轉載自 這裡
前言 :
關於 SSH 免密碼登入,我的第一篇學習文章是參考 Tsung 的 ssh keygen 免輸入密碼. 他的文章很淺顯易懂,我依樣畫葫蘆就成功了. 但問題是公司的限制是必需要有 passphrase、Tsung 的文章並沒有解釋此部份、造成我不打密碼但還是得打 passphrase. 我決定花一些時間把這個原理徹底弄懂,並寫成一篇文章跟大家分享.
基本流程說明 :
1. 私密與公開金鑰
以 SSH 登入任何主機都必需要打帳號、密碼,除了不方便、另外還增加了被竊取的風險(有些軟體如 winscp 是可儲存的)。
解決的方式就是使用金鑰產生器來產生一筆公開金鑰(Public Key)與私密金鑰(Private Key)對應做免密碼的登入. 使用者只需將公開金鑰的內容附加系統上特定的檔案中,以及在自己的環境指定好私密金鑰,系統在登入流程中即會自動對應,正確無誤即可登入. 讓整個登入流程快速且安全
2. 金鑰種類
但是對應並沒有想像中這麼簡單,就像是木門上只能裝喇吧鎖而無法裝大鎖,不同的主機所能使用的金鑰機制也有所不同 : SSH 有 Protocol 1 及 Protocol 2 兩種,常見金鑰編碼機制則有 RSA1、RSA2、以及 DSA 等三種.
3. 保護金鑰的措施
另外一個問題, 如果有人拿到了你的私密金鑰,就相當於他可以在你的主機為所欲為. 保護的措施就是使用 Passphrase(也可以不設)、私密金鑰的密碼,每次要用時就得輸入.
4. Agent 機制
有 Passphrase 保護當然是安全多了,但原本想用金鑰的好處就是可以省去每次打密碼的步驟,現在若每次又得打 Passphrase,這樣的好處就沒有了,可能還得多記一套密碼、增加打錯的可能性. 還好有 Agent 機制,他相當是你的管家、我們只要把鑰匙及 Passphrase 請他保管,在登入主機時他就會幫你解決輸入 Passphrase 的問題.
一步一步教到會 :
以下就只針對 Mac OSX 及 *nix 系統做介紹(若你是使用 Windows 中的 PuTTY,請先做完步驟一與二,再看這裡):
步驟 1. 產生金鑰
在 Command Line 中你可以使用 ssh-keygen 來產生各種類的金鑰,而我也會鼓勵大家一次把三種金鑰產生好,省得碰到不同系統麻煩.
a. 產生 RSA 1 金鑰
這種金鑰是給比較舊的系統,例如 FreeBSD 4 及以前的版本、是走 SSH Protocol 1 的,最好就使用 RSA 1 這種金鑰 :
b. 產生 RSA 2 金鑰
比較新的系統,如 FreeBSD 5 及之後版本或 Linux,用 RSA 2 或 DSA 這兩種金鑰 :
c. 產生 DSA 金鑰
經過這樣的程序,我們總共會有公私鑰共三對:RSA1 ( identity.pub / identity )、RSA2 ( id_rsa.pub / id_rsa )、及 ( id_dsa.pub / id_rsa )。
我過去有一個錯誤的觀念,以為金鑰是對應系統的,所以在對每一台主機得另外產生一次. 事實上如果沒有特殊需求,你可以只用一份、用任一系統產生、並把這一份給保存好即可.
步驟 2. 將公開金鑰放到主機
你現在在自己的機器上已經有了三對金鑰,接下來我們要把公開的三隻 (*.pub) 放到我們要登入的主機上.
接著登入該系統,在沒設定好之前當然還是得乖乖打密碼 :
系統預設處理放置公鑰的檔案叫做 authorized_keys,所以我們要把剛剛所傳的公鑰附加到這個檔案中 :
如果沒有意外,你登出再登入主機,當你有使用Passphrase時, 就會看到它請你輸入 Passphrase 的訊息.
步驟 3. 設定 ssh-agent <給有設定Passphrase使用者>
前面所提到,每次都要打 Passphrase 就太麻煩了,所以這裡要設定管家 ssh-agent、以保管私鑰及 Passphrase. 在你每次啟動 shell 後,請照這樣的方式來做 :
a. 啟動 ssh-agent
b. 將私密金鑰交給 ssh-agent 保管:ssh-add
我們將要用 ssh-add 來指定金鑰,如果你都照上面放預設的位置及相同的檔名,那就不用有任何的參數.
接著會要求你設定輸入 passphrase,如果三個都一樣,就只要打一次 :
接著再試看看登入已經放好公鑰的主機,應該就可以不用密碼登入了 :
公私鑰所需放的機器 :
我的歸納是,在本機上你必需一直保有這兩份以便後續的再製。而公鑰整理成 authorized_keys,以後有新機器需要登入時一律傳此檔案上去做附加。
而除了本機外,那些機器需要放私鑰呢?我的情況是最常用的那台開發機,因為你可能會利用他去 SSH 其它台機器。不然的話,應該減少私鑰的存放地點,以求安全.
