為了保證一臺Linux主機的安全，所以我們每個主機登入的時候一般我們都設定賬號密碼登入。但是很多時候為了操作方便，我們都通過設定SSH免密碼登入。那麼該如何設定？是不是免密碼登入就不安全了呢？

一、被訪問主機的祕鑰儲存機制

在被SSH登入的主機中，其實都有一個儲存來登入的主機的祕鑰的檔案，它的名字叫做authorized_keys，它的位置就在root/下面的隱藏目錄.ssh中(注：如果這臺主機沒有被設定任何免祕鑰登入，這個檔案預設是不存在的)

在authorized_keys檔案中，儲存著能夠登入本地主機的各個主機的身份證資訊，他們的儲存格式都是以ssh-rsa開頭的一組字串。在這裡，我們不用理解他的意義，但是要記住兩點：

1.     每個ssh-rsa及其之後字串組成了一個唯一代表一個主機的祕鑰；

2.     這個祕鑰是無法被仿照的；

二、SSH免密登入設定

（1）從Linux系統下發起免密登入

目標機器： HostA

本地機器： HostB

a.     在本地機器用ssh-keygen 生成一個公私鑰對

[[email protected] ~] ssh-keygen

此時，在/root/下會生成一個.ssh目錄，在這個目錄下會生成兩個檔案

id_rsa是私鑰，一定要儲存好。不能丟失，也絕對不能分發給其他的使用者。如果私鑰丟失，身份就可能會被別人冒充。

id_rsa.pub是公鑰，用來對外做分發用的。其他的主機拿到公鑰之後，就能夠判斷私鑰是否準確。

b.     把本地生成的公鑰拷貝到需要登入的目標主機上

[[email protected]  ~]scp .ssh/id_rsa.pub [email protected]:/home/

c.     在遠端主機上，將公鑰新增到authorized_keys檔案之後

[[email protected]  ~]cat id_rsa.pub >> .ssh/authorized_keys

[[email protected]  ~]chmod 700 .ssh

[[email protected]  ~]chmod 600 .ssh/authorized_keys

這裡要注意兩點：

1） 這裡是目標主機HostA，而不是發起主機HostB

2） 這裡需要用cat命令將公鑰中的內容用重定向命令>>新增到authorized_keys檔案之後，而不能簡單的用cp命令。原因是因為authorized_keys裡面以前可能新增過祕鑰，如果用cp命令，可能將以前的祕鑰都沖掉。

d.     上述步驟都完成後，免密登入都已經設定完成，可以回到本地主機上進行SSH登入了

（2）從Windows系統下發起免密登入

目標機器： HostA

本地機器： HostB

軟體工具：XShell

a.     在XShell上生成一個新的使用者祕鑰

工具->使用者祕鑰管理者->

b.     點選下一步，會生成一個公鑰檔案，把它儲存下來。

c.     將這個公鑰檔案拷貝到目標主機的/root/.ssh目錄下

把它新增到目標主機的authorized_keys檔案中

[[email protected]  ~]cat id_rsa.pub >> .ssh/authorized_keys

設定完成