Chinaunix

标题: 使ssh不用输入密码 [打印本页]

作者: q1208c 时间: 2004-06-09 10:06
标题: 使ssh不用输入密码
有些时候，我们在复制/移动文件到另一台机器时会用到scp，因为它比较安全。但如果每次

都要输入密码，就比较烦了，尤其是在script里。不过，ssh有另一种用密钥对来验证的方

式。下面写出我生成密匙对的过程，供大家参考。

第一步：生成密匙对，我用的是rsa的密钥。使用命令 "ssh-keygen -t rsa"

[user1@rh user1]$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/user1/.ssh/id_rsa):
Created directory '/home/user1/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/user1/.ssh/id_rsa.
Your public key has been saved in /home/user1/.ssh/id_rsa.pub.
The key fingerprint is:
e0:f0:3b:d3:0a:3d:da:42:01:6a:61:2f:6c:a0:c6:e7 user1@rh.test.com
[user1@rh user1]$

复制代码

生成的过程中提示输入密钥对保存位置，直接回车，接受默认值就行了。接着会提示输入一

个不同于你的password的密码，直接回车，让它空着。当然，也可以输入一个。(我比较懒

，不想每次都要输入密码。) 这样，密钥对就生成完了。

其中公共密钥保存在 ~/.ssh/id_rsa.pub
私有密钥保存在 ~/.ssh/id_rsa

然后改一下 .ssh 目录的权限，使用命令 "chmod 755 ~/.ssh"

[user1@rh user1]$ chmod 755 ~/.ssh
[user1@rh user1]$

复制代码

之后把这个密钥对中的公共密钥复制到你要访问的机器上去，并保存为

~/.ssh/authorized_keys.

[user1@rh user1]$ scp ~/.ssh/id_rsa.pub rh1:/home/user1/.ssh/authorized_keys
user1@rh1's password:
id_rsa.pub 100% 228 3.2MB/s 00:00
[user1@rh user1]$

复制代码

之这样就大功告成了。之后你再用ssh scp sftp 之类的访问那台机器时，就不用输入密码

了，用在script上更是方便。

作者: platinum 时间: 2004-06-09 10:28
标题: 使ssh不用输入密码
哈哈，不错不错！鼓励一下！

作者: q1208c 时间: 2004-06-09 10:36
标题: 使ssh不用输入密码
谢谢版主。

作者: wind521 时间: 2004-06-09 12:48
标题: 使ssh不用输入密码
不错，学一招

作者: marlborolj 时间: 2004-06-09 13:30
标题: 使ssh不用输入密码
好像在sun的集群手册见过，当时试的时候有个问题
在字符界面下可以不用密码
但是在图形界面下好像不行
你试试在图形界面下可以吗？

作者: lnx 时间: 2004-06-09 13:53
标题: 使ssh不用输入密码
呵呵，8错；
我现在是用SecureCRT＋RSA＋SSH2（在我公司这些地方就不能脱离WIN），做法同你上面的有点像：）

作者: win_hate 时间: 2004-06-09 16:11
标题: 使ssh不用输入密码
这样做你的私钥是以明文的方式存放的，没有口令的保护。这样只能依赖操作系统对文件访问的限制来保护私钥，不安全。

作者: DotNet 时间: 2004-06-09 16:46
标题: 使ssh不用输入密码
好文，使用起来非常方便。

作者: q1208c 时间: 2004-06-09 18:24
标题: 使ssh不用输入密码
我在 gnome中试过，没什么问题。

楼上的兄弟说得有道理，可我们不就是为了不输入那password 才这样做的么。尤其是在script里，能够不用passwd，可总比在 script 里写一个明文的密码要强多了吧。毕竟私钥要比那密码长多了。

作者: win_hate 时间: 2004-06-09 19:53
标题: 使ssh不用输入密码
[quote]原帖由 "q1208c"]楼上的兄弟说得有道理，可我们不就是为了不输入那password 才这样做的么。[/quote 发表：

如果想省下敲口令的工夫，而且在安全性不是很重要的情况下，可以这么做。

[quote]原帖由 "q1208c"]尤其是在script里，能够不用passwd，可总比在 script 里写一个明文的密码要强多了吧。毕竟私钥要比那密码长多了。[/quote 发表：

