Statt mit User-ID und Passwort kann man sich auch mittels Public Key Verfahren am ssh-Dienst authentifizieren. Dabei wird der öffentliche Schlüssel auf das System kopiert, auf das zugegriffen werden können soll.

Erzeugen eines Schlüsselpaares auf dem Rechner, von dem aus auf den bzw. die Zielrechner zugegriffen werden soll:

ssh-keygen -t dsa

Kopieren des öffentlichen Schlüssels auf den Zielrechner (in die Datei ~/.ssh/authorized_keys):

ssh-copy-id -i ~/.ssh/id_dsa.pub user@zielrechner

Wenn Sie das Schlüsselpaar ohne Passphrase erzeugen, sollte niemand Unbefugtes auf den Rechner zugreifen können, auf dem der geheime Schlüssel ungeschützt liegt. Wenn Sie eine Passphrase benutzen, können Sie mit dem SSH-Agent die “Passphrasen-Eintipperei” erleichtern:

ssh-add

fragt die Passphrase einmal pro Session ab. Mit den Paketen ssh-askpass (KDE) bzw. ssh-askpass-gnome auch grafisch.

• Auch Skripte können sich remote anmelden, ohne daß ein Passwort hinterlegt sein muß
• Kein Eintippen eines Passwortes bei einer Anmeldung erforderlich (dafür ggf. eine Passphrase zum entschlüsseln des geheimen Schlüssels, was wiederum automatisiert werden kann)
• Guter Schutz vor Wörterbuch-Angriffen auf den ssh-Dienst, da Passwort extrem kryptisch gewählt werden kann (z.B. zu erzeugen mit pwgen)
• erhöhte Sicherheit, weil statt des Erratens eines Passwortes der Besitz des geheimen Schlüssels und das Wissen der Passphrase erforderlich ist (allerdings nur, wenn das Passwort-Login abgeschaltet wird oder das Passwort extrem schwer zu erraten ist, siehe voriger Punkt)