ssh-keysign
在使用 SSH 协议版本 2 进行基于主机的验证期间,ssh(1) 使用 ssh-keysign 访问本地主机密钥并生成所需的数字签名。除了其他项外,此签名数据中还包括客户机主机的名称和客户机用户的名称。
ssh-keysign 在缺省情况下处于禁用状态,只能通过在全局客户机配置文件 /etc/ssh/ssh_config 中将 HostbasedAuthentication 设置为 yes 来将其启用。
ssh-keysign 未设计为由用户调用,而是通过 ssh 调用。有关基于主机的验证的更多信息,请参见 ssh(1) 和 sshd(1M)。
控制是否启用 ssh-keysign。
这些文件包含用于生成数字签名的主机密钥的私有部分。它们应该由 root 用户所有,仅可由 root 用户读取,其他人不可访问。由于它们仅可由 root 用户读取,因此,如果使用基于主机的验证,ssh-keysign 必须为 set-uid root 用户。
在以下情况下,ssh-keysign 不会对基于主机的验证数据进行签名:
/etc/ssh/ssh_config 中的 HostbasedAuthentication 客户机配置参数未设置为 yes。无法在用户的 ~/.ssh/ssh_config 文件中覆盖此设置。
/etc/ssh/ssh_config 中的客户机主机名和用户名与调用 ssh-keysign 的客户机规范主机名和调用 ssh-keysign 的用户名不匹配。
尽管 ssh-keysign 对基于主机的验证数据进行了限制,但用户仍能够将其用作获取客户机的专用主机密钥的途径。因此,缺省情况下关闭基于主机的验证。
有关下列属性的说明,请参见 attributes(5):
|
ssh(1)、sshd(1M)、ssh_config(4)、attributes(5)
Markus Friedl,markus@openbsd.org
ssh-keysign 最初出现在 Ox 3.2 中。