做 rsync 远程同步文件的时候,总要输入密码,没法做自动运行。查 rsync 的使用方式,用 –password-file=/home/leakon/secret/rsync.pass 这个参数也还是不行,有人说改文件权限为 600,有人说文件里面只写密码,不要写成 user:pass 的格式。反正怎么试都是不行。
只能寻求建立 SSH 信任关系跳过密码的方式来同步文件了。
本来以前查资料,搞定过用 SecureCRT 不要密码登录 FreeBSD 的,详情见:http://www.leakon.com/archives/55
但到了服务器之间,我还没成功过。
查了好多资料,让人难以理解的表达能力和我自己笨到不行的理解能力,实在看不太明白。
现在我还是说清楚一点吧,我的目标是,在 home 服务器 ssh 远程登录 office 服务器时不必输入密码(帐户名都是 leakon)。
那么,我要在 home 服务器上用 ssh-keygen 生成密钥,rsa 或 dsa:
leakon@home shell> ssh-keygen -t rsa
一路回车,会在 ~/.ssh/下生成 id_rsa 和 id_rsa.pub ,分别是私钥和公钥。
然后,要把 id_rsa.pub 的内容追加到 office 服务器 ~/.ssh/authorized_keys 的尾部:
leakon@home shell> scp ~/.ssh/id_rsa.pub leakon@office:~/leakon_random_rsa.pub
这里改名公钥文件是为了避免覆盖 office 端的同名文件。
登录 office 服务器,把新的公钥文件加入到授权文件中:
leakon@office shell> cat ~/leakon_random_rsa.pub >> ~/.ssh/authorized_keys
注意,请检查这个 authorized_keys 的权限,应该是 600,如果之前不存在,那么创建文件默认的权限是 644,这样是不行的,很多情况下加完授权文件后登录还需要密码,就是因为这里权限不对。
注意,公钥文件添加到了 office ,私钥文件也应该添加到 home 的身份文件中。实际上,只要 id_rsa 这个文件存在于 home 的 ~/.ssh/ 下就没问题,但容易被不小心覆盖,所以应该添加到 ~/.ssh/identity 中,这是与 office 端的 authorized_keys 对应的私钥文件:
leakon@home shell> cat ~/.ssh/id_rsa >> ~/.ssh/identity
注意文件权限也应是 600。
通常这个时候就搞定了,在 home 登录 office 不需要输入密码了。
如果还是不行,下述方法可能有帮助:
- 检查 /etc/ssh/sshd_config 中 AuthorizedKeysFile .ssh/authorized_keys 文件位置
- 把 /etc/ssh/sshd_config 文件中的 RSAAuthentication yes 打开
- home 端的 ssh 可能编译没有完全成功,有先例:home 时钟不对,编译不完全,更正时钟,再编译,完成后可解决问题
- 清除 home ~/.ssh/known_hosts
- home 和 office 的用户名应该相同