ssh建立原理及配置两台主机的远程连接实现免密登陆

一、SSH是什么？具体的实现有哪些？

SSH是一种协议标准

SSH是用在安全远程登录以及其它安全网络服务

二、SSH原理：
SSH为Secure Shell的缩写，默认端口22，由IETF的网络小组（Network Working Group）所制定；SSH为建立在应用层基础上的安全协议。SSH是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。SSH仅仅是一协议标准，其具体的实现有很多，既有开源实现的OpenSSH，也有商业实现方案。使用范围最广泛的当然是开源实现OpenSSH。

三、SSH工作原理(即非对称加密)
在使用前，我们需要分析一个问题：为什么需要SSH？

SSH协议与telnet、ftp等协议主要的区别在于安全性。这就引出下一个问题：如何实现数据的安全呢？首先想到的实现方案肯定是对数据进行加密。加密的方式主要有两种：

对称加密（也称为密钥加密）
非对称加密（也称公钥加密）
对称加密原理：指加密解密使用同一套密钥。对称加密的加密强度高，很难破解。

但是在实际应用过程中不得不面临一个棘手的问题：如何安全的保存密钥呢？尤其是考虑到数量庞大的Client端，很难保证密钥不被泄露。一旦一个Client端的密钥被窃据，那么整个系统的安全性也就不复存在。为了解决这个问题，非对称加密应运而生。

四：生成公钥和私钥的方法：
ssh-keygen -t rsa -P '' -f ~/.ssh/id_rsa
ssh-keygen是用于产生密钥的工具。其中参数：

-t：指定生成密钥的类型（rsa、dsa、ecdsa等）；
-P：指定passphrase，用于确保私钥的安全；
-f：指定存放私钥的文件，公钥文件默认和私钥同目录，只是公钥的文件名是私钥的文件名加后缀.pub；
会在指定目录生成文件id_rsa和id_rsa.pub，其他文件是在使用过程中过生成，可以修改。其中：

id_rsa：存放私钥；
id_rsa.pub：存放公钥；
known_hosts：存放已认证的远程主机的公钥。连接其他服务端时，生成此文件并将其他服务端的公钥追加到此文件中；
authorized_keys：存放已授权的客户端公钥，可用于客户端免登录。当其他客户端想登录此服务端时，新建该文件并将这些客户端的公钥追加到此文件中就可以免密登录；
config：用于配置要快速访问的服务端的别名等配置信息。可配置多个服务端的相关信息，可使用通配符，如果多次匹配以第一次匹配为准，这样就可以使用ssh 别名直接登录。
五：

非对称加密工作原理：

(服务器建立公钥：每一次启动 sshd 服务时，该服务会主动去找 /etc/ssh/ssh_host* 的文件，若系统刚刚安装完成时，由于没有这些公钥，因此 sshd 会主动去计算出这些需要的公钥，同时也会计算出服务器自己需要的私钥。)

1.客户端主动联机请求：若客户端想要联机到 ssh 服务器，则需要使用适当的客户端程序来联机，包括 ssh, putty 等客户端程序连接。

2.服务器传送公钥给客户端：接收到客户端的要求后，服务器便将第一个步骤取得的公钥传送给客户端使用 (此时应是明码传送，反正公钥本来就是给大家使用的)。

3.客户端记录并比对服务器的公钥数据及随机计算自己的公私钥：若客户端第一次连接到此服务器，则会将服务器的公钥记录到客户端的用户家目录内的 ~/.ssh/known_hosts 。若是已经记录过该服务器的公钥，则客户端会去比对此次接收到的与之前的记录是否有差异。若接受此公钥，则开始计算客户端自己的公私钥。

4.回传客户端的公钥到服务器端：用户将自己的公钥传送给服务器。此时服务器：具有服务器的私钥与客户端的公钥，而客户端则是：具有服务器的公钥以及客户端自己的私钥，你会看到，在此次联机的服务器与客户端的密钥系统 (公钥+私钥) 并不一样，所以才称为非对称加密系统。

5.开始双向加解密： (1)服务器到客户端：服务器传送数据时，拿用户的公钥加密后送出。客户端接收后，用自己的私钥解密 (2)客户端到服务器：客户端传送数据时，拿服务器的公钥加密后送出。服务器接收后，用服务器的私钥解密，这样就能保证通信安全。

非对称加密有两个密钥：“公钥”和“私钥”。公钥加密后的密文，只能通过对应的私钥进行解密。而通过公钥推理出私钥的可能性微乎其微。