ssh 免密码登录

参考：SSH-KeyGen 的用法 http://blog.163.com/chen98_2006@126/blog/static/158584272007101862513886/

背景ssh实现了加密的远程登录. 但做为一个系统管理员,当需要操作的机器很多时频繁的输入密码往往会让你崩溃掉. 幸好你看到了这篇文章, 它将告诉你如何实现即安全又方便的免密码ssh登录.创建ssh公私钥首先你需要放弃使用的密码登录的方式,因为那种方式实在太让人崩溃了. 下面我们开始使用一种被称为"公私钥"认证的方式来进行ssh登录. "公私钥"认证方式简单的解释是

 

• 你需要创建一对公私钥

• 然后把公钥放到服务器上, 自己保留好私钥

• 当ssh登录时,ssh程序会发送私钥去和服务器上的公钥做匹配.如果匹配成功就可以登录了我们现在来点实际的, 我们有两台机器: qian.jianingy.com(这是我们的服务器, 实际上它是我的), nby.jianingy.com(这是我的笔记本). 首先,使用ssh-keygen程序在笔记本上创建公私钥对:

  
  
  [ ssh~]$-keygen注：这里补充一下，不通版本可能命令上有细微差别，比如AS4就要使用命令
  

• 
  
  [tomcat@devdb ~]ssh-keygen -t rsa
  

之后会看到这些信息

Generating public/private rsa key pair.

Enter file in which to save the key (/home/jianingy/.ssh/id_rsa): 

Enter passphrase (empty for no passphrase): 

Enter same passphrase again: 

Your identification has been saved in id_rsa.

Your public key has been saved in id_rsa.pub.

The key fingerprint is:

15:c6:44:59:bf:6f:7a:11:eb:cb:02:d4:aa:33:e0:ae 

ssh-keygen程序会寻问你把公私钥文件存放在哪里.根据传统我们会把它放在~/.ssh里面.如果你不想追随这个传统, 你可能给花些时间游说那些ssh程序.至于公私钥的名字, 用默认的id_rsa吧,道理是一样的. 接下来输入一个口令,用来保护这个私钥. 我强烈建议你输入这个口令而不是让它为空(稍后我会解释的). 现在公私钥生成好了, 私钥(identification)被保存成了id_rsa, 公钥(public key)被保存成id_rsa.pub. 注意: 一定要保护好你的私钥,他就像你家里存家底的保险柜的钥匙一样重要. 现在把doggy.pub拷贝到服务器上去, 并且将其内容追加到一个叫~/.ssh/authorized_keys的文件里去

[jianingy@nby:~]cat /home/jianingy/.ssh/doggy.pub|ssh 192.168.1.9 "

cat - >> ~/.ssh/authorized_keys"

好现在试试看ssh登录吧. 如果你想了解更多可以试试看用ssh -v登录.

[jianingy@nby:~]ssh qian.jianingy.com

现在系统提示

Enter passphrase for key '/home/jianingy/.ssh/id_rsa':

现在输入你的passphrase, 然后就能成功登录了.的确, 到现在我们还不能无密码登录, 请再耐心点. 有个特例是, 如果你使用了空的passphrase, 那么现在已经可以无密码登录了.但是我也必须提醒你这是很不安全的做法,一旦有人复制了你的passphrase, 它就真的成了机房"任我行"了.使用ssh-agent提供私钥接下来是最关键的部分. 前面我们把输入密码变成了输入passphrase, 这没有带来任何方便.但是,要知道有个家伙能帮助我们自动输入这个passphrase(只是看起来像是自动输入而已). 我们只要输入一次passphrase, 以后的工作就可以交给那家伙了. 它就是ssh-agent(据我所知他和agent smith没有太多关系). 运行ssh-agent吧

[jianingy@nby:~]eval `ssh-agent`

[jianingy@nby:~]ssh-add

这里会提示输入一次passphrase:

[jianingy@nby:~]ssh-add

Enter passphrase for /home/jianingy/.ssh/id_rsa: 

Identity added: /home/jianingy/.ssh/id_rsa (/home/jianingy/.ssh/id_rsa)

好了,现在再次登录服务器, 我们已经没有密码的烦恼了.至于为什么要用这么奇怪的方式运行ssh-agent, 你可以试着在命令行上输入一个ssh-agent回车, 看看输出什么你就会明白了.

 

复用已经存在的ssh-agent如果你看了上面直接运行ssh-agent的输出,你应该已经明白了ssh和ssh-agent是如何相互了解的. 没错, 通过环境变量ssh知道了与ssh-agent通信的unix socket在哪里.然而当我们打开一个新的终端时我们必须要重新设置这个环境变量.做为一个慵懒的系统管理员,这是不可忍受的.所以我用perl写了这个脚本, 他可以找到以前的ssh-agent.

不过由于每次登录都需要设置一次，所以最好将命令放到~/.bash_profile中。

另外，可以采用keychain来处理这一步，参考：

http://www.ibm.com/developerworks/cn/linux/security/openssh/part1/index.html

http://www.ibm.com/developerworks/cn/linux/security/openssh/part2/

为了解决这些问题，我编写了一个有用的 ssh-agent 前端，它基于 bash，叫做 keychain 。 keychain 的特别之处在于它允许 每个系统使用一个 ssh-agent 进程，而非每次登录会话。这意味着您只需对每个专用密钥执行一次 ssh-add ，就一次。正如我们稍后将要看到的一样， keychain 甚至有助于优化 ssh-add ，而这只要它试图向那些正在运行的 ssh-agent 添加其高速缓存中没有的专用密钥。

以下对 keychain 如何工作从头到尾浏览一遍。从 ~/.bash_profile 中启动时， keychain 将首先查看 ssh-agent 是否已经在运行了。如果没有，它就启动 ssh-agent 并把重要的 SSH_AUTH_SOCK 和 SSH_AGENT_PID 变量记录在 ~/.ssh-agent 文件中，一方面为了安全而保存，另一方面也是为了以后的使用。这是启动 keychain 的最佳途径；同使用平淡无奇的老式 ssh-agent 一样，我们在 ~/.bash_profile 内部执行必要的配置：

#!/bin/bash
#example ~/.bash_profile file
/usr/bin/keychain ~/.ssh/id_rsa
#redirect ~/.ssh-agent output to /dev/null to zap the annoying
#"Agent PID" message
source ~/.ssh-agent > /dev/null

正如您所看到的，对于 keychain 我们用 source 命令读入并执行 ~/.ssh-agent 文件，而不是象我们直接使用 ssh-agent 时所做的对输出进行计算。但是，结果是一样的：定义了非常重要的 SSH_AUTH_SOCK，而且正运行ssh-agent 以备使用。同时，因为 SSH_AUTH_SOCK 被记录在 ~/.ssh-agent 里，只要用 source 命令读入并执行 ~/.ssh-agent 文件，就可以轻易的把我们的 shell 脚本及 cron 作业同 ssh-agent 连接起来。 keychain 本身也利用了这个文件；您应该记住 keychain 启动时，它会查看现有的 ssh-agent 是否正在运行。如果是，则它使用 ~/.ssh-agent 文件来获得适当的 SSH_AUTH_SOCK 设置，这样就使 keychain 能使用现有的代理程序而不必新启动一个。只有在 ~/.ssh-agent 文件无效（指向一个不存在的 ssh-agent ）或 ~/.ssh-agent 文件本身不存在时， keychain 才会启动新的 ssh-agent 进程。

keychain

http://www.funtoo.org/wiki/Keychain

#ssh #linux