Publick Key认证简介

Publick Key认证的主要魅力在于认证时承诺不必提供密码就能够同远程系统建立连接。Publick Key认证的基础在于一对密钥,public key和private key,public key对数据进行加密而且只能用于加密,private key只能对所匹配的public key加密过的数据进行解密。我们把public key放在远程系统合适的位置,然后从本地开始进行ssh连接。此时,远程的sshd会产生 一个随机数并用我们产生的public key进行加密后发给本地,本地会用private key进行解密并把这个随机数发回给远程系统。最后,远程系统的sshd会得出结论 我们拥有匹配的private key允许我们登录。

1. 如果 private key 用 passphrase 加了密,可以运行 pageant.exe。运行后,在 system tray 里面就会出现一个戴着帽子的图标。双击这个图标,就会有一个对话框出现。但击 Add Key,然后选择加了密的 private key,单击 Open 后,就会出现另一个对话框问你要这个 private key 的 passphrase。输入 passphrase 并单击 OK 后,在第一个对话框里面就会出现这个 key 的信息,表示这个 key 已经被加上了。

打开 putty ,load 要用该 key 的 session,然后在左面的菜单里,选择 connection,然后在右面的 Auto-login username 里面填入你的用户名,在 Connection->SSH->Auth->Private key file for authentication 里面,填入上面的 private key 文件(这步与 cAreLeSs 的第 6 步相同)。再回到session,将所作的变化保存下来。从此以后,这个 session 就不会提示输入 password 或 passphrase 了,包括用 psftp 时也是。

  制造密钥

putty套装的puttygen来产生密钥。密钥的类型建议选择SSH2 RSA,因为用的最为广泛,大多数server支持。密钥的位数选择1024对大多数用户已经足够,除非你觉得还是不安全。然后点击”Generator”,此时密钥生成当然也有几个选项出现。如果你有不止一个key,你可以在“Key comment”作注释用于区别其他的key。“Key passphrase“和“Confirm passphrase“用于对硬盘上的key进行加密,如过你自己一个人用机器觉得安全有保障的话可以让它们为空。然后保存两个key。不要关掉 puttygen,它还有用呢。

  输送public key到远程系统

在远程系统自己的目录下建立目录”.ssh”,然后进入目录建立一个新文件authorized_keys,然后把puttygen 中”Public key for pasting into authorized_keys file”粘贴于authorized_keys这个文件中。然后执行以下命令:

chmod 700 $HOME/.ssh

chmod 600 $HOME/.ssh/authorized_keys

chmod g-w $HOME $HOME/.ssh $HOME/.ssh/authorized_keys

  测试

执行putty,建立一个session命名为ssh,设定ip,协议设为ssh,Connection设定ssh的auth中,private key的文件选择为puttygen产生的密钥。

连接开始后,要求输入username,远程系统开始public key认证,如果密钥有passphrase则需要输入,否则直接就登录了。