密钥形式登录的原理是:利用密钥生成器制作一对密钥——“公钥和私钥”。将公钥添加到服务器的某个账户上,然后在客户端利用私钥即可完成认证>并登录。这样一来,没有私钥,任何人都无法通过 SSH 暴力破解你的密码来远程登录到系统。此外,如果将公钥复制到其他账户甚至主机,利用私钥也可以登录
。
目录
ssh-keygen密钥生成工具
命令语法格式
常用参数
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
-a 在使用 -T 对 DH-GEX 候选素数进行安全筛选时需要执行的基本测试数量。
-B 显示指定的公钥/私钥文件的 bubblebabble 摘要。
-b 指定密钥长度。对于RSA密钥,最小要求768位,默认是2048位。DSA密钥必须恰好是1024位( FIPS 186-2 标准的要求) 。
-C 提供一个新注释
-c 要求修改私钥和公钥文件中的注释。本选项只支持 RSA1 密钥。
程序将提示输入私钥文件名、密语( 如果存在) 、新注释。
-D 下载存储在智能卡 reader 里的 RSA 公钥。
-e 读取OpenSSH的私钥或公钥文件,并以 RFC 4716 SSH 公钥文件格式在 stdout 上显示出来。
该选项能够为多种商业版本的 SSH 输出密钥。
-F 在 known_hosts文件中搜索指定的 hostname ,并列出所有的匹配项。
这个选项主要用于查找散列过的主机名/ip地址,还可以和 -H 选项联用打印找到的公钥的散列值。
-f 指定密钥文件名。
-G 为 DH-GEX 产生候选素数。这些素数必须在使用之前使用 -T 选项进行安全筛选。
-g 在使用-r打印指纹资源记录的时候使用通用的DNS格式。
-C 添加注释
-H 对 known_hosts 文件进行散列计算。这将把文件中的所有主机名/ip地址替换为相应的散列值。
原来文件的内容将会添加一个".old" 后缀后保存。这些散列值只能被 ssh 和 sshd 使用。
这个选项不会修改已经经过散列的主机名/ip地址,因此可以在部分公钥已经散列过的文件上安全使用。
-i 读取未加密的SSH-2兼容的私钥/公钥文件,然后在 stdout 显示OpenSSH兼容的私钥/公钥。
该选项主要用于从多种商业版本的SSH中导入密钥。
-l 显示公钥文件的指纹数据。它也支持 RSA1 的私钥。
对于RSA和DSA密钥,将会寻找对应的公钥文件,然后显示其指纹数据。
-M 指定在生成 DH-GEXS 候选素数的时候最大内存用量( MB) 。
-N 提供一个新的密语。
-P 提供( 旧) 密语。
-p 要求改变某私钥文件的密语而不重建私钥。程序将提示输入私钥文件名、原来的密语、以及两次输入新密语。
-q 安静模式。用于在 /etc/rc 中创建新密钥的时候。
-R 从 known_hosts 文件中删除所有属于 hostname 的密钥
这个选项主要用于删除经过散列的主机( 参见 -H 选项) 的密钥。
-r 打印名为 hostname 的公钥文件的 SSHFP 指纹资源记录。
-S 指定在生成 DH-GEX 候选模数时的起始点( 16进制) 。
-T 测试 Diffie-Hellman group exchange 候选素数( 由 -G 选项生成) 的安全性。
-t 指定要创建的密钥类型。可以使用:"rsa1" ( SSH-1) "rsa" ( SSH-2) "dsa" ( SSH-2)
-U 把现存的RSA私钥上传到智能卡 reader
-v 详细模式。ssh-keygen 将会输出处理过程的详细调试信息。常用于调试模数的产生过程。
重复使用多个 -v 选项将会增加信息的详细程度( 最大3次) 。
-W 指定在为 DH-GEX 测试候选模数时想要使用的 generator
-y 读取OpenSSH专有格式的公钥文件,并将OpenSSH公钥显示在 stdout 上。
生成密钥
1
2
3
$ cd ~/.ssh #切换到用户根目录下的.ssh目录,没有.ssh目录请手动创建
$ ssh-keygen -t rsa -f gitlab1 -C gitlab1 #提示设置密钥口令,无需设置直接回车,分别生成gitlab1(私钥)和gitlab1.pub(公钥)
$ ssh-keygen -t rsa -f gitlab2 -C gitlab2
添加config配置文件
当有多个SSH密钥时,通过config配置文件分别映射不同的地址
1
2
3
4
5
6
7
8
9
10
11
12
13
14
$ vim ~/.ssh/config
# gitlab1
Host 192.168.100.101
HostName 192.168.100.101
PreferredAuthentications publickey
IdentityFile ~/.ssh/gitlab1
# 指定特定的ssh私钥文件
# gitlab2
Host 192.168.100.102
HostName 192.168.100.102
PreferredAuthentications publickey
IdentityFile ~/.ssh/gitlab2
# 指定特定的ssh私钥文件
公钥配置到Gitlab
点击用户头像,再点击个人偏好设置
测试连接
1
2
3
4
5
6
7
8
9
$ ssh -T git@192.168.100.101
Are you sure you want to continue connecting ( yes/no) ? yes
Warning: Permanently added '192.168.100.101' ( ECDSA) to the list of known hosts.
Welcome to GitLab, @root!
$ ssh -T git@192.168.100.102
Are you sure you want to continue connecting ( yes/no) ? yes
Warning: Permanently added '192.168.100.102' ( ECDSA) to the list of known hosts.
Welcome to GitLab, @root!
点击SSH密钥,输入对应的公钥,设置密钥标题