你在 script 里写一个口令，如果别的用户能看这个 script，他就知道你的口令。如果这个用户想攻击你，还要得到你的私钥。

如果按一开始的方法，你令口令为 "空"，任何人只要得到你的私钥就能攻击你。

所以：在 script 里写口令比令口令为空要稍微好上那么一点。但从密码学的角度来看，他们一样的不安全。

作者: yjnet 时间: 2004-06-09 21:26
标题: 使ssh不用输入密码
有一种方式叫代理。可以把密码存放到内存里。这样只要输入一次密码就可以了。又安全又方便，设置方法如下：

ssh代理
它可以把私钥保存在内存中，为认证提供服务，不用重复输入密码。直到用户退出为止。代理程序是ssh-agent。可手工运行也可编辑~/.login 或~/.xsession来自动运行。
$ ssh-agent $SHELL 其中SHELL是用户登录shell的环境变量。运行该命令后，打开另外一个shell，在这个shell中可以访问代理。接着用ssh-add命令装入私钥。这样，使用ssh and scp命令就不用再提醒输入口令了。口令装入内存中。如果用户正运行x window系统，并设置了DISPLAY环境变量，而标准输入不是终端，那么ssh-add就使用一个图形化X程序ssh-askpass来读取口令。要强制ssh-add使用X来读取口令，请在命令行中输入ssh-add < /dev/null。
-l  参数显示内存中的密钥
-d  参数从代理中删除密钥 $ ssh-add -d ~/.ssh/id_xxx.pub
-D  是删除所有密钥
-t  对加载的密钥设置超时时间，超时代理将自动卸载密钥。
-L -U 对代理进行加锁和解锁，当你离开计算机而不想退出登录时有用。

在我网站上有篇《ssh权威指南》学习笔记。上面有ssh的全面介绍。网址是：
http://www.ringkee.com

作者: lltp2002 时间: 2004-06-10 08:34
标题: 使ssh不用输入密码

感谢老大给我解决了一个难题，以后还要请多多帮助哦！嘿嘿。

作者: q1208c 时间: 2004-06-10 08:34
标题: 使ssh不用输入密码
[quote]原帖由 "win_hate"]这样做你的私钥是以明文的方式存放的，没有口令的保护。这样只能依赖操作系统对文件访问的限制来保护私钥，不安全。[/quote 发表：

不管怎么放的，没有我的密码它能看到么？？

因为别的用户可是不能进到我的HOME的呀。要是他能进来，我写在script里的password还不是一样被他看到了。

其实，哪里又有绝对的安全呢？　不过是大家自己当心些罢了。

作者: zxp123 时间: 2004-06-10 17:37
标题: 使ssh不用输入密码
这里有更好的办法可以实现：
http://www-900.ibm.com/developerWorks/cn/linux/security/openssh/part1/index.shtml
http://www-900.ibm.com/developerWorks/cn/linux/security/openssh/part2/index.shtml
其中的keychain是很好的解决方案！

作者: q1208c 时间: 2004-06-10 17:54
标题: 使ssh不用输入密码
这个我知道，所以我说只是我比较懒。

作者: gaojubao 时间: 2004-06-11 10:38
标题: 使ssh不用输入密码
你怎么把IBM的备份与恢复给弄到这个上了呢？真没有想到呀，哈哈

不过你也不错，其码用心去找了，那你以后呀，一定能成为一个版主的了，

真的没有骗你了，

作者: lmhcn 时间: 2004-06-11 10:55
标题: 使ssh不用输入密码
d_items_ch.pc

作者: foreverghost 时间: 2004-06-14 22:30
标题: 使ssh不用输入密码
呵呵，又学一招！！

作者: dell_3148228 时间: 2004-06-14 22:49
标题: 使ssh不用输入密码
挺好这样的帖子一定受欢迎

作者: 初学vb 时间: 2004-06-14 23:18
标题: 使ssh不用输入密码
如果客户端在WIN下面，用的是SSH Secure Shell 3.2.9，访问linux 机器按楼主的做法该如何操作？

作者: 初学vb 时间: 2004-06-15 09:55
标题: 使ssh不用输入密码
顶一下，大家帮忙看看

作者: q1208c 时间: 2004-06-15 09:59
标题: 使ssh不用输入密码
[quote]原帖由 "初学vb"]如果客户端在WIN下面，用的是SSH Secure Shell 3.2.9，访问linux 机器按楼主的做法该如何操作？[/quote 发表：

