
    [[ $rob1_res = 1 ]] && echo -ne "rob1:剪刀\t"
    [[ $rob1_res = 2 ]] && echo -ne "rob1:布\t\t"
    [[ $rob2_res = 0 ]] && echo  "rob2:石头"
    [[ $rob2_res = 1 ]] && echo  "rob2:剪刀"
    [[ $rob2_res = 2 ]] && echo  "rob2:布"
done
echo "rob1胜场:$r1_win"
echo "rob2胜场:$r2_win"
echo "平局场数:$equal"

示例4：生成1个随机数 3以内 不包括3
---------------------------------------------------------------------
#注：生成1个随机数 3以内 不包括3
[root@cPen_web lianxi]# echo $[RANDOM%3]
2
[root@cPen_web lianxi]# echo $[RANDOM%3]
1
[root@cPen_web lianxi]# echo $[RANDOM%3]
0

---

SSH服务

三. SSH服务介绍

远程Shell应用程序

• 允许用户在远程机器上执行任意命令

• 让标准输出在本地

• 早期明文远程协议：telnet

SSH（Secure Shell，安全的外壳）

• 为客户机提供安全的Shell环境，用于远程管理

• 默认端口：TCP 22

SSH基于公钥加密（非对称加密）技术

• 数据加密传输

• 客户端和服务器的身份验证

#注：23号端口是明文的，已经淘汰了

.--------------------------------------------------------------------------------------------------------------

ssh是什么？

​ ssh --> secure shell

​ remote login program – 远程登陆模式

​ 对数据进行加密传输的服务，主要用在远程登陆

#注：把数据放到加密好了的壳里面，是安全的协议

.--------------------------------------------------------------------------------------------------------------

ssh协议是应用层协议，根据ssh协议实现的服务叫ssh服务

ssh服务主要在HP-UX,LINUX,AIX,UNIX系统上都有（类UNIX系统上），Windows上没有

#注：ftp协议也是应用层的协议，根据协议实现的服务叫ftp服务

.--------------------------------------------------------------------------------------------------------------

ssh常见的2种登陆方式：

1、密码登陆

2、密钥登陆（免密码登录） # 注：不需要密码

#注：想要登录到那台主机，1、需要知道那台主机ip，2、允许登录，3、网络跟它联通，可以访问到那台主机上

#注：ssh服务默认端口 22号端口 可以去更改

.--------------------------------------------------------------------------------------------------------------

#注：/etc/services 可以查看常用服务的默认端口号

[root@cPen_web lianxi]# less /etc/services 
ssh             22/tcp                          # The Secure Shell (SSH) Protocol
ssh             22/udp                          # The Secure Shell (SSH) Protocol
#注：一般来说ssh都是使用tcp去传输的

.--------------------------------------------------------------------------------------------------------------

#注：因为它所有的数据都是进行加密的，所以说它是安全的shell

#注：2台主机之间进行数据交互 都会牵扯到 数据包的传输

#注：对别的服务发起一个请求，其实就是相当于发送了1个包给它，这里包里面带有请求

#注：普通情况下不给它加密的话，信息是明文的，是不安全的；ssh服务对数据进行加密，只有a主机和b主机知道解密的方式，其他人不知道

#注：安装好系统后（最小安装），一般来说自带ssh服务，一般来说启动系统它会自动起来

.--------------------------------------------------------------------------------------------------------------

示例：查看ssh服务是否启动
---------------------------------------------------------------------------------
1、查看进程
[root@cPen_web lianxi]# ps ef |grep ssh			# 注：进程名叫sshd
2、pidof sshd									# 注：判定某个服务是否存在pid
[root@cPen_web lianxi]# pidof sshd				# 注：服务起来的话必定会有1个pid
2545 2543 2542 2538 2537 2536 909
#服务起来后必定会有1个pid
3、查看网络连接监听状态 netstat
#注：yum install net-tools
[root@cPen_web lianxi]# netstat -atpl |grep ssh		# 注：a 所有 ;t tcp ;p 端口
[root@cPen_web lianxi]# netstat -atpln |grep ssh
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      909/sshd            
#注：listen状态 在监听中，表示别人可以里来连接我了
tcp        0      0 192.168.0.21:22         192.168.0.42:58697      ESTABLISHED 2536/sshd: root [pr 
#注：ESTABLISHED表示已经建立连接了，可以进行数据交换了；
tcp        0     36 192.168.0.21:22         192.168.0.42:58698      ESTABLISHED 2537/sshd: root [pr 
tcp6       0      0 :::22                   :::*                    LISTEN      909/sshd       

#注：0.0.0.0:22表示在本机所有ip上监听22端口（别人可以通过所有的ip来访问）。如果把它监听到192.168.0.135/24上，那别人只能通过135这个地址来访问我
#注：listen状态 在监听中；表示服务起来了 在监听状态，表示别人可以来连接我了
#注：establish表示有1个客户端连接我了（已经建立连接的状态）
#注：0.0.0.0:*表示允许任意ip，任意端口客户端来连接	（*代表任意端口客户端）
#注：0.0.0.0:22第1种表示本机上所有的ip			（本机上的）
#注：0.0.0.0:* 表示允许任意ip，任意端口客户端来连接	（外部客户端的任意端口）（*代表任意端口客户端）
------------------------------------------------------------------------------------------------------
#注：本地回环地址代表本地，测试网卡是否ok 	127.0.0.1/8 本地回环地址
#注：网卡实际地址	192.168.0.21/24
#注：别人不可以通过127.0.0.1来访问，因为127.0.0.1代表本地，每一台机器都有一个127.0.0.1本地回环地址，别人通过127.0.0.1来访问，仅仅只是访问的自己

