ssh免密登入在實際工作中有重要的作用，甚至有的應用部署也必須要免密登入遠端主機，例如hadoop環境搭建。

       免密登入，需要先在本機生成公鑰，然後將公鑰拷貝到遠端主機，拷貝的過程，既可以手動（在遠端主機根目錄下建立.ssh目錄，然後將公鑰存入該目錄下authorized_keys檔案中即可），也可以直接命令操作ssh-copy-id，這個操作做完了，即可免密登入遠端主機。

         仔細回想這個過程，先在本機生成公鑰，然後將公鑰複製到遠端主機，接著就可以免密登入遠端主機，這個過程似乎與我們想想的不太一樣，我們可能希望遠端主機免密登入本機。這就好比我要去朋友家，我先將我們家的鑰匙放在朋友家，結果我就可以隨便進入朋友家裡。正常來說，我家鑰匙在朋友家裡，應該是朋友隨便進入我家。通過實驗我們來看是什麼樣的。

這裡假定我們需要在node01上遠端登入node02機器，這樣的話，預設ssh登入，需要輸入node02上root使用者的密碼。如下圖所示:

node02上本身是沒有.ssh目錄的。

一、生成型別rsa免密的公鑰。

#ssh-keygen -t rsa -P ""

遇到提示，一路回車即可。

檢視剛剛生成的公鑰id_rsa.pub

二、將公鑰通過命令ssh-copy-id放入node02機器上。

#ssh-copy-id [email protected]

執行這一步操作，需要輸入node02上root使用者登入的密碼。

執行成功之後，我們在node02上檢視/root/.ssh目錄已經生成，並且多了一個名為authorized_keys的檔案，裡面儲存的正是node01上ssh-keygen生成的id_rsa.pub的內容。

三、遠端登入node02，無需密碼，直接登入成功，如圖所示。

另外：免密登入本機也是可以的，預設是需要密碼的，只需要將id_rsa.pub拷貝一份儲存為authorized_keys。接著ssh登入本機，直接登入成功。

       ssh免密登入的過程我們已經清楚了，現在來說說是怎麼回事，為什麼和我們想象的不一樣。

       ssh-keygen的過程，其實不光生成了id_rsa.pub，同時還生成了id_rsa這個檔案，這個檔案就是私鑰，儲存在本機的。ssh遠端登入的過程，先是客戶端請求遠端主機，遠端主機根據authorized_keys中本機公鑰的內容加密一個請求，返回給客戶端，客戶端然後利用私鑰對這個請求解密，再發送給遠端主機，遠端主機收到了準確的應答，即認為是該客戶端是可信的，因此允許登入。該過程可以通過如下圖所示更直觀。

       遠端主機上的authorized_keys檔案中可以儲存多個公鑰。多個公鑰直接追加在末尾。

       瞭解ssh免密登入的過程，再回過頭來，我們發現其實這種方式和遠端主機的密碼沒有任何關係，我們無需知道密碼，或者密碼隨便更改，我們只要保證遠端主機有我們的公鑰，而我們本地有這麼一對公鑰和私鑰就可以了。