ssh/openssh

http://www.cnblogs.com/wwufengg/articles/ssh-openssh-detail.html

http://www.cnblogs.com/jjkv3/archive/2012/04/23/2465829.html

SSH命令：
ssh免密码登录, 发送命令到多个Linux
一步将SSH公钥传输到另一台机器：
ssh-keygen;ssh-copy-id user@host; ssh user@host

1.在A机下生成公钥/私钥对。
[xx@A ~]$ ssh-keygen -t rsa -P ''
-P表示密码，-P '' 就表示空密码，也可以不用-P参数，这样就要三车回车，用-P就一次回车。
它在/etc/xx下生成.ssh目录，.ssh下有id_rsa和id_rsa.pub。

2.把A机下的id_rsa.pub复制到B机下，在B机的.ssh/authorized_keys文件里，我用scp复制。
[xx@A ~]$ scp .ssh/id_rsa.pub root@192.168.1.181:/etc/xx/id_rsa.pub

3.B机把从A机复制的id_rsa.pub添加到.ssh/authorzied_keys文件里。
[xx@B ~]$ cat id_rsa.pub >> .ssh/authorized_keys
[xx@B ~]$ chmod 600 .ssh/authorized_keys

小结：登录的机子可有私钥，被登录的机子要有登录机子的公钥。这个公钥/私钥对一般在私钥宿主机产生。
上面是用rsa算法的公钥/私钥对，当然也可以用dsa(对应的文件是 id_dsa，id_dsa.pub)

http://www.cnblogs.com/xiaoluo501395377/archive/2013/04/08/3008987.html

配置文件：

全部位于/etc/ssh 下

主要有：ssh_config sshd_config —— 其中大部分都是被注释了的， 可见，其配置项不常用，

主要的几个配置项？ 

所谓ssh 即 secure shell， 是需要用到加密通道的。故，一般来说我们需要配置密钥。。。

http://www.cnblogs.com/jhg123/archive/2011/06/08/2075558.html 没看明白，为什么要执行

ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
59:48:ab:6f:9d:98:27:e2:aa:16:68:0b:cc:c2:7a:fa root@linux
The key's randomart image is:

 ssh-keygen是为了生成密钥这个我知道，但是，好像没这一步也是ok的。—— 为什么下次使用的时候还是的每次输入密码呢？

我们直接执行ssh的时候也是会提示我们是否生成密钥、建立信任关系、还输入远程密码。

从客户端来看，SSH提供两种级别的安全验证。 

　　第一种级别（基于口令的安全验证）只要你知道自己帐号和口令，就可以登录到远程主机。所有传输的数据都会被加密， 但是不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器， 也就是受到“中间人”这种方式的攻击。 

　　第二种级别（基于密匙的安全验证）需要依靠密匙，也就是你必须为自己创建一对密匙，并把公用密匙放在需要访问的服务器上。 如果你要连接到SSH服务器上，客户端软件就会向服务器发出请求，请求用你的密匙进行安全验证。服务器收到请求之后， 先在你在该服务器的家目录下寻找你的公用密匙，然后把它和你发送过来的公用密匙进行比较。如果两个密匙一致， 服务器就用公用密匙加密“质询”（challenge）并把它发送给客户端软件。 客户端软件收到“质询”之后就可以用你的私人密匙解密再把它发送给服务器。 

　　用这种方式，你必须知道自己密匙的口令。但是，与第一种级别相比，第二种级别不需要在网络上传送口令。 

　　第二种级别不仅加密所有传送的数据，而且“中间人”这种攻击方式也是不可能的（因为他没有你的私人密匙）。 但是整个登录的过程可能需要10秒。

———— 明白了！

总结：

windows不带ssh命令的客户端，自然也没有带ssh服务， 一般借助第三方工具作为ssh客户端：如putty/winscp/（ftp工具/xshell？）

linux一般默认带有openssh程序（提供了服务），并默认开启状态。 同时提供客户端、服务端功能？

linux查询ssh服务是否开启：

linux129:~ # ps -ef | grep ssh
root 9864 1 0 Feb24 ? 00:00:00 /usr/sbin/sshd -o PidFile=/var/run/sshd.init.pid　　　　—————— sshd即ssh后台服务

http://www.cnblogs.com/runsir/archive/2007/08/20/862494.html 这文章写的不错，很详细，没能看完

待续

===========

终于完全搞明白！

确实只需要三步，现在在看来其实已经很简单！

当 ssh-keygen -t rsa -P 'a1234'的时候，下次执行ssh或者scp之类的，需要输入passphrase ，而此处的a1234即为passphrase ———— 密码短语！

linux:~ # ssh root@10.67.164.217
Enter passphrase for key '/root/.ssh/id_rsa': 
Last login: Mon Mar 10 09:57:11 2014 from 10.74.169.50

如果passphrase 输入不正确，其实我们还可以通过password来登录（这应该是ssh提供的一个机制）：

linux:~ # ssh root@10.67.164.217 'ls /opt/lktest'
Enter passphrase for key '/root/.ssh/id_rsa':
Password:
Password:
Password:
Permission denied (publickey,keyboard-interactive).

linux:~ # scp /root/.ssh/id_rsa.pub root@10.67.164.217:/root/.ssh/id_rsa.pub
Enter passphrase for key '/root/.ssh/id_rsa':
Enter passphrase for key '/root/.ssh/id_rsa':
Enter passphrase for key '/root/.ssh/id_rsa':
Password:
Password:

如果是ssh-keygen -t rsa -P ''

则是不需要输入任何密码(包括passphrase密码短语)的！！！ 如果还是输入密码，则说明没有设置好ssh。

：

linux:~ # ssh root@10.67.164.217 'ls /opt/lktest'
1205
c
ssh

test

workdir

。。。

====

如果是非root用户userlk呢？

稍微有些不同，这个时候，我们需要把id_rsa.pub、authorized_keys 等放至userlk，id_rsa.pub、authorized_keys 可能新建生成：

userlk@linux:/userlk/.ssh> ll
total 4
-rw-r--r-- 1 userlk ossgroup 223 2013-12-04 16:02 known_hosts
userlk@linux:/userlk/.ssh> l
total 16
drwx------ 2 userlk ossgroup 4096 2014-03-10 10:18 ./
drwxr-xr-x 7 userlk ossgroup 4096 2014-03-10 10:15 ../
-rw-r--r-- 1 root root 392 2014-03-10 10:18 id_rsa.pub
-rw-r--r-- 1 userlk ossgroup 223 2013-12-04 16:02 known_hosts
userlk@linux:/userlk/.ssh> cat id_rsa.pub >> authorized_keys
userlk@linux:/userlk/.ssh> l
total 20
drwx------ 2 userlk ossgroup 4096 2014-03-10 10:19 ./
drwxr-xr-x 7 userlk ossgroup 4096 2014-03-10 10:15 ../
-rw-r----- 1 userlk ossgroup 392 2014-03-10 10:19 authorized_keys
-rw-r--r-- 1 root root 392 2014-03-10 10:18 id_rsa.pub
-rw-r--r-- 1 userlk ossgroup 223 2013-12-04 16:02 known_hosts

---- 但是这个时候，我们再使用ssh root@10.67.164.217 'ls /opt/lktest'则可能又失败了，因为此时的id_rsa已经改变了罢！

怎么办。。。需要再次设置root的ssh，他们可以共享一个id_rsa。嘎嘎！完毕！