ssh/openssh

http://www.cnblogs.com/wwufengg/articles/ssh-openssh-detail.html

http://www.cnblogs.com/jjkv3/archive/2012/04/23/2465829.html

SSH命令:
ssh免密码登录, 发送命令到多个Linux
一步将SSH公钥传输到另一台机器:
ssh-keygen;ssh-copy-id user@host; ssh user@host

1.在A机下生成公钥/私钥对。
[xx@A ~]$ ssh-keygen -t rsa -P ''
-P表示密码,-P '' 就表示空密码,也可以不用-P参数,这样就要三车回车,用-P就一次回车。
它在/etc/xx下生成.ssh目录,.ssh下有id_rsa和id_rsa.pub。

2.把A机下的id_rsa.pub复制到B机下,在B机的.ssh/authorized_keys文件里,我用scp复制。
[xx@A ~]$ scp .ssh/id_rsa.pub root@192.168.1.181:/etc/xx/id_rsa.pub

3.B机把从A机复制的id_rsa.pub添加到.ssh/authorzied_keys文件里。
[xx@B ~]$ cat id_rsa.pub >> .ssh/authorized_keys
[xx@B ~]$ chmod 600 .ssh/authorized_keys

小结:登录的机子可有私钥,被登录的机子要有登录机子的公钥。这个公钥/私钥对一般在私钥宿主机产生。
上面是用rsa算法的公钥/私钥对,当然也可以用dsa(对应的文件是 id_dsa,id_dsa.pub)

http://www.cnblogs.com/xiaoluo501395377/archive/2013/04/08/3008987.html

配置文件:

全部位于/etc/ssh 下

主要有:ssh_config sshd_config —— 其中大部分都是被注释了的, 可见,其配置项不常用,

主要的几个配置项? 

所谓ssh 即 secure shell, 是需要用到加密通道的。故,一般来说我们需要配置密钥。。。

http://www.cnblogs.com/jhg123/archive/2011/06/08/2075558.html 没看明白,为什么要执行

ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
59:48:ab:6f:9d:98:27:e2:aa:16:68:0b:cc:c2:7a:fa root@linux
The key's randomart image is:

 ssh-keygen是为了生成密钥这个我知道,但是,好像没这一步也是ok的。—— 为什么下次使用的时候还是的每次输入密码呢?

我们直接执行ssh的时候也是会提示我们是否生成密钥、建立信任关系、还输入远程密码。

从客户端来看,SSH提供两种级别的安全验证。 

  第一种级别(基于口令的安全验证)只要你知道自己帐号和口令,就可以登录到远程主机。所有传输的数据都会被加密, 但是不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器, 也就是受到“中间人”这种方式的攻击。 

  第二种级别(基于密匙的安全验证)需要依靠密匙,也就是你必须为自己创建一对密匙,并把公用密匙放在需要访问的服务器上。 如果你要连接到SSH服务器上,客户端软件就会向服务器发出请求,请求用你的密匙进行安全验证。服务器收到请求之后, 先在你在该服务器的家目录下寻找你的公用密匙,然后把它和你发送过来的公用密匙进行比较。如果两个密匙一致, 服务器就用公用密匙加密“质询”(challenge)并把它发送给客户端软件。 客户端软件收到“质询”之后就可以用你的私人密匙解密再把它发送给服务器。 

  用这种方式,你必须知道自己密匙的口令。但是,与第一种级别相比,第二种级别不需要在网络上传送口令。 

  第二种级别不仅加密所有传送的数据,而且“中间人”这种攻击方式也是不可能的(因为他没有你的私人密匙)。 但是整个登录的过程可能需要10秒。

———— 明白了!

总结:

windows不带ssh命令的客户端,自然也没有带ssh服务, 一般借助第三方工具作为ssh客户端:如putty/winscp/(ftp工具/xshell?)
linux一般默认带有openssh程序(提供了服务),并默认开启状态。 同时提供客户端、服务端功能?

linux查询ssh服务是否开启:

linux129:~ # ps -ef | grep ssh
root 9864 1 0 Feb24 ? 00:00:00 /usr/sbin/sshd -o PidFile=/var/run/sshd.init.pid    —————— sshd即ssh后台服务

http://www.cnblogs.com/runsir/archive/2007/08/20/862494.html 这文章写的不错,很详细,没能看完

待续

===========

终于完全搞明白!

确实只需要三步,现在在看来其实已经很简单!

当 ssh-keygen -t rsa -P 'a1234'的时候,下次执行ssh或者scp之类的,需要输入passphrase ,而此处的a1234即为passphrase ———— 密码短语!

linux:~ # ssh root@10.67.164.217
Enter passphrase for key '/root/.ssh/id_rsa': 
Last login: Mon Mar 10 09:57:11 2014 from 10.74.169.50

如果passphrase 输入不正确,其实我们还可以通过password来登录(这应该是ssh提供的一个机制):

linux:~ # ssh root@10.67.164.217 'ls /opt/lktest'
Enter passphrase for key '/root/.ssh/id_rsa':
Password:
Password:
Password:
Permission denied (publickey,keyboard-interactive).

linux:~ # scp /root/.ssh/id_rsa.pub root@10.67.164.217:/root/.ssh/id_rsa.pub
Enter passphrase for key '/root/.ssh/id_rsa':
Enter passphrase for key '/root/.ssh/id_rsa':
Enter passphrase for key '/root/.ssh/id_rsa':
Password:
Password:

如果是ssh-keygen -t rsa -P ''

则是不需要输入任何密码(包括passphrase密码短语)的!!! 如果还是输入密码,则说明没有设置好ssh。

linux:~ # ssh root@10.67.164.217 'ls /opt/lktest'
1205
c
ssh

test

workdir

。。。

====

如果是非root用户userlk呢?

稍微有些不同,这个时候,我们需要把id_rsa.pub、authorized_keys 等放至userlk,id_rsa.pub、authorized_keys 可能新建生成:

userlk@linux:/userlk/.ssh> ll
total 4
-rw-r--r-- 1 userlk ossgroup 223 2013-12-04 16:02 known_hosts
userlk@linux:/userlk/.ssh> l
total 16
drwx------ 2 userlk ossgroup 4096 2014-03-10 10:18 ./
drwxr-xr-x 7 userlk ossgroup 4096 2014-03-10 10:15 ../
-rw-r--r-- 1 root root 392 2014-03-10 10:18 id_rsa.pub
-rw-r--r-- 1 userlk ossgroup 223 2013-12-04 16:02 known_hosts
userlk@linux:/userlk/.ssh> cat id_rsa.pub >> authorized_keys
userlk@linux:/userlk/.ssh> l
total 20
drwx------ 2 userlk ossgroup 4096 2014-03-10 10:19 ./
drwxr-xr-x 7 userlk ossgroup 4096 2014-03-10 10:15 ../
-rw-r----- 1 userlk ossgroup 392 2014-03-10 10:19 authorized_keys
-rw-r--r-- 1 root root 392 2014-03-10 10:18 id_rsa.pub
-rw-r--r-- 1 userlk ossgroup 223 2013-12-04 16:02 known_hosts

---- 但是这个时候,我们再使用ssh root@10.67.164.217 'ls /opt/lktest'则可能又失败了,因为此时的id_rsa已经改变了罢!

怎么办。。。需要再次设置root的ssh,他们可以共享一个id_rsa。嘎嘎!完毕!

【推广】 免费学中医,健康全家人
原文地址:https://www.cnblogs.com/FlyAway2013/p/3564725.html