# 实例命令 ``` cd ~/.ssh ssh-keygen -t rsa -P 'asdfasdf' cat id_rsa.pub >> authorized_keys chmod 600 authorized_keys sz id_rsa #id_rsa就是私钥文件,需要登录的时候使用。注意:authorized_keys文件权限必须是600 ``` 通常,通过ssh登录远程服务器时,使用**密码认证**,分别输入用户名和密码,两者满足一定规则就可以登录。但是密码认证有以下的缺点: * 用户无法设置空密码(即使系统允许空密码,也会十分危险) * 密码容易被人偷窥或猜到 * 服务器上的一个帐户若要给多人使用,则必须让所有使用者都知道密码,导致密码容易泄露,而且修改密码时必须通知所有人 而使用**公钥认证**则可以解决上述问题。 * 公钥认证允许使用空密码,省去每次登录都需要输入密码的麻烦 * 多个使用者可以通过各自的密钥登录到系统上的同一个用户 # 公钥认证的原理 所谓的**公钥认证**,实际上是使用一对加密字符串,一个称为**公钥**(public key),任何人都可以看到其内容,用于加密;另一个称为**密钥**(private key),只有拥有者才能看到,用于解密。通过公钥加密过的密文使用密钥可以轻松解密,但根据公钥来猜测密钥却十分困难。 ssh 的公钥认证就是使用了这一特性。服务器和客户端都各自拥有自己的公钥和密钥。为了说明方便,以下将使用这些符号。 | Ac | 客户端公钥 | | Bc | 客户端密钥 | | As | 服务器公钥 | | Bs | 服务器密钥 | 在认证之前,客户端需要通过某种方法将公钥 Ac 登录到服务器上。 认证过程分为两个步骤。 1. 会话密钥(session key)生成 1. 客户端请求连接服务器,服务器将 As 发送给客户端。 2. 服务器生成**会话ID**(session id),设为 p,发送给客户端。 3. 客户端生成**会话密钥**(session key),设为 q,并计算 r = p xor q。 4. 客户端将 r 用 As 进行加密,结果发送给服务器。 5. 服务器用 Bs 进行解密,获得 r。 6. 服务器进行 r xor p 的运算,获得 q。 7. 至此服务器和客户端都知道了**会话密钥**q,以后的传输都将被 q 加密。 2. 认证 1. 服务器生成随机数 x,并用 Ac 加密后生成结果 S(x),发送给客户端 2. 客户端使用 Bc 解密 S(x) 得到 x 3. 客户端计算 q + x 的 md5 值 n(q+x),q为上一步得到的会话密钥 4. 服务器计算 q + x 的 md5 值 m(q+x) 5. 客户端将 n(q+x) 发送给服务器 6. 服务器比较 m(q+x) 和 n(q+x),两者相同则认证成功