'\" te
.\" Copyright (c) 2003, Sun Microsystems, Inc. All Rights Reserved
.TH ssh-keysign 1M "2004 年 6 月 9 日" "SunOS 5.11" "系统管理命令"
.SH 名称
ssh-keysign \- 用于基于主机的验证的 ssh 帮助程序
.SH 用法概要
.LP
.nf
\fBssh-keysign\fR 
.fi

.SH 描述
.sp
.LP
在使用 SSH 协议版本 2 进行基于主机的验证期间，\fBssh\fR(1) 使用 \fBssh-keysign\fR 访问本地主机密钥并生成所需的数字签名。除了其他项外，此签名数据中还包括客户机主机的名称和客户机用户的名称。
.sp
.LP
\fBssh-keysign\fR 在缺省情况下处于禁用状态，只能通过在全局客户机配置文件 \fB/etc/ssh/ssh_config\fR 中将 \fBHostbasedAuthentication\fR 设置为 \fByes\fR 来将其启用。
.sp
.LP
\fBssh-keysign\fR 未设计为由用户调用，而是通过 \fBssh\fR 调用。有关基于主机的验证的更多信息，请参见 \fBssh\fR(1) 和 \fBsshd\fR(1M)。
.SH 文件
.sp
.ne 2
.mk
.na
\fB\fB/etc/ssh/ssh_config\fR\fR
.ad
.RS 29n
.rt  
控制是否启用 \fBssh-keysign\fR。
.RE

.sp
.ne 2
.mk
.na
\fB\fB/etc/ssh/ssh_host_dsa_key\fR\fR
.ad
.br
.na
\fB\fB/etc/ssh/ssh_host_rsa_key\fR\fR
.ad
.RS 29n
.rt  
这些文件包含用于生成数字签名的主机密钥的私有部分。它们应该由 root 用户所有，仅可由 root 用户读取，其他人不可访问。由于它们仅可由 root 用户读取，因此，如果使用基于主机的验证，\fBssh-keysign\fR 必须为 \fBset-uid\fR root 用户。
.RE

.SH 安全
.sp
.LP
在以下情况下，ssh-keysign 不会对基于主机的验证数据进行签名：
.RS +4
.TP
.ie t \(bu
.el o
\fB/etc/ssh/ssh_config\fR 中的 \fBHostbasedAuthentication\fR 客户机配置参数未设置为 \fByes\fR。无法在用户的 \fB~/.ssh/ssh_config\fR 文件中覆盖此设置。
.RE
.RS +4
.TP
.ie t \(bu
.el o
\fB/etc/ssh/ssh_config\fR 中的客户机主机名和用户名与调用 \fBssh-keysign\fR 的客户机规范主机名和调用 \fBssh-keysign\fR 的用户名不匹配。
.RE
.sp
.LP
尽管 \fBssh-keysign\fR 对基于主机的验证数据进行了限制，但用户仍能够将其用作获取客户机的专用主机密钥的途径。因此，缺省情况下关闭基于主机的验证。
.SH 属性
.sp
.LP
有关下列属性的说明，请参见 \fBattributes\fR(5)：
.sp

.sp
.TS
tab() box;
cw(2.75i) |cw(2.75i) 
lw(2.75i) |lw(2.75i) 
.
属性类型属性值
_
可用性network/ssh
_
接口稳定性Committed（已确定）
.TE

.SH 另请参见
.sp
.LP
\fBssh\fR(1)、\fBsshd\fR(1M)、\fBssh_config\fR(4)、\fBattributes\fR(5)
.SH 作者
.sp
.LP
Markus Friedl，\fBmarkus@openbsd.org\fR
.SH 历史
.sp
.LP
\fBssh-keysign\fR 最初出现在 Ox 3.2 中。