OpenSSH 密钥 ssh-agent 跟 keychain 摘记
ssh-agent:
不同于 ssh
, ssh-agent
是个长时间持续运行的守护进程(daemon),设计它的唯一目的就是对解密的专用密钥进行高速缓存。ssh
包含的内建支持允许它同 ssh-agent
通信,允许 ssh
不必每次新连接时都提示您要密码才能获取解密的专用密钥。对于 ssh-agent
,您只要使用 ssh-add
把专用密钥添加到 ssh-agent
的高速缓存中。这是个一次性过程;用过 ssh-add
之后, ssh
将从 ssh-agent
获取您的专用密钥,而不会提示要密码短语。
打印ssh-agent 环境变量:
% ssh-agent
SSH_AUTH_SOCK=/tmp/ssh-XX4LkMJS/agent.26916; export SSH_AUTH_SOCK;
SSH_AGENT_PID=26917; export SSH_AGENT_PID;
运行ssh-agent
后对ssh-agent
的输出进行计算
eval `ssh-agent`
shell 以这种调用方式(使用反引号,而不是普通的单引号)设置并导出 SSH_AGENT_PID 及 SSH_AUTH_SOCK 变量,使这些变量对于您在登录会话期间启动的所有新进程都可用。启动 ssh-agent
的最佳方式就是把上面这行添加到您的 ~/.bash_profile
ssh-add
把我的 ~/.ssh/identity 专用 RSA 密钥添加到 ssh-agent
的高速缓存中:
# ssh-add ~/.ssh/identity Need passphrase for /home/drobbins/.ssh/identity Enter passphrase for /home/drobbins/.ssh/identity (enter passphrase)
这样就可以使用 scp
和 ssh
同远程系统建立连接而不必提供密码短语。
ssh-agent 的不足之处:
ssh-agent
确实棒,但是其缺省配置还是会留给我们一些小小的不便。让我们来看一下这些不足吧。
首先,~/.bash_profile 中的 eval `ssh-agent`
使每次登录会话都会启动一个新的 ssh-agent
副本;这不仅仅是有一丁点儿浪费,而且还意味着您得使用 ssh-add
向每个新的 ssh-agent
副本添加专用密钥。如果您只想打开系统上的一个终端或控制台,这没什么大不了的,但是我们中大多数人打开相当多的终端,每次新打开控制台都需要键入密码短语。从技术角度讲,既然一个 ssh-agent
进程的确应当足够了,要是我们还需这样做,这毫无道理。
有关 ssh-agent
的缺省设置的另外一个问题是它同 cron 作业不兼容。由于 cron 作业是 cron 进程启动的,这些作业无法从它们的环境中继承 SSH_AUTH_SOCK 变量,因而也无从知道 ssh-agent
进程正在运行以及如何同它联系。事实证明这个问题也是可以修补的。
Keychain:
为了解决这些问题 引入了keychain
。 keychain
的特别之处在于它允许 每个系统使用一个 ssh-agent
进程,而非每次登录会话。这意味着您只需对每个专用密钥执行一次 ssh-add
,就一次。正如我们稍后将要看到的一样, keychain
甚至有助于优化 ssh-add
,而这只要它试图向那些正在运行的 ssh-agent
添加其高速缓存中没有的专用密钥。
keychain
从 ~/.bash_profile 中启动时, keychain
将首先查看 ssh-agent
是否已经在运行了。如果没有,它就启动 ssh-agent
并把重要的 SSH_AUTH_SOCK 和 SSH_AGENT_PID 变量记录在 ~/.ssh-agent 文件中,一方面为了安全而保存,另一方面也是为了以后的使用。这是启动 keychain
的最佳途径;同使 ssh-agent
一样,我们在 ~/.bash_profile 内部执行必要的配置:
#!/bin/bash #example ~/.bash_profile file /usr/bin/keychain ~/.ssh/id_rsa #redirect ~/.ssh-agent output to /dev/null to zap the annoying #"Agent PID" message source ~/.ssh-agent > /dev/null
对于 keychain
用 source 命令读入并执行 ~/.ssh-agent 文件,而不是直接使用 ssh-agent
时所做的对输出进行计算。但是,结果是一样的:定义了非常重要的 SSH_AUTH_SOCK,而且正运行 ssh-agent
以备使用。同时,因为 SSH_AUTH_SOCK 被记录在 ~/.ssh-agent 里,只要用 source 命令读入并执行 ~/.ssh-agent 文件,就可以轻易的把 shell 脚本及 cron 作业同 ssh-agent
连接起来。 keychain
本身也利用了这个文件; keychain
启动时,它会查看现有的 ssh-agent
是否正在运行。如果是,则它使用 ~/.ssh-agent 文件来获得适当的 SSH_AUTH_SOCK 设置,这样就使 keychain
能使用现有的代理程序而不必新启动一个。只有在 ~/.ssh-agent 文件无效(指向一个不存在的 ssh-agent
)或 ~/.ssh-agent 文件本身不存在时,keychain
才会启动新的 ssh-agent
进程。
安装 keychain
下载地址:http://www.funtoo.org/wiki/Keychain
bzip2 -d keychain-2.7.1.tar.bz2 tar -xvf keychain-2.7.1.tar install -m0755 keychain /usr/bin #Add the following to ~/.bash_profile /usr/bin/keychain ~/.ssh/id_rsa ~/.ssh/id_dsa source ~/.ssh-agent > /dev/null #sourcing ~/.bashrc is a good thing source ~/.bashrc您一为每次登录时调用
keychain
配置好了 ~/.bash_profile,就请先退出再登录回来。在您再次登录时, keychain
将启动 ssh-agent
,并记录下 ~/.ssh-agent 中的代理程序环境变量设置,然后提示您输入在 ~/.bash_profile 中的 keychain
命令行指定的所有专用密钥的密码短语
keychain
将退出。接着,用 source 命令读入并执行 ~/.ssh-agent,初始化您的登录会话以便同 ssh-agent
一起使用。现在,如果您退出,然后再登录回来,将发现 keychain
会找到现有的 ssh-agent
进程;在您退出时,它并没有终止。此外, keychain
将验证您指定的专用密钥是否已经在 ssh-agent
的高速缓存中了。如果没有,那么将会提示您输入正确的密码短语,但如果一切进展顺利,则现有 ssh-agent
仍包含有您以前添加的专用密钥;这意味着不会提示您输入密码