ssh-keygen 是一个用于生成 SSH 密钥对的工具，通常用于 SSH（Secure Shell）协议的密钥认证。SSH 密钥对包括一个公钥和一个私钥，用于增强 SSH 登录的安全性，避免使用明文密码登录服务器。以下是关于 ssh-keygen 的详细说明：

1. SSH 密钥对的作用

• 公钥（Public Key）：可以公开分发给服务器或其他客户端。服务器会将公钥存储在用户的授权文件（如 ~/.ssh/authorized_keys）中。

• 私钥（Private Key）：必须严格保密，只有用户自己保存。私钥用于解密服务器发送的加密信息，从而验证用户的身份。

• 工作原理：

  • 当客户端尝试通过 SSH 登录服务器时，服务器会向客户端发送一个加密的挑战信息。

  • 客户端使用私钥解密该挑战信息，并将解密后的结果发送回服务器。

  • 服务器验证解密结果是否正确，从而确认客户端的身份。

2. 使用 ssh-keygen 生成密钥对

基本命令

bash复制

ssh-keygen

• 默认行为：

  • 默认情况下，ssh-keygen 会生成一个 2048 位的 RSA 密钥对。

  • 公钥保存在 ~/.ssh/id_rsa.pub 文件中。

  • 私钥保存在 ~/.ssh/id_rsa 文件中。

常用选项

• 指定密钥类型：

  • -t：指定密钥类型，如 rsa、dsa、ecdsa、ed25519 等。

    • RSA：最常用的密钥类型，推荐使用 2048 位或更高。

    • Ed25519：一种较新的密钥类型，安全性更高，推荐使用。

    • 示例：

      bash复制

      ssh-keygen -t rsa -b 2048
      ssh-keygen -t ed25519

• 指定文件名：

  • -f：指定密钥文件的保存路径。

    • 示例：

      bash复制

      ssh-keygen -t rsa -b 2048 -f ~/.ssh/my_custom_key

      这会生成 ~/.ssh/my_custom_key（私钥）和 ~/.ssh/my_custom_key.pub（公钥）。

• 设置密码（可选）：

  • 在生成密钥对时，系统会提示用户输入一个密码（passphrase）。如果设置了密码，每次使用私钥时都需要输入该密码，从而增加安全性。

  • 如果不输入密码，直接按回车键，则私钥无需密码即可使用。

3. 将公钥添加到服务器

生成密钥对后，需要将公钥添加到目标服务器的 ~/.ssh/authorized_keys 文件中，以便使用密钥登录。

方法 1：手动复制

1. 在本地机器上查看公钥内容：

   bash复制

   cat ~/.ssh/id_rsa.pub

2. 将公钥内容复制到服务器的 ~/.ssh/authorized_keys 文件中：

   bash复制

   ssh user@server
   mkdir -p ~/.ssh
   chmod 700 ~/.ssh
   echo "your_public_key_content" >> ~/.ssh/authorized_keys
   chmod 600 ~/.ssh/authorized_keys

方法 2：使用 ssh-copy-id

ssh-copy-id 是一个方便的工具，可以自动将公钥复制到服务器的 ~/.ssh/authorized_keys 文件中。

bash复制

ssh-copy-id user@server

• 运行该命令时，系统会提示输入服务器的密码。输入密码后，公钥将自动添加到服务器。

4. 使用密钥登录服务器

完成上述步骤后，可以使用密钥登录服务器：

bash复制

ssh -i ~/.ssh/my_custom_key user@server

• -i：指定私钥文件路径。

• 如果私钥文件是默认路径（如 ~/.ssh/id_rsa），则无需指定 -i 参数。

5. 注意事项

• 保护私钥：私钥文件（如 ~/.ssh/id_rsa）必须严格保密，建议设置文件权限为 600：

  bash复制

  chmod 600 ~/.ssh/id_rsa

• 备份密钥：建议将私钥文件备份到安全的地方，以防丢失。

• 密钥类型选择：推荐使用 ed25519 或高位数的 RSA 密钥，以确保安全性。

通过使用 ssh-keygen 生成密钥对并配置密钥登录，可以显著提高 SSH 登录的安全性，避免使用明文密码带来的风险。