ssh转发代理：sshagent使用详解

大家好，关于ssh转发代理：sshagent使用详解很多朋友都还不太明白，今天小编就来为大家分享关于的知识，希望对各位有所帮助！

但是，如果执行ssh命令的主机上保存了多组密钥，并且将每组公钥分发到不同的远程主机上，那么即使使用公钥认证，仍然需要输入密码，因为ssh客户端不知道要读取哪个私钥来与远程主机上的公钥相匹配。

看下图描述的情况：

上面描述的情况是这样的：ssh客户端需要管理web服务器组和mysql服务器组，并且ssh客户端需要为这两个组中的主机使用不同的密钥对。例如，要连接到Web 服务器组中的主机，请使用密钥集~/.ssh/id_rsa_1。要连接到mysql 服务器组中的主机，请使用密钥集~/.ssh/id_rsa_2。

因此，id_rsa_1.pub被分发到web服务器组中的每个主机，id_rsa_2.pub被分发到mysql服务器组中的每个主机：

123456$ ssh-copy-id -i ~/.ssh/id_rsa_1.pub root@webserver1$ ssh-copy-id -i ~/.ssh/id_rsa_1.pub root@webserver2$ ssh-copy-id -i ~/. ssh/id_rsa_1.pub root@webserver3$ ssh-copy-id -i ~/.ssh/id_rsa_2.pub root@mysqlserver1$ ssh-copy-id -i ~/.ssh/id_rsa_2.pub root@mysqlserver2$ ssh-copy -id -i ~/.ssh/id_rsa_2.pub root@mysqlserver3 这一切都很顺利，但是一连接，我发现仍然需要密码：

12345$ ssh root@webserver1 快速输入root@webserver的密码： $ ssh root@mysqlserver1 快速输入root@mysqlserver的密码：这是因为当ssh客户端连接到webserver1时，除了默认会读取的标准私钥文件id_rsa（或其他密钥类型）之外，它不会自动读取任何文件。连接mysqlserver1也是如此。

正确的连接方式是在连接时指定使用哪个私钥进行配对：

12$ ssh -i ~/.ssh/id_rsa_1 root@webserver1$ ssh -i ~/.ssh/id_rsa_2 root@mysqlserver1 太高兴了，终于连接上了。但这很恶心，而且你必须指定连接私钥。

不仅如此，如果私钥是加密的（passphrase），则在指定私钥时必须输入passphrase密码。

ssh-agent 是做什么的？

程序员对这种连接方式非常不满意，于是他创建了一个中间私钥管理器ssh-agent：难道你不知道如何配对吗？我会帮你做的。而且这个功能对于程序员来说太简单了。

我在ssh身份认证阶段解释过，ssh认证过程其实就是客户端（ssh命令端）读取自己的私钥并推导出指纹并发送给服务器（sshd端）。服务器还使用自己保存的公钥。比较密钥派生指纹。如果指纹相同，则说明服务器的公钥和客户端的私钥是匹配的。以下是公钥和私钥的指纹计算方法：

1234$ ssh-keygen -l -f ~/.ssh/id_rsa_22048 2c:e9:70:a8:f5:8d:87:9f:8c:de:cf:cf:14:f4 :40:52 root@xuexi.longshuai.com (RSA)$ ssh-keygen -l -f ~/.ssh/id_rsa_2.pub 2048 2c:e9:70:a8:f5:8d:87:9f:8c3336 0de:cf:cf:14:f4:40:52 root@xuexi.龙帅。 com（RSA）密钥认证过程是理解ssh-agent的关键。

ssh-agent的主要功能大致描述如下：

使用ssh-agent 和ssh-add

首先运行ssh-agent：

分段阅读_第1234 章导出SSH_AUTH_SOCK;SSH_AGENT_PID=28162;导出SSH_AGENT_PID;回显代理pid 28162;输出清楚地表明了几个环境变量已经导出，并且还可以知道ssh -agent 使用Unix Domain 套接字在本机上监听，其pid 为28162，此时可以直接使用kill 28162 杀死该进程。更直接的方法是使用ssh-agent -k，它会根据当前环境变量SSH_AGENT_PID 杀死进程。

不幸的是，上面的ssh-agent虽然运行成功，但是两个环境变量并没有导出，上面的结果只显示给用户。所以更多时候是使用eval来执行ssh-agent，这样这些环境变量也被导出：

12345# 先杀死ssh-agent$kill 28162$ eval `ssh-agent`Agent pid 28173 在ssh 客户端运行ssh-agent 后，可以使用ssh-add 命令将私钥添加到ssh-agent（如果私钥（如果使用passhprase密码，则需要输入密码一次）。

