如何實現(xiàn)基于ssh密鑰對的自動登錄

wildhorse

下面從整體上粗略的介紹了 RSA/DSA 密鑰的工作原理。讓我們從一種假想的情形開始，假定我們想用 RSA 認證允許一臺本地的計算機（稱作 localbox）打開 remotebox上的一個遠程 shell， remotebox 是我們的 ISP 的一臺機器。此刻，當我們試圖用 ssh 客戶程序連接到 remotebox時，我們會得到如下提示：
%
ssh drobbins@remotebox
drobbins@remotebox's password:
此處我們看到的是 ssh 處理認證的缺省方式的一個示例。換句話說，它要求我們輸入 remotebox上的 drobbins 這個帳戶的密碼。如果我們輸入我們在 remotebox 上的密碼， ssh 就會用安全密碼認證協(xié)議，把我們的密碼傳送給 remotebox 進行驗證。但是，和 telnet 的情況不同，這里我們的密碼是加密的，因此它不會被偷看到我們的數(shù)據(jù)連接的人截取。一旦 remotebox 把我們提供的密碼同它的密碼數(shù)據(jù)庫相對照進行認證，成功的話，我們就會被允許登錄，還會有一個 remotebox 的 shell 提示歡迎我們。雖然 ssh 缺省的認證方法相當安全，RSA 和 DSA 認證卻為我們開創(chuàng)了一些新的潛在的機會。
但是，與 ssh 安全密碼認證不同的是，RSA 認證需要一些初始配置。我們只需要執(zhí)行這些初始配置步驟一次。之后， localbox 和 remotebox 之間的 RSA 認證就毫不費力了。要設置 RSA 認證，我們首先得生成一對密鑰，一把專用密鑰和一把公用密鑰。這兩把密鑰有一些非常有趣的性質(zhì)。公用密鑰用于對消息進行加密，只有擁有專用密鑰的人才能對該消息進行解密。公用密鑰只能用于 加密，而專用密鑰只能用于對由匹配的公用密鑰編碼的消息進行 解密。RSA（和 DSA）認證協(xié)議利用密鑰對的這些特殊性質(zhì)進行安全認證，并且不需要在網(wǎng)上傳輸任何保密的信息。
要應用 RSA 或者 DSA 認證，我們要執(zhí)行一步一次性的配置步驟。我們把 公用密鑰拷貝到 remotebox。公用密鑰之所以被稱作是“公用的”有一個原因。因為它只能用于對那些給我們的消息進行 加密，所以我們不需要太擔心它會落入其它人手中。一旦我們的公用密鑰已經(jīng)被拷貝到 remotebox并且為了 remotebox 的 sshd 能夠定位它而把它放在一個專門的文件（~/.ssh/authorized_keys）里，我們就為使用 RSA 認證登錄到 remotebox上做好了準備。
要用 RSA 登錄的時候，我們只要在 localbox 的控制臺鍵入 ssh drobbins@remotebox ，就象我們常做的一樣�？蛇@一次， ssh 告訴 remotebox 的 sshd 它想使用 RSA 認證協(xié)議。接下來發(fā)生的事情非常有趣。 Remotebox 的 sshd 會生成一個隨機數(shù)，并用我們先前拷貝過去的公用密鑰對這個隨機數(shù)進行加密。然后， sshd 把加密了的隨機數(shù)發(fā)回給正在 localbox 上運行的 ssh 。接下來，輪到我們的 ssh 用 專用密鑰對這個隨機數(shù)進行解密后，再把它發(fā)回給 remotebox，實際上等于在說：“瞧，我 確實有匹配的專用密鑰；我能成功的對您的消息進行解密！”最后， sshd 得出結論，既然我們持有匹配的專用密鑰，就應當允許我們登錄。因此，我們有匹配的專用密鑰這一事實授權我們訪問 remotebox。
配置localbox（ssh客戶機）
請用您的用戶賬戶在localbox上登錄，并運行命令ssh-keygen -t rsa:
$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/myid/.ssh/id_rsa):
Created directory '/home/myid/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/myid/.ssh/id_rsa.
Your public key has been saved in /home/myid/.ssh/id_rsa.pub.
The key fingerprint is:
f1:e8:ae:a7:b3:f6:64:3f:30:34:1f:c5:07:ce:0f:bc myid@localbox
為了實現(xiàn)自動登錄， passphrase為空。
注意：由于passphrase為空，生成的私鑰必須絕對禁止未授權的訪問！
將生成的id_rsa.pub文件復制到remotebox的/home/drobbins/.ssh/目錄下。
配置remotebox（ssh服務器）
請以drobbins賬戶登錄。運行以下命令：
cd .ssh
umask 077
cat id_rsa.pub > authorized_keys
測試ssh自動登錄
請用您的用戶賬戶在localbox上登錄，并運行命令ssh drobbins@remotebox。您應該能夠在不輸入drobbins@remotebox口令的情況下登錄到remotebox。


本文來自ChinaUnix博客，如果查看原文請點：http://blog.chinaunix.net/u/535/showart_30691.html