【Linux】SSH 使用密码公钥远程登录总结

本文是笔者查阅网上资料做的总结，关于SSH原理，什么是对称加密和非对称加密，本文不过多介绍。这里介绍一下SHH的工作过程、配制方法，可能出现的问题及解决方法。
说明：本文中涉及的例子，SSH客户端为：本地主机A，SSH服务器为：服务器B

SSH协议采用C-S（客户端-服务器端）架构进行双方的身份验证以及数据的加密。
服务器端组件监听指定的端口，负责安全连接的建立、对连接方的身份认证、以及为通过身份认证的用户建立正确的环境。
客户端负责发起最初的TCP握手、安全连接的建立、验证服务器的身份与之前记录中的一致、并将自己的验证信息提供给服务器。
一个SSH会话的建立过程分为两个阶段。第一阶段，双方沟通并同意建立一个加密连接通道以供后续信息传输用。第二阶段，对请求接入的用户进行身份验证以确定服务器端是否要给该用户开放访问权限。

当客户端发起TCP连接时，服务器端返回信息说明自己支持的协议版本，如果客户端上支持的协议与之匹配，则连接继续。服务器会提供自己的公共主机密钥（public host key）以让客户端确认自己访问的是正确的机器。

然后，双方采用一种Diffie-Hellman算法共同为该会话建立密钥。每一方的一部分私有数据，加上来自对方的一部分公共数据，通过这种算法计算，能够得出完全相同的密钥用于本次会话。

整个会话的通讯内容都使用该密钥进行加密。这个阶段使用的公钥/私钥对与用户验证身份用的SSH密钥是完全无关的。

经典Diffie-Hellman算法的计算步骤如下：

这个共享密钥的加密方式被称为二进制数据包协议（binary packet protocol）。该过程能够让双方平等的参与密钥生成的过程，而不是由单方掌握。这种共享密钥生成的过程是安全的，双方没有交换过任何未经加密的信息。

生成的密钥是对称式密钥，一方用于加密信息的密钥等同于另一方用于解密信息的密钥，而任何第三方由于不持有该密钥，是无法解密双方传递的内容的。

会话加密通道建立后，SSH开始进入用户认证阶段。

下一步，服务器验证用户身份以决定是否准许其访问。验证有不同的方式，选择的验证方式取决于服务器的支持。

最简单的验证是密码验证：服务器要求客户端输入密码，客户端输入的密码经过上述的通道加密传输给服务器。

虽然密码是加密过的，然而该方法仍然不被推荐，因为用户经常为了省事而使用过于简单的密码，而这类密码很容易就能够被自动化脚本破解。

最流行的验证方式是SSH密钥对，这也是当前最推荐的方式。SSH密钥对是非对称密钥，私钥和公钥分别用于不同的功能。

公钥用于加密，而私钥用于解密。公钥可以随意上传、共享，因为公钥的流通并不会危及到私钥的保密性。

SSH密钥对的验证过程起始于上一部分加密通道建立之后，其具体执行步骤如下：

简单来说，服务器端用公钥加密信息，客户端用私钥解密信息以证明自己持有私钥。该过程同时使用了对称加密和非对称加密，两种方式各有自己的功用。

命令如下：

用户名：为要登录的服务器B中已存在的用户账户名
IP地址：为服务器B的IP地址
-p 端口号：用来指定端口号，默认为22

第一次登录时，会提示如下提示：

大概意思是说，你正在访问的主机不能验证它的真实性，它的RSA key（当前访问主机的公钥）指纹是怎样的，你确定要继续连接吗？
输入yes继续，会提示，已永久把当前访问主机的RSA key添加到了已知主机文件（用户目录下，ssh 文件夹中的knwon_hosts文件）中。之后再次 SSH 登录就不再有该提示了。
接着，输入登录账户的密码即可。

SSH 密码登录，需要服务器开启密码验证权限，编辑服务器SSH配置命令如下：

在 sshd_config 文件中，Protocol 2 下面 #PasswordAuthentication yes，将前面的#号去掉，保存退出。

公钥登录，即免密码登录。避免的每次登录都要输入的麻烦，也防止了中间人攻击。是SSH远程登录最常用的登录方式。

提示输入密钥对名称，直接回车，使用默认名称即可；
提示输入密码（使用私钥时，要输入密码），直接回车，不使用密码即可。

首先，登录服务器B，在进行下面的 *** 作。

找到 #PubkeyAuthentication yes，删除 #号，保存退出。

重启 ssh 服务

也可指定验证私钥：

本地主机A，生成密钥对后：

sudo vim /etc/selinux/config

SSH连接Linux需要使用SSH客户端（常用有putty，Xshell，此处以Xshell为例）

1安装好Xshell打开软件。

2点击file-new，输入自定义的名称，和要访问的linux的地址。

3再输入用户名和密码。

4若出现以下提示，则表示链接成功。

5以后若要再链接已经设置过的地址，点击file-open，会出现所有链接地址，双击即可。

允许。
学校允许校园网内设备搭建ssh服务保护并且有助于防止欺骗，“中间人”攻击，以及数据包监听。通过使用SSH把所有传输的数据进行加密，这样“中间人”这种攻击方式就不可能实现了，而且也能够防止DNS和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。
ssh服务器是一种网络安全协议，通过加密和认证机制实现安全的访问和文件传输等业务。

基于SSH协议开发的一款远程管理服务程序通常被称为SSH服务器（SSH Server），它是一种可以在远程计算机上运行的软件，用于提供SSH协议的访问和管理功能。
SSH（Secure Shell）是一种安全的网络协议，它可以通过加密通信方式实现远程计算机与客户端之间的安全通信。基于SSH协议开发的远程管理服务程序，可以使用SSH协议连接到远程计算机，并提供以下功能：
1 远程登录：用户可以通过SSH协议连接到远程计算机，并执行命令或 *** 作远程计算机。这种连接方式可以保证通信过程中不被窃听或篡改。
2 文件传输：SSH服务器可以支持SCP（Secure Copy）或SFTP（SSH File Transfer Protocol）文件传输协议，用户可以使用这些协议将文件从本地计算机传输到远程计算机或从远程计算机下载文件到本地计算机。
3 用户管理：SSH服务器可以通过配置访问控制列表（ACL）限制用户访问权限，还可以限制用户对系统的 *** 作权限，并记录所有的用户登录和 *** 作日志。
4 系统管理：SSH服务器可以提供一些系统管理工具，例如远程终端程序、进程监控、系统日志查看等。
一些常见的基于SSH协议开发的远程管理服务程序包括OpenSSH、PuTTY SSH、Tectia SSH等。这些程序通常在Linux、Unix和Windows等平台上都可以运行。

命令格式： ssh [-p port] user@remote
user 是在远程机器上的用户名，如果不指定的话默认为当前用户
remote 是远程机器的地址，可以是 IP／域名，或者是 后面会提到的别名
port 是 SSH Server 监听的端口，如果不指定，就为默认值 22
ssh 这个终端命令只能在 Linux 或者 UNIX 系统下使用
如果在 Windows 系统中，可以安装 PuTTY 或其它远程 连接软件即可
在工作中，SSH 服务器的端口号很有可能不是 22，如果遇到这种情况就需要使用 -p 选项，指定正确的端口号，否则无法正常连接到服务器。相关内容黑马程序员软件测试的基础班都有，你要想学的话，基础班有活动的话还免费。有人带着之后基本上自己就有方向了。

---