123$ ssh-add$ ssh-add ~/.ssh/id_rsa_1$ ssh-add ~/.ssh/id_rsa_2 默认会添加~/.ssh/下的所有私钥文件(~/.ssh/id_rsa,ssh/id_dsa、~/.ssh/id_ecdsa、~/.ssh/id_ed25519、~/.ssh/identity），也可以指定要添加的文件。正如上面给出的例子。

ssh-add命令查找当前环境变量SSH_AUTH_SOCK的值并向对应的socket发送add请求，所以这个socket环境变量非常重要。

然后使用公钥认证直接连接目标主机：

1234567$ ssh root@webserver1$ ssh root@webserver2$ ssh root@webserver3$ ssh root@mysqlserver1$ ssh root@mysqlserver2$ ssh root@mysqlserver3 ssh-agent的痛点及解决方案

ssh-agent 的工作取决于环境变量SSH_AUTH_SOCK 和SSH_AGENT_PID。只要没有ssh-agent与这两个环境变量配对，不同用户、不同终端将无法使用agent进程。如果要使用代理，必须首先在自己的shell 中设置这两个环境变量。

另外，需要注意的是，以eval `ssh-agent` 启动会直接让ssh-agent 在后台工作。它将成为自己的进程组。其父进程或终端退出后，仍会锚定在init/systemd下的pid=1。 ssh-agent 的工作取决于环境变量SSH_AUTH_SOCK 和SSH_AGENT_PID。这两个环境变量在shell 或终端退出后消失，使得之前运行的ssh-agent 冗余地保留在后台。

其实我们可以根据已有的ssh-agent自行推导这两个环境变量。如果ssh-agent进程还存在，则/tmp/目录下一定有对应的socket文件（除非启动ssh-agent时自定义了socket路径）。

12345$ tree /tmp/ssh* /tmp/ssh-q3tM0FzpCcdUagent.28629/tmp/ssh-SkKrrkK6qLDqagent.28817 这样就已经获取了环境变量SSH_AUTH_SOCK的值。然后根据agent.ppid中的ppid值，加1，就是其子进程ssh-agent进程的PID值。例如，如果要使用上面agent.28629对应的ssh-agent，则设置：

12export SSH_AUTH_SOCK=/tmp/ssh-q3tM0FzpCcdU/agent.28629export SSH_AGENT_PID=28630 我们可以自己写一个脚本来自动获取和设置这些环境变量。

不过，有人已经使用shell 脚本提供了更完整的解决方案：https://github.com/wwalker/ssh-find-agent。

下载ssh-find-agent.sh脚本并将其放在某个目录中。比如直接放在/etc/profile.d目录下，然后赋予执行权限：

12$ wget https://raw.githubusercontent.com/wwalker/ssh-find-agent/master/ssh-find-agent.sh -O /etc/profile.d/ssh-find-agent.sh$ chmod +x /etc/profile .d/ssh-find-agent.sh 之后，只需在新终端或与ssh-agent 进程失去联系的shell 中执行即可（如果是在旧终端上，则需要先获取shell 脚本））：

$ ssh-find-agent -a 会自动查找第一个ssh-agent进程并配置相关环境变量：

12345$ ssh-find-agent -a$ echo $SSH_AUTH_SOCK/tmp/ssh-SkKrrkK6qLDq/agent.28817$ echo $SSH_AGENT_PID28818 不给出任何参数的ssh-find-agent 函数会列出当前可以找到的ssh-agent 进程相关环境变量和数字。

123$ ssh-find-agentexport SSH_AUTH_SOCK=/tmp/ssh-q3tM0FzpCcdU/agent.28629 #1) export SSH_AUTH_SOCK=/tmp/ssh-SkKrrkK6qLDq/agent.28817 #2) 使用ssh-find-agent 的-c 选项手动选择要使用的ssh-agent 进程。

如果你不知道当前是否有ssh-agent，可以使用以下方法：

$ ssh-find-agent -a || eval $(ssh-agent) /dev/null 这会在找不到ssh-agent 时自动打开它。

在ssh-agent 中管理私钥

ssh-agent 命令的选项：

123456789101112131415-a bind_address 指定运行时绑定到ssh-agent 的Unix 域套接字路径。默认是`$TMPDIR/ssh-xxx/agent.ppid` -c -s 指定ssh-agent运行时输出的内容(那些环境变量) 是csh还是bash格式的语句-d 调试模式-k 杀掉pid `SSH_AGENT_PID`环境变量指定的进程-t life 指定ssh-agent 中私钥（指纹）的有效期。默认单位是秒，可以指定m（分钟）、h（小时）、d（天）、w（周）。如果不指定，则永久有效。有效期可以被ssh-add 指定的有效期选项和ssh-add 命令的选项（部分选项）覆盖：