用密钥登录linux服务器

周海汉/文 2009.2.13

登录linux时省去输入用户名和密码，这样可以“偷懒”。最偷懒的方式是将sshd_config里面配置允许空密码。
但这样就好像“北京欢迎你”所唱的“我家大门常打开”，这可不是好事。尤其某些人，喜欢用root账号，兼职相当于把客厅摆在大

街上。
为什么putty/pietty没有保存密码，自动输入的功能呢？那样本来可以偷一下懒的。不过，putty还是可以不用输密码，那就是采用

rsa/dsa公私钥。而且还能保证安全。当然，本地私钥要保护好，不要被人拷走。也可以将私钥输入密码保护。不过那样达不到偷懒

的目的了。每次登录还得输入打开私钥的密码。当然，其安全性已经与密码交互不可同日而语了。因为私钥是1024位的随机字符串，

破解起来怕得几百年。而我们人能记住的密码，一般就8位以内，还不能包含太多各种无意义字符。
公钥私钥还有别的好处，比如大家使用统一账户登录，但我又不想泄露密码，那么可以分发私钥，用不同的密码保护。

1.生成公钥私钥
$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/zhouhh/.ssh/id_rsa): testa
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in testa.
Your public key has been saved in testa.pub.
The key fingerprint is:
85:97:91:94:4a:21:00:d5:08:e3:cc:b0:63:0b:0f:cf zhouhh@xxxx

将testa拷入/home/zhouhh/.ssh/id_rsa
将testa.pub拷入/home/zhouhh/.ssh/authorized_keys

这两个文件同时可以拷给其他linux机器相应的.ssh目录下。
这时用scp等拷贝文件时也不必输密码了。

2.

用超级用户权限修改/etc/ssh/sshd_config

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile      .ssh/authorized_keys

如果同时修改：
ChallengeResponseAuthentication no
PasswordAuthentication no
UsePAM no
则会禁止采用password登录

重启sshd
service sshd restart

如果不修改.ssh为0700，将打印
Server refused our key

这是为了防止私钥被人拷走设的权限保护。

3.将testa的私钥传到windows下
用putty的puttygen导入该文件，再保存私钥为zhh.ppk,公钥为zhh.pub
因为putty的rsa的私钥和openssh的不兼容，所以要导一下。

4.putty配置ssh的auth的key文件为刚生成的zhh.ppk。
ssh的data也可以将用户名配为登录用户zhouhh，否则putty登录时会提示用户名。

5.连接服务器，不用输入密码直接登录了。