有些时候,我们在复制/移动文件到另一台机器时会用到scp,因为它比较安全。但如果每次
都要输入密码,就比较烦了,尤其是在script里。不过,ssh有另一种用密钥对来验证的方
式。下面写出我生成密匙对的过程,供大家参考。
第一步:生成密匙对,我用的是rsa的密钥。使用命令 "ssh-keygen -t rsa"
[user1@rh user1]$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/user1/.ssh/id_rsa):
Created directory '/home/user1/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/user1/.ssh/id_rsa.
Your public key has been saved in /home/user1/.ssh/id_rsa.pub.
The key fingerprint is:
e0:f0:3b:d3:0a:3d:da:42:01:6a:61:2f:6c:a0:c6:e7 user1@rh.test.com
[user1@rh user1]$
生成的过程中提示输入密钥对保存位置,直接回车,接受默认值就行了。接着会提示输入一
个不同于你的password的密码,直接回车,让它空着。当然,也可以输入一个。(我比较懒
,不想每次都要输入密码。) 这样,密钥对就生成完了。
其中公共密钥保存在 ~/.ssh/id_rsa.pub
私有密钥保存在 ~/.ssh/id_rsa
然后改一下 .ssh 目录的权限,使用命令 "chmod 755 ~/.ssh"
[user1@rh user1]$ chmod 755 ~/.ssh
[user1@rh user1]$
之后把这个密钥对中的公共密钥复制到你要访问的机器上去,并保存为
~/.ssh/authorized_keys.
[user1@rh user1]$ scp ~/.ssh/id_rsa.pub rh1:/home/user1/.ssh/authorized_keys
user1@rh1's password:
id_rsa.pub 100% 228 3.2MB/s 00:00
[user1@rh user1]$
之这样就大功告成了。之后你再用ssh scp sftp 之类的访问那台机器时,就不用输入密码
了,用在script上更是方便。
platinum 回复于:2004-06-09 10:28:57
哈哈,不错不错!鼓励一下!
q1208c 回复于:2004-06-09 10:36:09
谢谢版主。
wind521 回复于:2004-06-09 12:48:57
不错,学一招
marlborolj 回复于:2004-06-09 13:30:10
好像在sun的集群手册见过,当时试的时候有个问题
在字符界面下可以不用密码
但是在图形界面下好像不行
你试试在图形界面下可以吗?
lnx 回复于:2004-06-09 13:53:59
呵呵,8错;
我现在是用SecureCRT+RSA+SSH2(在我公司这些地方就不能脱离WIN),做法同你上面的有点像:)
win_hate 回复于:2004-06-09 16:11:11
这样做你的私钥是以明文的方式存放的,没有口令的保护。这样只能依赖操作系统对文件访问的限制来保护私钥,不安全。
DotNet 回复于:2004-06-09 16:46:49
好文,使用起来非常方便。
q1208c 回复于:2004-06-09 18:24:45
我在 gnome中试过,没什么问题。
楼上的兄弟说得有道理,可我们不就是为了不输入那password 才这样做的么。尤其是在script里,能够不用passwd,可总比在 script 里写一个明文的密码要强多了吧。毕竟私钥要比那密码长多了。
win_hate 回复于:2004-06-09 19:53:53
引用:原帖由 "q1208c"]楼上的兄弟说得有道理,可我们不就是为了不输入那password 才这样做的么。
发表:
如果想省下敲口令的工夫,而且在安全性不是很重要的情况下,可以这么做。
引用:原帖由 "q1208c"]尤其是在script里,能够不用passwd,可总比在 script 里写一个明文的密码要强多了吧。毕竟私钥要比那密码长多了。
