网络安全 - ssh信任登陆

ssh信任登陆
2004-04-23 15:18 pm
来自：Linux文档
现载：Www.8s8s.coM
地址：无名

ssh登陆可以通过信任关系：

在A机器上用root运行ssh-keygen，将生成/root/.ssh/identity和/root/.ssh/identity.pub两个文件；

在A机器上运行scp /root/.ssh/identity.pub [email protected]:/upload/.ssh/authorized_keys （假设B机器的IP地址为192.168.1.10，B机器上开了用户test，要上传到的目录是/upload，需输入密码）。目的是将本地的 identity.pub放到远程机器上并改名为authorized_keys，这样就建立了新任主机，以后就不需要每次ssh都需要输入密码了。

ftp可以通过在个人登陆目录下添加.netrc文件：

FTP中有几十个命令,在.netrc中应该设置的大致有如下几条:
1.default loginpassword
在Internet中,存在大量的匿名ftp帐户,用户在不同的主机间频繁登录anonymous帐户,输入自
己的电子邮件地址作为口令,这种输入极其繁琐,完全有必要利用.netrc文件,在进入ftp时自动
完成该过程。

2.binary
许多用户在下载大量文件之后才意识到下载的文件是二进制文件,而自己却是使用ascii方式传
输,使下载文件无法使用,做了许多无用功。在.netrc文件中提前将传输方式设置为binary,完全
可避免出现上述情况。

3.runique
使用Internet的用户都知道,在浩如烟海的文件中,有大量同名文件,如readme、index等,如果
将同名文件下载到同一目录,则新传的文件会覆盖原同名文件。为了使具有潜在重要性的文件不
至于被意外覆盖,也需要在.netrc文件中,设置runique参数防止上述错误。

4.prompt off
使用ftp时,经常会用到mget或其它需要确认的ftp命令,将此确认过程取消,可大大方便使用者。

5.hash on
ftp中的hash命令,使得在进行文件传输时,每传输1千字节,在屏幕上显示一个\"#\"号,用户通过观
看屏幕上的\"#\"号,可以很直观地看到传输速度的快慢,以及文件的传输完成情况,以决定进一步的
操作。

6.idle 7200
目前国内的Internet专线速率普遍偏低,用户数却在急剧膨胀,所以用ftp传输销大一些的文件
时,经常会因为线路拥塞而断线,致使ftp进程中断,为了减少因断线而反复登录的次数,需将idle
命令的参数设置为最大(一般为7200秒)。

7.macdef
macdef定义一个宏,macro_name为宏定义的名称。在macdef行下,可输入任何有效的ftp命令,并
以空行结束宏定义,执行时只需在宏名前加\"$\"号即可。如果宏名定义为init,则该宏命令在启动
ftp后自动加以执行,无需用户输入$ macro_name。

·netrc的使用举例

1.用vi编辑器先编辑一个如下的文件:
default login anonymous password [email protected]
macdef init
binary .
runique .
hash on .
prompt off
idle 7200
(空行)

第1行意为缺省情况下,进入anonymous帐户,并以自己的电子邮件地址为口令;第2行至第8行定义
了宏init,该宏中的所有5条命令将在进入ftp环境后立刻执行,第8行(空行)不可省略,否则为无效宏定义。

先用anonmous账户，在/var/ftp下新建.netrc文件
写入default login anonmous passwd anonmous
然后 #chmod 700 .netrc
访问 #ftp 192.168.0.1
还是要我输入用户名和密码.
我用系统用户aaa测试。在/home/aaa下新建.netrc文件
写入default login aaa passwd aaa
然后 #chmod 700 .netrc
访问 #ftp 192.168.0.1
还是要我输入用户名和密码.

你说的ssh 建立密钥之间的信任关系。他在建立公要时要给公钥添加一个密码。每次登陆时要用这个密码，所以还是有点麻烦。