OpenSSH 密钥 ssh-agent 和 keychain 摘记

 

ssh-agent：

      不同于 ssh ， ssh-agent 是个长时间持续运行的守护进程（daemon），设计它的唯一目的就是对解密的专用密钥进行高速缓存。ssh 包含的内建支持允许它同 ssh-agent 通信，允许 ssh 不必每次新连接时都提示您要密码才能获取解密的专用密钥。对于 ssh-agent ，您只要使用 ssh-add 把专用密钥添加到 ssh-agent 的高速缓存中。这是个一次性过程；用过 ssh-add 之后， ssh 将从 ssh-agent 获取您的专用密钥，而不会提示要密码短语。

打印ssh-agent  环境变量：

 

% ssh-agent
SSH_AUTH_SOCK=/tmp/ssh-XX4LkMJS/agent.26916; export SSH_AUTH_SOCK;
SSH_AGENT_PID=26917; export SSH_AGENT_PID;

运行ssh-agent 后对ssh-agent 的输出进行计算

eval `ssh-agent`

shell 以这种调用方式（使用反引号，而不是普通的单引号）设置并导出 SSH_AGENT_PID 及 SSH_AUTH_SOCK 变量，使这些变量对于您在登录会话期间启动的所有新进程都可用。启动 ssh-agent 的最佳方式就是把上面这行添加到您的 ~/.bash_profile

ssh-add 把我的 ~/.ssh/identity 专用 RSA 密钥添加到 ssh-agent 的高速缓存中：

# ssh-add ~/.ssh/identity
Need passphrase for /home/drobbins/.ssh/identity
Enter passphrase for /home/drobbins/.ssh/identity 
(enter passphrase)

这样就可以使用 scp 和 ssh 同远程系统建立连接而不必提供密码短语。

ssh-agent 的不足之处：

ssh-agent 确实棒，但是其缺省配置还是会留给我们一些小小的不便。让我们来看一下这些不足吧。

首先，~/.bash_profile 中的 eval `ssh-agent` 使每次登录会话都会启动一个新的 ssh-agent 副本；这不仅仅是有一丁点儿浪费，而且还意味着您得使用 ssh-add 向每个新的 ssh-agent 副本添加专用密钥。如果您只想打开系统上的一个终端或控制台，这没什么大不了的，但是我们中大多数人打开相当多的终端，每次新打开控制台都需要键入密码短语。从技术角度讲，既然一个 ssh-agent 进程的确应当足够了，要是我们还需这样做，这毫无道理。

        有关 ssh-agent 的缺省设置的另外一个问题是它同 cron 作业不兼容。由于 cron 作业是 cron 进程启动的，这些作业无法从它们的环境中继承 SSH_AUTH_SOCK 变量，因而也无从知道 ssh-agent 进程正在运行以及如何同它联系。事实证明这个问题也是可以修补的。

Keychain：

     为了解决这些问题 引入了keychain 。 keychain 的特别之处在于它允许 每个系统使用一个 ssh-agent 进程，而非每次登录会话。这意味着您只需对每个专用密钥执行一次 ssh-add ，就一次。正如我们稍后将要看到的一样， keychain 甚至有助于优化 ssh-add ，而这只要它试图向那些正在运行的 ssh-agent 添加其高速缓存中没有的专用密钥。

      keychain从 ~/.bash_profile 中启动时， keychain 将首先查看 ssh-agent 是否已经在运行了。如果没有，它就启动 ssh-agent 并把重要的 SSH_AUTH_SOCK 和 SSH_AGENT_PID 变量记录在 ~/.ssh-agent 文件中，一方面为了安全而保存，另一方面也是为了以后的使用。这是启动 keychain 的最佳途径；同使 ssh-agent 一样，我们在 ~/.bash_profile 内部执行必要的配置：

#!/bin/bash
#example ~/.bash_profile file
/usr/bin/keychain ~/.ssh/id_rsa
#redirect ~/.ssh-agent output to /dev/null to zap the annoying
#"Agent PID" message
source ~/.ssh-agent > /dev/null

     对于 keychain 用 source 命令读入并执行 ~/.ssh-agent 文件，而不是直接使用 ssh-agent 时所做的对输出进行计算。但是，结果是一样的：定义了非常重要的 SSH_AUTH_SOCK，而且正运行 ssh-agent 以备使用。同时，因为 SSH_AUTH_SOCK 被记录在 ~/.ssh-agent 里，只要用 source 命令读入并执行 ~/.ssh-agent 文件，就可以轻易的把 shell 脚本及 cron 作业同 ssh-agent 连接起来。 keychain 本身也利用了这个文件； keychain 启动时，它会查看现有的 ssh-agent 是否正在运行。如果是，则它使用 ~/.ssh-agent 文件来获得适当的 SSH_AUTH_SOCK 设置，这样就使 keychain 能使用现有的代理程序而不必新启动一个。只有在 ~/.ssh-agent 文件无效（指向一个不存在的 ssh-agent ）或 ~/.ssh-agent 文件本身不存在时，keychain 才会启动新的 ssh-agent 进程。

 安装 keychain

下载地址：http://www.funtoo.org/wiki/Keychain

 

bzip2 -d  keychain-2.7.1.tar.bz2
tar -xvf keychain-2.7.1.tar

install -m0755 keychain /usr/bin
#Add the following to ~/.bash_profile
/usr/bin/keychain ~/.ssh/id_rsa ~/.ssh/id_dsa
source ~/.ssh-agent > /dev/null
#sourcing ~/.bashrc is a good thing
source ~/.bashrc

  您一为每次登录时调用  keychain  配置好了 ~/.bash_profile，就请先退出再登录回来。在您再次登录时，  keychain  将启动  ssh-agent  ，并记录下 ~/.ssh-agent 中的代理程序环境变量设置，然后提示您输入在 ~/.bash_profile 中的  keychain  命令行指定的所有专用密钥的密码短语

 

您一输入密码短语，您的专用密钥就会被高速缓存，同时  keychain  将退出。接着，用 source 命令读入并执行 ~/.ssh-agent，初始化您的登录会话以便同  ssh-agent  一起使用。现在，如果您退出，然后再登录回来，将发现  keychain  会找到现有的  ssh-agent  进程；在您退出时，它并没有终止。此外，  keychain  将验证您指定的专用密钥是否已经在  ssh-agent  的高速缓存中了。如果没有，那么将会提示您输入正确的密码短语，但如果一切进展顺利，则现有  ssh-agent  仍包含有您以前添加的专用密钥；这意味着不会提示您输入密码

 

http://www.ibm.com/developerworks/cn/linux/security/openssh/part2/index.html

http://www.ibm.com/developerworks/cn/linux/security/openssh/part3/index.html