发表:
你在 script 里写一个口令,如果别的用户能看这个 script,他就知道你的口令。如果这个用户想攻击你,还要得到你的私钥。
如果按一开始的方法,你令口令为 "空",任何人只要得到你的私钥就能攻击你。
所以:在 script 里写口令比令口令为空要稍微好上那么一点。但从密码学的角度来看,他们一样的不安全。
yjnet 回复于:2004-06-09 21:26:22
有一种方式叫代理。可以把密码存放到内存里。这样只要输入一次密码就可以了。又安全又方便,设置方法如下:
ssh代理
它可以把私钥保存在内存中,为认证提供服务,不用重复输入密码。直到用户退出为止。代理程序是ssh-agent。可手工运行也可编辑~/.login 或~/.xsession来自动运行。
$ ssh-agent $SHELL 其中SHELL是用户登录shell的环境变量。运行该命令后,打开另外一个shell,在这个shell中可以访问代理。接着用ssh-add命令装入私钥。这样,使用ssh and scp命令就不用再提醒输入口令了。口令装入内存中。如果用户正运行x window系统,并设置了DISPLAY环境变量,而标准输入不是终端,那么ssh-add就使用一个图形化X程序ssh-askpass来读取口令。要强制ssh-add使用X来读取口令,请在命令行中输入ssh-add < /dev/null。
-l 参数显示内存中的密钥
-d 参数从代理中删除密钥 $ ssh-add -d ~/.ssh/id_xxx.pub
-D 是删除所有密钥
-t 对加载的密钥设置超时时间,超时代理将自动卸载密钥。
-L -U 对代理进行加锁和解锁,当你离开计算机而不想退出登录时有用。
在我网站上有篇《ssh权威指南》学习笔记。上面有ssh的全面介绍。网址是:
http://www.ringkee.com
lltp2002 回复于:2004-06-10 08:34:50
:em02: 感谢老大给我解决了一个难题,以后还要请多多帮助哦!嘿嘿。
q1208c 回复于:2004-06-10 08:34:52
引用:原帖由 "win_hate"]这样做你的私钥是以明文的方式存放的,没有口令的保护。这样只能依赖操作系统对文件访问的限制来保护私钥,不安全。
发表:
不管怎么放的,没有我的密码它能看到么??
因为别的用户可是不能进到我的HOME的呀。要是他能进来,我写在script里的password还不是一样被他看到了。 :em03:
其实,哪里又有绝对的安全呢? 不过是大家自己当心些罢了。 :em03:
zxp123 回复于:2004-06-10 17:37:07
这里有更好的办法可以实现:
http://www-900.ibm.com/developerWorks/cn/linux/security/openssh/part1/index.shtml
http://www-900.ibm.com/developerWorks/cn/linux/security/openssh/part2/index.shtml
其中的keychain是很好的解决方案!
q1208c 回复于:2004-06-10 17:54:49
这个我知道,所以我说只是我比较懒。
gaojubao 回复于:2004-06-11 10:38:43
你怎么把IBM的备份与恢复给弄到这个上了呢?真没有想到呀,哈哈
不过你也不错,其码用心去找了,那你以后呀,一定能成为一个版主的了,
真的没有骗你了,
lmhcn 回复于:2004-06-11 10:55:52
d_items_ch.pc
foreverghost 回复于:2004-06-14 22:30:11
呵呵,又学一招!!
dell_3148228 回复于:2004-06-14 22:49:37
挺好这样的帖子一定受欢迎
初学vb 回复于:2004-06-14 23:18:15
如果客户端在WIN下面,用的是SSH Secure Shell 3.2.9,访问linux 机器按楼主的做法该如何操作?
初学vb 回复于:2004-06-15 09:55:42
顶一下,大家帮忙看看
q1208c 回复于:2004-06-15 09:59:21
引用:原帖由 "初学vb"]如果客户端在WIN下面,用的是SSH Secure Shell 3.2.9,访问linux 机器按楼主的做法该如何操作?
