macos使用ssh-agent管理ssh密钥
为啥会有使用agent来保存密钥的想法。
因为Macos里好像程序是可以访问.ssh目录的。看上去好像并没有啥权限阻挡。但是访问icloud的目录的时候会弹出授权。
如果把密钥存在icloud,只是在开机的时候导入到内存。程序需要使用密钥时通过agent而不是直接访问密钥,是否会好点?
下面就是操作步骤
生成密钥,配置密钥认证
比较简单,自行查阅
添加密钥到ssh-keygen
# ssh-add <path to key>如
# 可以加--apple-use-keychain 和
ssh-add ~/.ssh/id_rsa --apple-load-keychain 但是貌似没啥用
添加好之后可以ssh-add -l
查看 这里添加了6个
修改ssh-config 添加使用agent
在 .ssh/config中的Host *下面添加下面的配置
AddKeysToAgent yes
UseKeychain yes
添加好之后是
Host *
AddKeysToAgent yes
UseKeychain yes
也可以为某个host单独添加
测试一下
ssh <host>
或者在sftp的app客户端访问服务器
- 在导入key很多的时候,可能服务器对应的key排到比较靠后,这个时候就会出现
Permission denied
ssh -v <host>
看到超过了尝试key的次数失败了
这个时候可以指定一下key的顺序
ssh-agent设定密钥顺序或为Host指定密钥
# vim ~/.ssh/config
# 加入 IdentityFile 配置,这里使用公钥即可
# 除了add后续步骤都不需要私钥
也可以单独加入到host的配置中。这个过程只用暴露公钥
PS:公钥删掉了咋办?
# 如果是ssh-add
ssh-add -L
# 如果是有私钥
ssh-keygen -y -f <私钥文件>
最后整个私钥保护流程
- 生成公私密钥,在服务器和客户端上配置好公钥认证(本文中未说明,很简单请自行查阅)
- 公钥保存到自己的离线设备如U盘中
- 开机时使用
ssh-add
将离线设备中的私钥导入agent中。这个过程只会在内存中保留副本。 - 拔掉离线设备(U盘)
- 使用Cyberduck、ssh、sftp等需要用到密钥认证的终端访问即可。
在后续使用中只会有公钥被访问,即使.ssh目录被暴露。私钥也不会被暴露。