手册页部分 1M: 系统管理命令

退出打印视图

更新时间: 2014 年 7 月
 
 

ssh-keysign(1M)

名称

ssh-keysign - 用于基于主机的验证的 ssh 帮助程序

用法概要

ssh-keysign 

描述

在使用 SSH 协议版本 2 进行基于主机的验证期间,ssh(1) 使用 ssh-keysign 访问本地主机密钥并生成所需的数字签名。除了其他项外,此签名数据中还包括客户机主机的名称和客户机用户的名称。

ssh-keysign 在缺省情况下处于禁用状态,只能通过在全局客户机配置文件 /etc/ssh/ssh_config 中将 HostbasedAuthentication 设置为 yes 来将其启用。

ssh-keysign 未设计为由用户调用,而是通过 ssh 调用。有关基于主机的验证的更多信息,请参见 ssh(1)sshd(1M)

文件

/etc/ssh/ssh_config

控制是否启用 ssh-keysign

/etc/ssh/ssh_host_dsa_key
/etc/ssh/ssh_host_rsa_key

这些文件包含用于生成数字签名的主机密钥的私有部分。它们应该由 root 用户所有,仅可由 root 用户读取,其他人不可访问。由于它们仅可由 root 用户读取,因此,如果使用基于主机的验证,ssh-keysign 必须为 set-uid root 用户。

安全

在以下情况下,ssh-keysign 不会对基于主机的验证数据进行签名:

  • /etc/ssh/ssh_config 中的 HostbasedAuthentication 客户机配置参数未设置为 yes。无法在用户的 ~/.ssh/ssh_config 文件中覆盖此设置。

  • /etc/ssh/ssh_config 中的客户机主机名和用户名与调用 ssh-keysign 的客户机规范主机名和调用 ssh-keysign 的用户名不匹配。

尽管 ssh-keysign 对基于主机的验证数据进行了限制,但用户仍能够将其用作获取客户机的专用主机密钥的途径。因此,缺省情况下关闭基于主机的验证。

属性

有关下列属性的说明,请参见 attributes(5)

属性类型
属性值
可用性
network/ssh
接口稳定性
Committed(已确定)

另请参见

ssh(1)sshd(1M)ssh_config(4)attributes(5)

作者

作者

Markus Friedl,markus@openbsd.org

历史

历史

ssh-keysign 最初出现在 Ox 3.2 中。