以下整理 UNIX 系統上面使用 SSH 配合憑證來遠端複製檔案

假設有一台主機叫做 X，多台要被複製檔案的機器是 A, B, C。理論上這種情況下 X 的安全等級應該要高於 A, B, C，不過這並不一定

安全等級的差異牽涉到要由哪台機器去信任哪一台機器

以 A, B, C 去信任 X 為例，作法如下：

在 X 上面用某個帳號產生一組 Private/Public Key，然後把 Public Key 發佈給 A, B, C，要求 A, B, C 去信任這一個 Public Key

更進一步，還能限制這個 Public Key 只能作某項動作…

以下是詳細的作法

[步驟一] 產生 Public/Private Key

先在 X 上面開設一個帳號，例如 backup (或者使用現有的任何一個帳號也可以) 然後使用 ssh-keygen -t dsa 命令產生一組 Private/Public Key，內定會在 .ssh/ 目錄下產生兩個檔案: id_dsa 及 id_dsa.pub (不要設定 passphrase)

由於之後會限制一組 Key 只能作特定一件工作，因此我們再執行一次 ssh-keygen -t dsa 產生另一組 Private/Public Key

記得把 Key 儲存成不同的檔名以供辨識，例如我們可以把 .ssh 目錄下的 Key 更名成:

id_cmd1 id_cmd1.pub => 用來執行命令1

id_cmd2 id_cmd2.pub => 用來執行命令2

[步驟二] 設定信任關係

接下來，我們就可以把 id_cmd1.pub 及 id_cmd2.pub 的內容複製到 A, B, C 上面了

首先在 A 上面，建立特定一個帳號，例如 backup，然後執行 vipw (FreeBSD)，把 password 欄位置換成 * 星號：

backup:*:1010:50::0:0:backup user:/home/backup:/bin/sh

這樣的話，這個帳號雖然擁有 shell，但也不能隨意用 password 來登入了，只能從 local 用 su – backup 或從遠端用 ssh public key 來進入使用

然後把 id_cmd1.pub 及 id_cmd2.pub 合成一個檔案，放在/home/backup/.ssh/authorized_keys 中:

ssh-dss AAAAB3NzaC1kc3MAAACBAPWP8FS0iatXx3z7o/alB1pI8a…. backup@X
ssh-dss AAAAB3NzaC1kc3MAAACBALW8J12p4Jebc5sAPDhiokTy2…. backup@X

這樣寫，代表 A 上面的 backup 這個帳號信任這組 public/private key，任何人持有該相對應的 private key，都可以 ssh 進入 backup 在 A 上面的帳號

既然可以 ssh，當然也可以自由使用 scp 來複製檔案了，而且使用任何一組 Key 都可以進行沒有限制的作業，

例如從 X 上面可以用 ssh 登入 A:

ssh -i /home/backup/.ssh/id_cmd1 backup@A

ssh -i /home/backup/.ssh/id_cmd2 backup@A

[步驟三] 限制只允許特定動作

由於 ssh 的權限太大，而我們只是要複製檔案 (scp) 而已，因此我們可以再作一些限制。

改寫 /home/backup/.ssh/authorized_keys，在每個 key 開頭加上特定指令，例如

command=”scp -f /tmp/backup.tgz”,no-port-forwarding,no-pty ssh-dss AAAAB3NzaC1kc3MAAACBAPWP8FS…. backup@X
command=”scp -t /tmp/info.tgz”,no-port-forwarding,no-pty ssh-dss AAAAB3NzaC1kc3MAAACBALW8J12p4J…. backup@X

上面 scp -f 代表 copy 的來源， scp -t 代表 copy 的目的地，目的地也可以是一個目錄，但是要再加上 -d 選項

這樣的話，不管對方下了什麼指令，A 都只會執行前面 command 內的指令，所以…. X 只能對 A 進行下列兩種工作，而且都要指定正確的 Key 才能完成:

scp -i /home/backup/.ssh/id_cmd1 backup@A:/tmp/backup.tgz backup-A.tgz

scp -i /home/backup/.ssh/id_cmd2 data.tgz backup@A:/tmp/info.tgz

上面 scp -i 就是指定該動作要使用的身份，後面接上相對應的 private key 即可

事實上，由於每個 key 只會被對方的機器允許作特定的事情，因此遠方的目錄及檔案名稱甚至可以省略，例如:

scp -i /home/backup/.ssh/id_cmd1 backup@A: backup-A.tgz

scp -i /home/backup/.ssh/id_cmd2 data.tgz backup@A:

測試沒有問題後，把 authorized_keys 同樣複製一份到 B, C 上面就大功告成了

備註: 如果您要大量複製、備份檔案，請參考另外一篇「使用 SSH 配合憑證來遠端備份檔案 (rsync)」