OpenSSH 密钥管理：ssh-agent和keychain

核心提示： Keychain 找到现有的 ssh-agent 祝贺您！您刚才已经登录了，应该能够用 ssh 和 scp 连到远程系统；您不必一登录就使用 ssh-add ，OpenSSH 密钥管理：ssh-agent和keychain(5)，而且 ssh 和 scp 也不会提示您输入密码短语，事实上，

Keychain 找到现有的 ssh-agent

祝贺您！您刚才已经登录了，应该能够用 ssh 和 scp 连到远程系统；您不必一登录就使用 ssh-add ，而且 ssh 和 scp 也不会提示您输入密码短语。事实上，只要初始的 ssh-agent 进程一直在运行，您就能不提供密码登录并建立 ssh 连接。 ssh-agent 进程持续运行直到机器重新启动也是很有可能的；由于您最可能在 Linux 系统上这样设置，所以也许一连几个月您都不必输入密码短语！欢迎来到安全的、使用 RSA 和 DSA 认证无密码连接的世界。

继续创建几个新的登录会话，您会发现每次 keychain 都会准确无误的“钩住”到同一 ssh-agent 进程。不要忘记您也可以使 cron 作业和脚本“钩住”正在运行的 ssh-agent 进程。要在 shell 脚本和 cron 作业中使用 ssh 或 scp 命令，只要确保先用 source 命令读入并执行 ~/.ssh-agent：

source ~/.ssh-agent

然后，随后所有的 ssh 或 scp 命令就能够找到当前正在运行的 ssh-agent ，并且象您在 shell 中一样能建立安全的无密码连接。

Keychain 选项

您启动并运行 keychain 后，一定要键入 keychain --help 以熟悉 keychain 所有的命令行选项。我们要特别看一下这个选项： -clear 选项。

还记得我在第 1 部分里阐释了使用不加密专用密钥是一种危险的做法，因为这种做法允许其它人盗用您的专用密钥不提供密码就可以从所有系统登录到您的远程帐户。唔，尽管 keychain 不易遭到这种滥用（只要您使用加密的专用密钥就行），但仍存在有可能可以利用的弱点，同 keychain 使得“钩住”长时间持续运行的 ssh-agent 进程如此容易这一事实直接相关。我想，如果闯入者以某种方式能想出我的密码或密码短语，还能登录进入我的本地系统，会发生什么事情呢？如果出于某种原因他们能以我的用户名登录，那么 keychain 就会立刻授权他们访问我的解密的专用密钥，使他们可以轻而易举的访问我的其它帐户。