ssh现在是连接我家里电脑和公司电脑的桥梁了,经常在偷懒的时候ssh上去干活,这样我就不用大老远跑到公司去了,另外我的邮件——mutt和feeds——liferea以及一些其他东东也都使用unison来和公司的电脑进行同步,这样一天到晚ssh,密码又长,甚烦,还担心电影里的黑客拿胶布往键盘上一粘就知道磨得最亮的那几个键就是我的密码,所以下决心搞定公钥/私钥的方式自动登录,免去密码输入之苦。
第一步,生成钥匙对
$ ssh-keygen -d
Generating public/private dsa key pair.
Enter file in which to save the key (/home/fwolf/.ssh/id_dsa): .ssh/fwolf_dsa
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
open .ssh/fwolf_dsa failed: No such file or directory.
Saving the key failed: .ssh/fwolf_dsa.
这里我使用的是dsa格式的密钥,也可以使用-t rsa参数指定rsa格式,我实在不知道他们有啥差别;不带参数大概是针对ssh1的密钥格式,现在应该很少人用ssh1了。提示输入passphrase(其实相当于私钥的密码)的时候,回车表示不设密码,在这里我设置了非空的密码。
第二步,把公钥上传到服务器上去
$ ssh-copy-id -i ~/.ssh/fwolf_dsa.pub fwolf.com
30
fwolf@fwolf.com's password:
Now try logging into the machine, with "ssh 'fwolf.com'", and check in:
.ssh/authorized_keys
to make sure we haven't added extra keys that you weren't expecting.
一个命令搞定,当然此时我们仍然需要服务器ssh的密码,才能把pub key传上去,ssh-copy-id命令会直接把key添加到.ssh/authorized_keys文件中,这和下面的做法效果是一样的:
$ scp ~/.ssh/fwolf_dsa.pub fwolf@fwolf.com
...
$ ssh fwolf@fwolf.com
...
$ cat fwolf_dsa.pub >> ~/ssh/authorized_keys
第三步,我们来享受一下自动登录的乐趣吧
$ ssh fwolf.com
。。。疑,怎么还需要输入密码呢?如果你遇到和我一样的问题,并且pub key上传也没有问题的话,说明是ssh客户端配置没有搞定,注意第一步中我更改了key文件的默认名称不是么?所以把/etc/ssh/ssh_config文件拷贝一份存为~/.ssh/config,然后编辑之,更改其中IdentityFile ~/.ssh/id_dsa
这一行,去掉注释,添上你实际的dsa私钥文件名就可以了,然后再次ssh:
$ ssh fwolf.com
Enter passphrase for key '/home/fwolf/.ssh/fwolf_dsa':
......(登录成功)
第四步,去掉那该死的passphrase
在上面的第三步中,ssh虽然无须再输入用户密码,但仍然要输入私钥的passphrase,这和输入ssh密码一样麻烦,幸好托ibm的福,大牛Daniel Robbins为我们介绍了使用ssh-agent和keychain免去输入密码之烦的方法,不过应该不适用于我们这样经常需要开关机的情况,所以,只好回到第一步,生成一对没有passphrase的密钥来用,虽然安全性下降了些,倒是非常方便。
安全建议
- 如果条件允许,使用带有passphrase的密钥,配合ssh-agent和keychain使用。
- 如果需要从不同的计算机登录服务器,最好使用不一样的密钥对。
- 记得定期更换密钥对,切记。
参考
- [AdvancedOpenSSH](http://wiki.ubuntu.org.cn/AdvancedOpenSSH?highlight=%28ssh%29#head-2b76cfb80e6921526b5c1a554c99b819a5edd545)
- [通用线程: OpenSSH 密钥管理,第 1 部分 – 理解 RSA/DSA 认证](http://www.ibm.com/developerworks/cn/linux/security/openssh/part1/index.html)
- [通用线程: OpenSSH 密钥管理,第 2 部分 – 介绍 ssh-agent 和 keychain](http://www.ibm.com/developerworks/cn/linux/security/openssh/part2/index.html)
- [RSA/DSA authentication on SSH](http://weblog.kreny.com/archives/2005/10/rsadsa_authenti.html)
对SSH一直是一头雾水, 虽然看的迷迷糊糊, 不过相信这篇文章我以后会用到. 收藏了~ 以后有相关问题还要来请教大侠呢~ 🙂
原来还可以不用输入密码的啊~确实很方便,马上去试试看
不错,恰好能用,试试看,不懂再来!
刚刚看到你的ssh链接重用的文章 似乎用链接重用来实现免登录更好更通用吧
@Sparkle 重用可免登录是两回事, 免登录其实是证书登录,可以让ssh连接重用的第一次连接更方便。 其实,证书登录/自动登录的另外一个好处是安全性更高。