看看这个
http://www.chinaunix.net/jh/4/325828.html

作者: dell_3148228 时间: 2004-06-15 10:32
标题: 使ssh不用输入密码
好,有价值

作者: Brevity 时间: 2004-06-15 11:04
标题: 使ssh不用输入密码
看不懂，看来还得多学习学习啊！

作者: wansion 时间: 2004-06-15 22:59
标题: 使ssh不用输入密码

原帖由 "q1208c" 发表：

看看这个
http://www.chinaunix.net/jh/4/325828.html

错了吧

作者: q1208c 时间: 2004-06-16 10:07
标题: 使ssh不用输入密码
只是个提示，做法大同小异吧。

作者: stanlee 时间: 2005-11-30 15:22
但是如果A机上的user1要访问B机上的user2用户，好像就不可以喔，有没有办法解决

作者: q1208c 时间: 2005-12-01 00:28

原帖由 stanlee 于 2005-11-30 15:22 发表
但是如果A机上的user1要访问B机上的user2用户，好像就不可以喔，有没有办法解决

不同用户?

这个好象是要做一个什么代理什么的.

我没试过. 因为一般都是用相同用户的. 当然, 更一般的是用 NIS 来做统一管理.

作者: mageguoshi 时间: 2005-12-01 11:57
请问“q1208c ”我按照你的做法还是要输入密码，对于/etc/ssh/sshd_conf这个配置文件，默认配置就可以么？

作者: q1208c 时间: 2005-12-01 17:28

原帖由 mageguoshi 于 2005-12-1 11:57 发表
请问“q1208c ”我按照你的做法还是要输入密码，对于/etc/ssh/sshd_conf这个配置文件，默认配置就可以么？

我说过的地方, 就是我改过的,我没说的, 我也没动过.

你最好确认一下你的用户名是不是相同,不同用户名是要输入密码的.

作者: zzpy20 时间: 2005-12-02 21:50
提示: 作者被禁止或删除内容自动屏蔽

作者: ashchen 时间: 2005-12-03 00:20
securecrt制作的公用密钥可以加上本地密码，再关掉服务器的password验证，那样安全性多了

作者: q1208c 时间: 2005-12-03 20:34

原帖由 ashchen 于 2005-12-3 00:20 发表
securecrt制作的公用密钥可以加上本地密码，再关掉服务器的password验证，那样安全性多了

那样也一样不安全.

最安全的办法就是用串口连上去. 别的全关掉. :em11::em11::em11:
要是远程的, 就是 Modem , 然后拨号进去.

作者: ashchen 时间: 2005-12-04 11:15
Modem拨号就安全啦？？不是一个道理嘛？别人知道号码的话...
没有绝对的安全，用公用密钥2048位加密，攻破的可能性很小，比较担心的是对22端口的dos攻击

作者: q1208c 时间: 2005-12-04 15:53

原帖由 ashchen 于 2005-12-4 11:15 发表
Modem拨号就安全啦？？不是一个道理嘛？别人知道号码的话...
没有绝对的安全，用公用密钥2048位加密，攻破的可能性很小，比较担心的是对22端口的dos攻击

谁让你没事接着电话线的. 不用的时候就拔下来. 需要的时候再插上呀. 我以前在的公司的路由器就是这样管理的. 如果有了问题了,远程又没有管理员, 就找当地的人把电话线接上去, 然后就可以远程管理了. 弄好了之后,再把电话线拔下来.

作者: wwashington 时间: 2005-12-04 23:26
建议大家看看这个，SecPanel 里早就把这些功能实现了，我用了好几年了。
http://www.pingx.net/secpanel/
SecPanel - SSH-GUI for XWindow

作者: wgmaster 时间: 2005-12-05 09:59
应该是authorized_keys2 , 2决定是是用ssh的版本号,楼主的有点小问题吧.
为了是ssh更安全些,应该启用key认证以后,关闭ssh的密码认证功能。

作者: 临风轩主 时间: 2005-12-05 12:03
多　楼主

作者: q1208c 时间: 2005-12-05 17:13

原帖由 wgmaster 于 2005-12-5 09:59 发表
应该是authorized_keys2 , 2决定是是用ssh的版本号,楼主的有点小问题吧.
为了是ssh更安全些,应该启用key认证以后,关闭ssh的密码认证功能。

因为不只一个管理员,也不只一台机器是管理用的.所以,我也只是个做法. 并不表示我做得很安全. 为了安全,根本就不该开什么22这样用的端口,而是应该用console 来管理. 远程用 modem. 就如我上面说的.

