linux公钥登录远程服务器

1、公私钥简介与原理

公钥和私钥都属于非对称加密算法的一个实现，这个加密算法的信息交换过程是：

非对称加密算法不能使用相同的密钥进行解密，也就是说公钥加密的只能使用私钥进行解密。

2、使用密钥进行ssh免密登录

ssh使用私钥登录大致步骤就是：主机A（客户端）创建公钥私钥，并将公钥复制到主机B（被登陆机）的指定用户下，然后主机A使用保存私钥的用户登录到主机B对应保存公钥的用户。

两台主机：

ssh-keygen -t rsa
-t rsa可以省略，默认就是生成rsa类型的密钥

ssh-copy-id -i ~/ssh/id_rsapub root@192168187142

方法二：自己创建文件进行拷贝

使用Putty工具，在“Connection”- “SSH”- “Auth”页面，点击“Browse”按钮，选择刚才生成的私钥文件，然后点击“Open”按钮，即可使用密钥文件远程登录WindowsServer2022服务器。

SSH（Secure Shell）协议为远程登录或其它网络服务（如：sftp、scp）提供安全保障的一种协议。它设计之初的主要目的是替代telnet远程登录协议，由于telnet协议以明文的方式在互联网上传递数据和服务器账户口令，别有用心的人很容易就可以截获得到这些数据和口令。以下是SSH详细的登录过程：

a、版本号协商阶段

服务器端启动ssh服务，并打开22号端口（也可以配置为其它端口），等待客户端链接。客户端向服务器端发起TCP连接。连接建立后，服务器端和客户端开始商议欲使用的协议版本号。如果协商成功，进入密钥和算法协商阶段，否则，断开TCP连接。

b、密钥和算法协商阶段

服务器端和客户端分别向对方发送算法协商报文，其中包括了自己支持的非对称加密算法列表、加密算法列表、消息验证码算法列表、压缩算法列表等。服务器端和客户端根据双方支持的算法得出最终使用的算法（如非对称加密算法是采用RSA，还是DSA）。协商完成后，服务器端将自己的公钥发送给客户端，客户端根据公钥指纹决定是否信任此主机。选择信任此主机后，客户端使用服务器端的公钥将自己生成的会话密钥加密，发送给服务器端。以后的会话内容和口令都通过此会话密钥加密发送。通常，每过一个小时，服务器端和客户端会重新商定会话密钥，以防止会话密钥被暴力破解。

c、认证阶段

基于口令的认证：

客户端采用在算法协商阶段产生的会话密钥加密帐号、认证方法、口令，并将其传送给服务器端。服务器端收到后将其解密后，基于本地账户密码对其判断是否正确。如果正确，成功建立登录连接，否则，向客户端返回认证失败报文，其中包含了可再次认证的方法列表。当登录请求次数达到可允许的尝试上限次数后，服务器端断开本次TCP连接，并限制此帐号连接请求。

基于密钥的认证：

客户端使用ssh-keygen工具在本地家目录的ssh/目录下生成一对密钥（如：公钥id_rsapub、私钥id_rsa）。并将公钥追加保存到将要登录的服务器上的那个帐号家目录的ssh/authorized_keys文件中。客户端使用算法协商阶段生成的会话密钥加密帐号、认证方法、公钥，并将其传送给服务器端。服务器端收到后将解密后的公钥与本地该帐号家目录下的authorized_keys中的公钥进行对比。如果内容不相同，认证失败，否则服务器端生成一段随机字符串，并先后用客户端公钥和会话密钥对其加密，发送给客户端。客户端收到后将解密后的随记字符串用会话密钥加密发送给服务器端。如果发回的字符串与服务器端起先生成的一样，则认证通过，否则，认证失败。

openssh便是SSH的一个开源实现。本文后续部分将简要介绍如何用openssh基于口令和密钥的远程登录。
示例：

# ssh root@17229166218

如果是第一次登录远端主机，系统会出现以下提示：

因为协议本身无法确认远端服务器的真实性，用户自行根据提供的经SHA256算法提取的公钥指纹判断其真实性。如果确认为真，则输入帐号密码以登录服务器端。
a、首先在客户端生成一对密钥

示例：

b、将客户端公钥保存到服务器端

示例：

另外，可以不使用ssh-copy-id命令，改用以下命令，可以更好的理解公钥的保存过程：

c、登录验证

如果仍然无法无口令登录，请检查sshd配置文件/etc/ssh/sshd_config，并将以下几行前面的注释符号取消。

---