SSH Kommunikation zwischen zwei Debian Servern ohne Passwort ermöglichen

Um zwei Server per SSH miteinander kommunizieren zu lassen ist es am sichersten die Passwort-basierte Anmeldung zu deaktivieren und per Schlüsselaustausch eine automatisierte Anmeldung zu ermöglichen. Dazu sind nur wenige Befehle nötig. Hier ein Beispiel für den User root.

In einer Kommunikation gibt es immer einen Client und einen Server. Sollen beide Server miteinander "reden" können und nicht nur in eine Richtung, dann muss man diese Anleitung zweimal durchführen und beim zweiten Mal die Rolle des Clients und Servers vertauschen. Angenommen unsere Maschine mit der IP 10.10.202.14 soll eine Verbindung zur Maschine mit der IP 10.10.202.21 herstellen. Dabei ist 10.10.202.14 der Client und 10.10.202.21 der Server. Auf dem Server muss mindestens das Paket openssh-server und auf dem Client mindestens das Paket openssh-client installiert sein.

Auf der Maschine 10.10.202.14 (Client) dann bitte folgendes ausführen:

> ssh-keygen -t rsa

Danach bestätigen, dass der Schlüssel im Ordner /root/.ssh/id_rsa gespeichert werden soll und keine Passphrase eingeben (der Login per SSH soll ja ohne Passwort erfolgen).

Jetzt wurden sowohl ein privater und ein öffentlicher Schlüssel erstellt und im Ordner /root/.ssh/id_rsa gespeichert. Der öffentliche Schlüssel hat die Dateiendung .pub und muss jetzt auf den Server (10.10.202.21) kopiert werden. Das geht mit folgendem Befehl (der weiterhin von der Kommandozeile des Clients ausgeführt werden muss):

> ssh-copy-id -i /root/.ssh/id_rsa.pub root@10.10.202.21

Da zum Kopieren eine Verbindung zum Server (10.10.202.21) hergestellt werden muss, die aber momentan noch nicht "passwortfrei" ist, muss hier einmalig das Root-Passwort des Servers eingegeben werden. Danach ist der Schlüsselaustausch erfolgt und es kann mit folgendem Befehl eine Verbindung zum Server hergestellt werden:

> ssh root@10.10.202.21

Die Verbindung wird jetzt hergestellt und kann mit einem einfachen "exit" auch wieder beendet werden.

Wollt ihr, wie vorab gesagt, nicht nur eine einseitige Kommunikation erlauben, sondern beide Server miteinander reden lassen, müsst ihr jetzt das gleiche nochmal durchführen nur die IP-Adressen vertauschen, so dass 10.10.202.14 der Server ist und 10.10.202.21 der Client.