4、lsof -i:22				#注：查看有没有listen状态的监听 ； establish表示连接建立了
#注：知道端口后可以查看端口
#注：lsof -->list open file 	列出打开的文件（全称）
[root@cPen_web ~]# lsof -i:22
COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
sshd     908 root    4u  IPv4  27707      0t0  TCP *:ssh (LISTEN)		# 注：listen 监听状态
sshd     908 root    6u  IPv6  27721      0t0  TCP *:ssh (LISTEN)		# 注：ESTABLISHED 建立连接
sshd    1419 root    5u  IPv4  29943      0t0  TCP cPen_web:ssh->10.112.68.22:49959 (ESTABLISHED)
sshd    1421 root    5u  IPv4  29943      0t0  TCP cPen_web:ssh->10.112.68.22:49959 (ESTABLISHED)
============================================================================================
示例：增加ip地址
[root@cPen_web lianxi]# ip a add 192.168.0.144/24 dev ens33	# 注：增加ip地址
[root@cPen_web lianxi]# ip add								# 注：最好跟它同网段
    inet 127.0.0.1/8 scope host lo							# 注：dev ens3 设备 ens33
    inet 192.168.0.21/24 brd 192.168.0.255 scope global dynamic noprefixroute ens33
    inet 192.168.0.144/24 scope global secondary ens33
============================================================================================
示例：查看命令属于哪个包
[root@cPen_web lianxi]# which netstat				# 注：找到命令的绝对路径
/usr/bin/netstat
[root@cPen_web lianxi]# rpm -qf /usr/bin/netstat	# 注：查看这个绝对路径执行文件属于哪个包
net-tools-2.0-0.51.20160912git.el8.x86_64

---

四. 密钥登陆

[root@cPen_web ~]# ssh-keygen					# 注：创建密钥对
Generating public/private rsa key pair.			# 注：rsa算法生成公钥和私钥的钥匙对（钥匙有2把不是同一把）
Enter file in which to save the key (/root/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:JZh0IhlTUDkIvuXuv7Iw7zYsoucwfLjpPWrHYN7P63g root@cPen_web
The key's randomart image is:
+---[RSA 2048]----+
|  ..=B=..        |
| .  o+o=         |
|  . . o.. .      |
|   +     o       |
|  . .   S        |
|.o..             |
|=o*o.            |
|.=BXBE           |
|=O+*XX+.         |
+----[SHA256]-----+
[root@cPen_web ~]# 

加密

1. 对称加密

   ​ 加解密的钥匙都是同一把

   ​ 怎么样安全的保存这个密码，这个密钥在需要加密的机器之间都是共享的

   ​ 很难保证这个密钥不被泄漏

2. 非对称加密 # 注：加密和解密的钥匙不一样

   ​ 生成一对公私钥，私钥自己保管，公钥可以给其他人

   ​ 公私钥对是成对存在的，一个用于加密，一个用于解密。具体哪个为私钥，哪个为公钥就看使用者自己管理。

注意：

​ 使用公钥进行加密，私钥解密，基本用于数据加密

​ 使用私钥加密公钥解密，用于认证

[root@cPen_web ~]# ssh-keygen					# 注：创建密钥对
Generating public/private rsa key pair.			# 注：rsa算法生成公钥和私钥的钥匙对（钥匙有2把不是同一把）
Enter file in which to save the key (/root/.ssh/id_rsa):  # 注：存放公私钥的路径，root用户的
Enter passphrase (empty for no passphrase): 	# 注：设置密钥密码	# 注：非全局
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_rsa.	
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:JZh0IhlTUDkIvuXuv7Iw7zYsoucwfLjpPWrHYN7P63g root@cPen_web	# 注：算法hash算法
The key's randomart image is:			# 注：信息摘要 用的 SHA256 hash算法
+---[RSA 2048]----+
|  ..=B=..        |
| .  o+o=         |
|  . . o.. .      |
|   +     o       |
|  . .   S        |
|.o..             |
|=o*o.            |
|.=BXBE           |
|=O+*XX+.         |
+----[SHA256]-----+
[root@cPen_web ~]# 
#注：hash算法  任意长度的输入，映射成固定长度的输出
--------------------------------------------------------------------------------------------
#注：加密分为2种方式：1、对称加密；2、非对称加密
#注：对称加密 a机器给b机器传输东西，a机器知道1串密码叫做aa，b机器也知道这个密码叫做aa；a机器对date用aa加密，b机器用aa解密。2个加密解密都用同一个密钥（加密的钥匙A和B都知道）。形式的条件是a和b都知道密钥是什么，且都一样
#注：问题 不能保证密钥不被被人知道