发表:
看看这个
http://www.chinaunix.net/jh/4/325828.html
dell_3148228 回复于:2004-06-15 10:32:24
好,有价值
Brevity 回复于:2004-06-15 11:04:36
看不懂,看来还得多学习学习啊!
wansion 回复于:2004-06-15 22:59:42
引用:原帖由 "q1208c" 发表:
看看这个
http://www.chinaunix.net/jh/4/325828.html
错了吧
q1208c 回复于:2004-06-16 10:07:18
只是个提示,做法大同小异吧。
stanlee 回复于:2005-11-30 15:22:49
但是如果A机上的user1要访问B机上的user2用户,好像就不可以喔,有没有办法解决
q1208c 回复于:2005-12-01 00:28:06
引用:原帖由 stanlee 于 2005-11-30 15:22 发表
但是如果A机上的user1要访问B机上的user2用户,好像就不可以喔,有没有办法解决
:em14::em14::em14::em14:
不同用户?
这个好象是要做一个什么代理什么的.
我没试过. 因为一般都是用相同用户的. 当然, 更一般的是用 NIS 来做统一管理.
mageguoshi 回复于:2005-12-01 11:57:39
请问“q1208c ”我按照你的做法还是要输入密码,对于/etc/ssh/sshd_conf这个配置文件,默认配置就可以么?
q1208c 回复于:2005-12-01 17:28:20
引用:原帖由 mageguoshi 于 2005-12-1 11:57 发表
请问“q1208c ”我按照你的做法还是要输入密码,对于/etc/ssh/sshd_conf这个配置文件,默认配置就可以么?
我说过的地方, 就是我改过的,我没说的, 我也没动过.
你最好确认一下你的用户名是不是相同,不同用户名是要输入密码的.
zzpy20 回复于:2005-12-02 21:50:28
不好意思,这个好像是很基本的ssh技术.
以前做过.
ashchen 回复于:2005-12-03 00:20:21
securecrt制作的公用密钥可以加上本地密码,再关掉服务器的password验证,那样安全性多了
q1208c 回复于:2005-12-03 20:34:03
引用:原帖由 ashchen 于 2005-12-3 00:20 发表
securecrt制作的公用密钥可以加上本地密码,再关掉服务器的password验证,那样安全性多了
那样也一样不安全.
最安全的办法就是用串口连上去. 别的全关掉. :em11::em11::em11:
要是远程的, 就是 Modem , 然后拨号进去.
ashchen 回复于:2005-12-04 11:15:49
Modem拨号就安全啦??不是一个道理嘛?别人知道号码的话...
没有绝对的安全,用公用密钥2048位加密,攻破的可能性很小,比较担心的是对22端口的dos攻击
q1208c 回复于:2005-12-04 15:53:14
引用:原帖由 ashchen 于 2005-12-4 11:15 发表
Modem拨号就安全啦??不是一个道理嘛?别人知道号码的话...
没有绝对的安全,用公用密钥2048位加密,攻破的可能性很小,比较担心的是对22端口的dos攻击
谁让你没事接着电话线的. 不用的时候就拔下来. 需要的时候再插上呀. 我以前在的公司的路由器就是这样管理的. 如果有了问题了,远程又没有管理员, 就找当地的人把电话线接上去, 然后就可以远程管理了. 弄好了之后,再把电话线拔下来.
wwashington 回复于:2005-12-04 23:26:37
建议大家看看这个,SecPanel 里早就把这些功能实现了,我用了好几年了。
http://www.pingx.net/secpanel/
SecPanel - SSH-GUI for XWindow
wgmaster 回复于:2005-12-05 09:59:27
应该是authorized_keys2 , 2决定是是用ssh的版本号,楼主的有点小问题吧.
为了是ssh更安全些,应该启用key认证以后,关闭ssh的密码认证功能。
临风轩主 回复于:2005-12-05 12:03:35
多 楼主
q1208c 回复于:2005-12-05 17:13:43
引用:原帖由 wgmaster 于 2005-12-5 09:59 发表
应该是authorized_keys2 , 2决定是是用ssh的版本号,楼主的有点小问题吧.