作者: dlgy 时间: 2005-12-06 18:24
up

作者: yunpengtang 时间: 2005-12-07 09:31
不错，好文。

我顶

作者: ashchen 时间: 2005-12-07 10:47
authorized_keys2 还是authorized_keys 在配置文件里有定义，可以改成自己任意喜欢的文件名

作者: gnap 时间: 2005-12-07 11:58
我每次启动都要自动用ssh到两台远程机器运行xload到我自己的机器上显示到fvwmbutton上面。所以即使一次密码也不好输入的。觉得文件权限对我自己来说还是相对安全的。我的机器几乎就没有人碰的。如果自己机器本身就不安全，那么被攻破之后什么也无法保证安全了。

作者: zhangr 时间: 2005-12-07 12:13
what is a highly secured computer ?
a computer without network cable connected
and without power cable connected
and locked in a secured room which no one has the key for the room.

作者: 佛光普照 时间: 2005-12-27 14:47
呵呵，这样你来我往，知识面扩大了好多了。THKS.

作者: linux68 时间: 2006-01-06 16:42
不错,谢谢楼主!
我有个问题,这个是不是只能一对一呢?不能实现多对一?

作者: zdm 时间: 2006-01-06 17:35
大家好，我在系统管理、系统维护中常常写一些shell脚本程序，用来将远程的日志文件传送到本地服务器，或者其他一些文件传输操作，我通常的做法是使用PSCP这个软件，很好用的，大家可以搜搜putty，就可以找到pscp，看到大家讨论的这么火热我也不禁心里痒痒，凑上来热闹一下！呵呵！

作者: tianly 时间: 2006-09-22 13:20
标题: 求救：生成密钥后使用SSH还是要密码！
先前我在UNIX上用SSH远程执行LINUX的命令是可以不输入秘密的。可是几天前，不知道为什么LINUX上的用户给删掉了，等到我在/etc/passwd上手工建立账号，并重新生成密钥时，这就不灵了。我的做法是：
1. 在LINUX上用用户databldr执行ssh-keygen -b 1024 -t rsa在/home/datateam (databldr的HOME目录）/.ssh生成了id_rsa.pub和id_rsa
2. 在UNIX上用用户databldr执行FTP，把LINUX上/home/datateam/.ssh/id_rsa.pub传到/home/databldr/.ssh并rename成authroized_keys
3. 在两边，把$HOME/.ssh目录权限设成755，把里面的文件权限都设成600
但当我在UNIX上用用户databldr输入命令：
ssh -i /home/databldr/.ssh/authorized_keys databldr@sbardzbc "ls"
它还是要我输入秘密。

请教各位高手，是不是我的step有什么不对，还是本身在UNIX和LINUX上还得做些什么设置，该怎么做？
我的OS：LINUX(REDHAT9)，UNIX(SOLARIS 5.6)

作者: real_lufeng 时间: 2006-09-29 10:32
好文，收藏

作者: zjia2 时间: 2006-11-08 17:24
老兄和我犯了一样的错误
如果你想从A机器考东西到B机器，那你应该在A机器上制作keypair，并将公钥考到B机器去

原帖由 tianly 于 2006-9-22 13:20 发表
先前我在UNIX上用SSH远程执行LINUX的命令是可以不输入秘密的。可是几天前，不知道为什么LINUX上的用户给删掉了，等到我在/etc/passwd上手工建立账号，并重新生成密钥时，这就不灵了。我的做法是：
1. 在LINUX上用 ...

作者: notnumb 时间: 2007-12-05 11:50
提示: 作者被禁止或删除内容自动屏蔽

作者: bighead0088 时间: 2008-03-03 11:40
职业的路过一下！！！！！！！！！！！！！！1

作者: mfkwwgi 时间: 2011-06-14 10:49
被挖出来了

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)