#注：非对称加密  a机器和b机器进行数据加密传输（进行通讯）。a机器在本地生成1个public和private的钥匙对，a机器生成公钥和私钥都放在a机器上，发送数据时，a机器先把公钥给b（也可以把公钥给c,公钥可以给任何人），但是私钥只有自己a机器才知道。b机器用a机器给的公钥加密，a机器收到后用私钥解密
唯一能够解密的钥匙 私钥 只有机器a才有，只有机器a才能解密

#注：对于数据信息加密而言，用公钥加密，用私钥解密，只有机器a才能解密
#注：非对称加密  用于数据加密时，用公钥加密，私钥解密

---

五. ssh配置

ssh配置

目录：/etc/ssh # 注：这下面放的都是ssh的配置文件

[root@cPen_web ~]# cd /etc/ssh/  
[root@cPen_web ssh]# ls
moduli      sshd_config         ssh_host_ecdsa_key.pub  ssh_host_ed25519_key.pub  ssh_host_rsa_key.pub
ssh_config  ssh_host_ecdsa_key  ssh_host_ed25519_key    ssh_host_rsa_key
#注：sshd_config 客户端的配置文件
#注：ssh_config  服务的配置文件
#注：ssh_host_ecdsa_key  ssh_host_ecdsa_key.pub  一对公私钥
#注：ssh_host_ecdsa_key.pub 公钥  ssh_host_ecdsa_key私钥
#注：ssh服务起来的时候，它会自动创建1对公私钥

示例：创建的公私钥默认放在/root/.ssh/目录下
[root@cPen_web ~]# cd .ssh
[root@cPen_web .ssh]# ls
id_rsa  id_rsa.pub  known_hosts
#注：id_rsa		私钥
#注：id_rsa.pub	公钥

---

六. 实现公钥认证(免密码登录)

#注：a机器下(生成公钥后)
[root@cPen_web ~]# cd .ssh
[root@cPen_web .ssh]# ls
id_rsa  id_rsa.pub  known_hosts
[root@cPen_web .ssh]# cat id_rsa.pub 
ssh-rsa
AAAAB3NhQX......jXDv87iERv/z9XepKCeYqCfF2Dvv0n/g+IeFmzhW0iOppExskimMPGGWcN+7rXWlwaLNTiknmSTl+mFvZV8uIY5DnQXv root@cPen_web
#注：b机器下
[root@cPen_web ~]# mkdir .ssh					# 注：没有的话 创建 .ssh文件夹
[root@cPen_web ~]# cd .ssh/
[root@cPen_web .ssh]# ls
known_hosts
[root@cPen_web .ssh]# vim authorized_keys		# 注：创建文件authorized_keys
ssh-rsa											# 注：把a机器的公钥粘过去
AAAAB3NhQX......jXDv87iERv/z9XepKCeYqCfF2Dvv0n/g+IeFmzhW0iOppExskimMPGGWcN+7rXWlwaLNTiknmSTl+mFvZV8uIY5DnQXv root@cPen_web
[root@cPen_web .ssh]# chmod 600 authorized_keys 	
#注：给它的权限为600，不要让其他人或者其他组有任何权限
#注：a机器下
[root@cPen_web .ssh]# ssh root@10.122.148.108		# 注：使用客户端 以root用户登录
………………………
Are you sure you want to continue connecting (yes/no)? yes
………………………
[root@cPen_web ~]# 									# 注：不需要输入密码，就是免密码登录成功

实现公钥认证,免密码登录

A --> B A机器要登录到B机器上

1、在A机器上生成公钥对（如果有公钥对，则不需要重新生成），默认会放在当前用户家目录下的.ssh/文件下

生成一个id_rsa（私钥），id_rsa.pub（公钥）

#注：如果有了，就不需要重新生成公钥对了，因为会覆盖。默认路径不要改它，改它的意义不大，因为默认在默认路径查找

[root@cPen_web ~]# ssh-keygen # 注：生成，中间一直敲回车，选择默认

2、在B机器上目标用户的家目录下面~/.ssh/authorized_keys文件里将A机器的公钥复制粘贴过来，

没有此文件就创建，并且确保这个文件的权限设为600

3、查看公钥认证是否成功

​ 在A机器上执行 ssh root@B机器的ip

​ 不需要输入密码就可以登录到B机器，则表示免密码登录成功

​ 公钥放在B机器的哪个用户下面，就通过哪个用户登录

​ 以哪个用户登录，需要看公钥放到B机器的哪个用户下

[root@cPen_web ~]# useradd wy
[root@cPen_web ~]# su - wy					# 注：su切换不会经过ssh服务
[wy@cPen_web ~]$ 

#注：su切换用户，是不会经过ssh
#注：ssh是远程登录
su 和 su -		su切换不会切换bash环境（还是原用户的bash环境）
				 su - 去切换 会切换到wy的bash环境

公钥认证排错

1. 确保公钥正确

2. 确保~/.ssh/authorized_keys文件权限为600

3. 确保家目录以及.ssh目录权限为755以下权限，即属组和其他人没有7的权限

---