为了是ssh更安全些,应该启用key认证以后,关闭ssh的密码认证功能。
因为不只一个管理员,也不只一台机器是管理用的.所以,我也只是个做法. 并不表示我做得很安全. 为了安全,根本就不该开什么22这样用的端口,而是应该用console 来管理. 远程用 modem. 就如我上面说的.
dlgy 回复于:2005-12-06 18:24:28
up
yunpengtang 回复于:2005-12-07 09:31:29
不错,好文。
我顶
ashchen 回复于:2005-12-07 10:47:46
authorized_keys2 还是authorized_keys 在配置文件里有定义,可以改成自己任意喜欢的文件名
gnap 回复于:2005-12-07 11:58:38
我每次启动都要自动用ssh到两台远程机器运行xload到我自己的机器上显示到fvwmbutton上面。所以即使一次密码也不好输入的。觉得文件权限对我自己来说还是相对安全的。我的机器几乎就没有人碰的。如果自己机器本身就不安全,那么被攻破之后什么也无法保证安全了。
zhangr 回复于:2005-12-07 12:13:08
what is a highly secured computer ?
a computer without network cable connected
and without power cable connected
and locked in a secured room which no one has the key for the room.
8-)
佛光普照 回复于:2005-12-27 14:47:45
呵呵,这样你来我往,知识面扩大了好多了。THKS.
linux68 回复于:2006-01-06 16:42:40
不错,谢谢楼主!
我有个问题,这个是不是只能一对一呢?不能实现多对一?
zdm 回复于:2006-01-06 17:35:18
大家好,我在系统管理、系统维护中常常写一些shell脚本程序,用来将远程的日志文件传送到本地服务器,或者其他一些文件传输操作,我通常的做法是使用PSCP这个软件,很好用的,大家可以搜搜putty,就可以找到pscp,看到大家讨论的这么火热我也不禁心里痒痒,凑上来热闹一下!呵呵!
tianly 回复于:2006-09-22 13:20:04
先前我在UNIX上用SSH远程执行LINUX的命令是可以不输入秘密的。可是几天前,不知道为什么LINUX上的用户给删掉了,等到我在/etc/passwd上手工建立账号,并重新生成密钥时,这就不灵了。我的做法是:
1. 在LINUX上用用户databldr执行ssh-keygen -b 1024 -t rsa在/home/datateam (databldr的HOME目录)/.ssh生成了id_rsa.pub和id_rsa
2. 在UNIX上用用户databldr执行FTP,把LINUX上/home/datateam/.ssh/id_rsa.pub传到/home/databldr/.ssh并rename成authroized_keys
3. 在两边,把$HOME/.ssh目录权限设成755,把里面的文件权限都设成600
但当我在UNIX上用用户databldr输入命令:
ssh -i /home/databldr/.ssh/authorized_keys databldr@sbardzbc "ls"
它还是要我输入秘密。
请教各位高手,是不是我的step有什么不对,还是本身在UNIX和LINUX上还得做些什么设置,该怎么做?
我的OS:LINUX(REDHAT9),UNIX(SOLARIS 5.6)
real_lufeng 回复于:2006-09-29 10:32:08
好文,收藏
zjia2 回复于:2006-11-08 17:24:56
老兄和我犯了一样的错误
如果你想从A机器考东西到B机器,那你应该在A机器上制作keypair,并将公钥考到B机器去
引用:原帖由 tianly 于 2006-9-22 13:20 发表
先前我在UNIX上用SSH远程执行LINUX的命令是可以不输入秘密的。可是几天前,不知道为什么LINUX上的用户给删掉了,等到我在/etc/passwd上手工建立账号,并重新生成密钥时,这就不灵了。我的做法是:
1. 在LINUX上用 ...
notnumb 回复于:2007-12-05 11:50:41
真是一篇顶五篇 一口气就搞定了 不费劲。
bighead0088 回复于:2008-03-03 11:40:36
职业的路过一下!!!!!!!!!!!!!!1
|
