赞
踩
使用ssh key可以免去每次使用ssh命令时输密码的麻烦,这里简单介绍一下ssh key的使用。
在前面的一篇文章《网络环境的身份认证方法》中,简单介绍了身份认证的方法。在我看来(可能不准确,或者直接是错误,欢迎指正),ssh在输密码的时候,无非就是在对user进行一个身份认证的操作。之所以,用ssh key可以免去输密码的麻烦,很显然是利用了ssh key可以进行身份认证的作用。不做,通过产生一对ssh key(公钥和私钥),可以完成对发信人的身份认证。具体参见《网络环境的身份认证方法》,当使用私钥进行加密而使用公钥进行解密的时候,正是利用这种非对称密钥来验证发信人的身份的。当然,这也就是为什么在ssh key的使用过程中,需要将公钥添加到server端。只有这样,server才可以验证是不是user的身份。下面,介绍下ssh key的使用方法。
1、生成密钥对
OpenSSH 提供了ssh-keygen用于生成密钥对,不加任何参数调用即可:
% ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key:
如果你以前没有生成过密钥对,直接回车就行。然后会问你“passphrase”,这是用来加密私钥的密码。如果你不知道怎么用,直接用空密码也行(当然>,这样会降低安全性)。按两次回车后密钥对就生成好了。默认密钥对存放在用户主目录下面的.ssh目录中,其中的会有两个文件:后缀名为pub的是公钥,另一个是私钥。
注意:不要把你的私钥和任何人分享。公钥可以到处分发。
2、上传密钥
为了实现ssh时输密码的麻烦,必须将密钥上传到sever。方法很简单,只需将上面生成的公钥文件中的内容,追加到sever的~/.ssh/authorized_keys文件中即可(如果该文件不存在,则需要新建该文件。)。这样就可以实现ssh免密码登录了。但是,为了安全地使用ssh key要注意~/.ssh相关文件的权限。为防止你的私钥被恶意用户获取和/或篡改,以及你的公钥信息被恶意用户篡改,ssh 对 ~/.ssh 的文件权限有着严格的要求。如果权限不对,公钥验证不会正常工作。NOTE: 准确说来,这取决于 sshd 的配置。但不管怎样,出于安全性考虑,按如下步骤配置文件权限还是必要的。
在本地和远程两台机器上,都确认 ~/.ssh 目录只有你有 rwx 权限,其他人没有任何权限:
% pwd
/home/lfqy
% chmod 700 .ssh
% ls -dl .ssh
drwx------ 2 lfqy lfqy 4046 7月 31 16:29 .ssh/
在本地机器上,确认私钥只有你有 rw 权限,其他人没有任何权限:
% pwd
/home/lfqy/.ssh
% chmod 600 id_rsa
% ls -l id_rsa
-rw------- 1 lfqy lfqy 1679 7月 31 16:49 id_rsa
类似地,确认远程机器上的 ~/.ssh/authorized_keys 只有你有 rw 权限:
% pwd
/home/lfqy/.ssh
% chmod 600 authorized_keys
% ls -l authorized_keys
-rw------- 1 xiaq lfqy 394 7月 31 16:54 authorized_keys
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。