使用config 来管理ssh的会话

通常利用 ssh 连接远程服务器，一般都要输入以下类型命令：

  ssh user@hostname -p port

如果拥有多个ssh账号，特别是像我这种喜欢在终端里直接ssh登录，
要记住每个ssh账号的参数，那是多么蛋疼的事情。

还好，ssh提供一种优雅且灵活的方式来解决这个问题，就是利用
ssh的用户配置文件config 管理 ssh 会话。ssh的用户配置文件是
放在当前用户根目录下的.ssh 文件夹里(~/.ssh/config, 不存在则新
创建一个), 其配置写法如下

  Host 别名
    HostName  主机名
    Port      端口
    User      用户名
    IdentityFile 密钥文件的路径

有了这些配置，就可以这样用ssh 登录服务器了：

  ssh 别名

生成公钥和密钥

但是使用这种方式的前提是，必须生成密钥，并且将密钥添加到服务器的
authorized_keys文件里。

使用密钥的好处就是省去每次ssh登录服务器时都要输入登录密码的操作，

这里使用ssh-keygen 生成ssh密钥。

• 在 ~/.ssh/目录下执行

    ssh-keygen -t rsa
  

  直接一路回车即可
  最后会生成 id_rsa 的私钥，和 id_rsa.pub 的公钥。

• 把公钥中的内容复制到 authorized_keys 文件中，不存在则新创建一个

    scp ./id_rsa.pub user@remote_ip:~/.ssh/id_rsa_1010.pub
  

  然后登录到远程服务器，把公钥 id_rsa_1010.pub 的内容复制到 authorized_keys 文件里

    cat id_rsa_1010.pub >> authorized_keys
  

  以ssh public key 的形式访问，对当前用户根目录的.ssh 文件夹里的目录文件是要
  有一定的权限要求，之前遇到过ssh public key 配置好了，不过用public key 登录验证时
  无效。所以，最好设下.ssh 目录权限为700，authorized_keys 权限为600.

如果authorized_keys 不为 600的话，ssh就登录不上去。即使所有的配置都正确。

  chmod 700 ~/.ssh/
  chmod 600 authorized_keys

当然，用密钥的方式连接服务器是需要服务器上的ssh支持的，需要ssh的配置文件(默认是在/etc/ssh/sshd_config)
里的 PubkeyAuthentication设置为yes.如果要改登录的端口，直接把Port改成你想到的端口值就行。
修改完后重启下ssh，配置就生效：

  /etc/init.d/ssh restart

• 最后本地的config 如下

    Host cjb
      HostName   216.194.70.6
      Port       22
      User       user
      IdentityFile  ~/.ssh/cjb
  

  配置完成之后，就可以在终端直接输入 ssh cjb 畅通无阻地连上远程的cjb服务器上了。

ssh 的原理

简单的说，SSH是一种网络协议，用于计算机之间的加密登录。

如果一个用户从本地计算机，使用SSH协议登录另外一台远程计算机，我们就认为，这种登录是安全的。
既是被中途截获，密码也不会泄露。

最早的时候，互联网通信都是明文通信，一旦被截获，内容就暴露无疑。1995年，芬兰学着Tatu Ylonen
设计了SSH协议，将登录信息全部加密，称为互联网安全的一个基本解决方案，迅速在全世界获得推广。
目前已经称为Linux系统的标准配置。

需要指出的是，SSH只是一种协议，存在多种实现，既有商业实现，也有开源实现。本文针对的实现是
OpenSSH，它是自由软件，应用非常广泛。

SSH之所以能够保证安全，原因在于它采用了公钥加密。

整个过程是这样的。

• 远程主机收到用户的登录请求，把自己的公钥发给用户。

• 用户使用这个公钥，将登录密码加密之后，发送回来。

• 远程主机用自己的私钥，解密登录密码。如果密码正确，就同意用户登录。

ssh 公钥登录

使用密码登录，每次都必须输入密码，非常麻烦。好在SSH还提供了公钥登录，可以省去输入密码的步骤。

所谓“公钥登录”，原理很简单，就是用户将自己的公钥存在远程主机上。登录的时候，远程主机会向用户
发送一段随机字符串，用户用自己的私钥加密后，再发回来。远程主机用事先存储的公约进行解密，如果
成功，就证明用户是可信的，直接允许登录shell，不再要求密码。

这种方法要求用户必须提供自己的公约，如果没有现成的，直接使用ssh-keygen 生成一个。

authorized_keys文件

远程主机将用户的公钥，保存在登录后的用户主目录的$HOME/.ssh/authorized_keys文件中。
公钥是一段字符串，只要把它追加在authorized_keys 文件的末尾就行！

参考

SSH原理与运用（一）：远程登录