補充說明 :
* PuTTY 免密碼登入
* 鳥哥Linux 私房菜 : 遠端連線伺服器 Telnet / SSH / VNC / XDMCP / RSH
前言 :
關於 SSH 免密碼登入,我的第一篇學習文章是參考 Tsung 的 ssh keygen 免輸入密碼. 他的文章很淺顯易懂,我依樣畫葫蘆就成功了. 但問題是公司的限制是必需要有 passphrase、Tsung 的文章並沒有解釋此部份、造成我不打密碼但還是得打 passphrase. 我決定花一些時間把這個原理徹底弄懂,並寫成一篇文章跟大家分享.
基本流程說明 :
1. 私密與公開金鑰
以 SSH 登入任何主機都必需要打帳號、密碼,除了不方便、另外還增加了被竊取的風險(有些軟體如 winscp 是可儲存的)。
解決的方式就是使用金鑰產生器來產生一筆公開金鑰(Public Key)與私密金鑰(Private Key)對應做免密碼的登入. 使用者只需將公開金鑰的內容附加系統上特定的檔案中,以及在自己的環境指定好私密金鑰,系統在登入流程中即會自動對應,正確無誤即可登入. 讓整個登入流程快速且安全
2. 金鑰種類
但是對應並沒有想像中這麼簡單,就像是木門上只能裝喇吧鎖而無法裝大鎖,不同的主機所能使用的金鑰機制也有所不同 : SSH 有 Protocol 1 及 Protocol 2 兩種,常見金鑰編碼機制則有 RSA1、RSA2、以及 DSA 等三種.
3. 保護金鑰的措施
另外一個問題, 如果有人拿到了你的私密金鑰,就相當於他可以在你的主機為所欲為. 保護的措施就是使用 Passphrase(也可以不設)、私密金鑰的密碼,每次要用時就得輸入.
4. Agent 機制
有 Passphrase 保護當然是安全多了,但原本想用金鑰的好處就是可以省去每次打密碼的步驟,現在若每次又得打 Passphrase,這樣的好處就沒有了,可能還得多記一套密碼、增加打錯的可能性. 還好有 Agent 機制,他相當是你的管家、我們只要把鑰匙及 Passphrase 請他保管,在登入主機時他就會幫你解決輸入 Passphrase 的問題.
一步一步教到會 :
以下就只針對 Mac OSX 及 *nix 系統做介紹(若你是使用 Windows 中的 PuTTY,請先做完步驟一與二,再看這裡):
步驟 1. 產生金鑰
在 Command Line 中你可以使用 ssh-keygen 來產生各種類的金鑰,而我也會鼓勵大家一次把三種金鑰產生好,省得碰到不同系統麻煩.
a. 產生 RSA 1 金鑰
這種金鑰是給比較舊的系統,例如 FreeBSD 4 及以前的版本、是走 SSH Protocol 1 的,最好就使用 RSA 1 這種金鑰 :
b. 產生 RSA 2 金鑰
比較新的系統,如 FreeBSD 5 及之後版本或 Linux,用 RSA 2 或 DSA 這兩種金鑰 :
c. 產生 DSA 金鑰
經過這樣的程序,我們總共會有公私鑰共三對:RSA1 ( identity.pub / identity )、RSA2 ( id_rsa.pub / id_rsa )、及 ( id_dsa.pub / id_rsa )。
我過去有一個錯誤的觀念,以為金鑰是對應系統的,所以在對每一台主機得另外產生一次. 事實上如果沒有特殊需求,你可以只用一份、用任一系統產生、並把這一份給保存好即可.
步驟 2. 將公開金鑰放到主機
你現在在自己的機器上已經有了三對金鑰,接下來我們要把公開的三隻 (*.pub) 放到我們要登入的主機上.
接著登入該系統,在沒設定好之前當然還是得乖乖打密碼 :
系統預設處理放置公鑰的檔案叫做 authorized_keys,所以我們要把剛剛所傳的公鑰附加到這個檔案中 :
如果沒有意外,你登出再登入主機,當你有使用Passphrase時, 就會看到它請你輸入 Passphrase 的訊息.
步驟 3. 設定 ssh-agent <給有設定Passphrase使用者>
前面所提到,每次都要打 Passphrase 就太麻煩了,所以這裡要設定管家 ssh-agent、以保管私鑰及 Passphrase. 在你每次啟動 shell 後,請照這樣的方式來做 :
a. 啟動 ssh-agent
b. 將私密金鑰交給 ssh-agent 保管:ssh-add
我們將要用 ssh-add 來指定金鑰,如果你都照上面放預設的位置及相同的檔名,那就不用有任何的參數.
接著會要求你設定輸入 passphrase,如果三個都一樣,就只要打一次 :
接著再試看看登入已經放好公鑰的主機,應該就可以不用密碼登入了 :
公私鑰所需放的機器 :
我的歸納是,在本機上你必需一直保有這兩份以便後續的再製。而公鑰整理成 authorized_keys,以後有新機器需要登入時一律傳此檔案上去做附加。
而除了本機外,那些機器需要放私鑰呢?我的情況是最常用的那台開發機,因為你可能會利用他去 SSH 其它台機器。不然的話,應該減少私鑰的存放地點,以求安全.
補充說明 :
* PuTTY 免密碼登入
* 鳥哥Linux 私房菜 : 遠端連線伺服器 Telnet / SSH / VNC / XDMCP / RSH
This message was edited 4 times. Last update was at 29/09/2010 09:50:53
沒有留言:
張貼留言