一、ssh密钥登陆原理

ssh登陆原理

SSH（Secure Shell）使用公钥-私钥（非对称）加密技术来实现安全的远程登录和其他网络服务。使用SSH密钥登录时，主要涉及两个关键部分：公钥（public key）和私钥（private key），这一对密钥通过非对称加密算法生成。这里是基本流程：

1. 生成密钥对：在用户端，生成一对密钥，包含一个公钥和一个私钥。公钥是可以公开的，而私钥必须保密。

2. 部署公钥：将生成的公钥放置到远程服务器的特定文件中（通常是~/.ssh/authorized_keys）。这样，带有该公钥的服务器就“认识”了这个密钥对。

3. 认证过程：当用户尝试通过SSH连接服务器时，服务器会用用户提供的公钥对一个随机消息进行加密，然后发送给用户端。用户端使用私钥对消息进行解密，并将解密的消息发送回服务器进行验证。如果验证成功（即私钥正确匹配公钥），用户就被授权登录。

非对称加密

SSH密钥登录原理和非对称加密基本概念紧密相关。这涉及到加密和解密数据所用的不同的密钥：一个公钥和一个私钥。

非对称加密是一种加密方法，它使用一对密钥：公钥和私钥。公钥和私钥是数学相关的一对密钥，公钥可以安全地共享给任何人，而私钥则必须保密。使用公钥加密的数据只能使用对应的私钥解密，反之亦然。这种特性使非对称加密成为实现安全通信的理想选择。

.ssh/文件内容

id_rsa ：私钥，别台机器想登录你，你就把私钥发给它
id_rsa.pub ：为公钥，你想登录别台机器，你就把公钥发给他，并叫他安装到authorized_keys
authorized_keys： 里面记录了服务器授权的所有公钥
known_hosts：ssh会把你每个你访问过计算机的公钥(public key)都记录在~/.ssh/known_hosts

二、服务器配置ssh密钥

1. 生成SSH密钥对

首先，在本地计算机上生成一个SSH密钥对。打开终端或命令行，并运行以下命令：

ssh-keygen -t rsa -b 4096

这将生成一个RSA类型的密钥对（一个公钥和一个私钥），密钥长度为4096位。按照提示操作，你可以为私钥设置密码（推荐，增加安全性）并选择保存密钥对的路径。默认情况下，SSH密钥会被保存在~/.ssh目录下，私钥名为id_rsa，公钥名为id_rsa.pub。

2. 将公钥复制到服务器

接下来，需要将公钥复制到你希望使用密钥登录的Linux服务器上。把公钥的内容复制到./ssh/authorized_keys文件中

cd ~/.ssh 
touch authorized_keys
cat id_rsa.pub >> authorized_keys

配置文件权限

chmod 600 authorized_keys  
chmod 700 ~/.ssh

3. 确认密钥登录

如果一切设置正确，你将能够不需要密码就登录服务器。确认你能够成功登录后，考虑禁用SSH密码认证以增强安全性，只允许密钥认证方式。

4. 禁用密码认证（可选）

在服务器上，编辑SSH配置文件/etc/ssh/sshd_config，找到以下几行并进行修改：

PasswordAuthentication no

ChallengeResponseAuthentication no

UsePAM no

完成修改后，重启SSH服务使配置生效：

sudo systemctl restart sshd

三、本地使用ssh密钥登陆

1. 使用SSH密钥登录

公钥完成复制后，你现在应该能够使用SSH密钥来登录服务器了。只需要运行：

ssh username@server_address

如果你私钥不是保存在默认位置，或者你有多个密钥，可以使用-i选项指定私钥的路径：

ssh -i /path/to/your/privatekey username@server_address

如果你之前为私钥设置了密码，这时会要求你输入密码。