最近写一些shell脚本的时候，需要读取远程服务器的目录下的内容，不能在脚本中直接使用密码，所以就想到了使用免密的方式进行读取。

一、虚拟机环境

下面是我安装的虚拟机网络配置

虚拟机编号	IP地址	子网掩码	账号
100	192.168.164.100	255.255.255.0	dev
101	192.168.164.101	255.255.255.0	dev

这里我们准备了两台虚拟机，账号都是使用的dev,需要保证两台服务器的网络互通

二、配置免登录

我们的目标是在101服务器上能够免登录到100服务器；所有的操作都是在101服务器上完成的。

1、生成密钥

ssh-keygen命令用于生成密钥；

可以使用man ssh-keygen获取命令的帮助信息

可以看到密钥算法支持dsa | ecdsa | ed25519 | rsa | rsa1，可以使用-t进行指定，默认使用的是rsa算法

可以使用-f指定密钥生成的文件，如果没有路径，则会生成到当前路径（不建议指定，默认会在用户目录下的.ssh目录下生成）

下面我们以dsa的方式生成密钥

ssh-keygen -t dsa

后面提示输入密钥的文件名称默认是(默认会在用户目录下的.ssh目录下生成id_dsa文件)，直接回车即可

再后面提示输入口令，回车即可，否则在免密登录时需要输入口令。

最后可以看到用户目录下的.ssh目录下生成了两个文件：

id_dsa是生成的私钥

id_dsa.pub是生成的公钥

2、上传公钥到目标服务器

ssh-copy-id命令用于公钥的上传

可以使用man ssh-copy-id获取命令的帮助信息

 -p 用于指定远程服务器的端口（默认是22，如果远程服务器ssh的端口不是22时需要进行指定）

ssh-copy-id dev@192.168.164.100

命令执行后执行如下：

根据提示信息连接192.168.164.100服务器，并输入dev账号的密码后，会将192.168.164.101服务器刚刚生成的公钥复制到192.168.164.100服务器。

我们使用ssh连接到192.168.164.100服务器：

ssh dev@192.168.164.100

就可以看出免密是否设置成功，如果未设置成功，可以按照下面的步骤进行调试。

三、如何调试

将目标服务器（192.168.164.100）的sshd服务停掉，使用调试模式启动sshd服务

/usr/sbin/sshd -d

在客户端服务器（192.168.164.100）使用ssh连接

ssh -vvv dev@192.168.164.100

需要注意的是调试完成后启动sshd服务

注意：

# 启动sshd

systemctl start sshd.service

# 停止sshd

systemctl stop sshd.service

# 重启sshd

systemctl restart sshd.service

四、免登录失败

1、签名算法不支持

使用sshd调试模式，可以看到sshd服务的日志信息：

debug1: Server will not fork when running in debugging mode.
debug1: rexec start in 5 out 5 newsock 5 pipe -1 sock 8
debug1: sshd version OpenSSH_9.6, OpenSSL 3.2.1 30 Jan 2024
debug1: private host key #0: ssh-rsa SHA256:dIWyWXw5fGeUfV3rAceE36LCtCTsf9JeKo6jSQqOyTc
debug1: private host key #1: ecdsa-sha2-nistp256 SHA256:7G/ksKt/J5bF0TGsLq34p8il6RNoXnRM87IAQtf3hXA
debug1: private host key #2: ssh-ed25519 SHA256:c7vI1pqCEvUyzpIYsctDWYRXbcPnpo/+YYe9ro/kv7A
debug1: inetd sockets after dupping: 3, 3
Connection from 192.168.164.101 port 55234 on 192.168.164.100 port 22
debug1: Local version string SSH-2.0-OpenSSH_9.6
debug1: Remote protocol version 2.0, remote software version OpenSSH_7.4
debug1: compat_banner: match: OpenSSH_7.4 pat OpenSSH_7.4* compat 0x04000006
debug1: permanently_set_uid: 74/74 [preauth]
debug1: list_hostkey_types: rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp256,ssh-ed25519 [preauth]
debug1: SSH2_MSG_KEXINIT sent [preauth]
debug1: SSH2_MSG_KEXINIT received [preauth]
debug1: kex: algorithm: curve25519-sha256 [preauth]
debug1: kex: host key algorithm: ecdsa-sha2-nistp256 [preauth]
debug1: kex: client->server cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none [preauth]
debug1: kex: server->client cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none [preauth]
debug1: expecting SSH2_MSG_KEX_ECDH_INIT [preauth]
debug1: SSH2_MSG_KEX_ECDH_INIT received [preauth]
debug1: rekey out after 134217728 blocks [preauth]
debug1: SSH2_MSG_NEWKEYS sent [preauth]
debug1: Sending SSH2_MSG_EXT_INFO [preauth]
debug1: expecting SSH2_MSG_NEWKEYS [preauth]
debug1: SSH2_MSG_NEWKEYS received [preauth]
debug1: rekey in after 134217728 blocks [preauth]
debug1: KEX done [preauth]
debug1: userauth-request for user dev service ssh-connection method none [preauth]
debug1: attempt 0 failures 0 [preauth]
debug1: userauth-request for user dev service ssh-connection method publickey [preauth]
debug1: attempt 1 failures 0 [preauth]
userauth_pubkey: signature algorithm ssh-dss not in PubkeyAcceptedAlgorithms [preauth]
debug1: userauth-request for user dev service ssh-connection method keyboard-interactive [preauth]
debug1: attempt 2 failures 1 [preauth]
debug1: keyboard-interactive devs  [preauth]
debug1: auth2_challenge: user=dev devs= [preauth]
debug1: kbdint_alloc: devices '' [preauth]

从日志中可以看到签名算法不支持，可以在/etc/ssh/sshd_config中新增对ssh-dss签名算法的支持。

HostKeyAlgorithms +ssh-dss
PubkeyAcceptedAlgorithms +ssh-dss