使用putty(ssh)密匙安全登录服务器

使用putty(ssh)密匙安全登录服务器

  第一步：生成密匙
运行puttygen.exe，选择需要的密匙类型(parameters)和长度(bits)。putty默认使用SSH1协议，长度默认值为1024，

我们暂且选用SSH1协议,后面讨论使用SSH2协议与使用SSH1协议设置上的不同。

点击Generate生成密匙，生成后 的Key passphrase 和 Confirm passphrase 两项可以保持为空 ，passphrase是用来保护私匙的密码，如果没什么特别高的安全要求就不用了，免得登录时还要输入一次密码。后面讨论如果输入passphrase，也可以自动登录系统。点击 Save public key 按钮和 Save private key 按钮分别保存公匙和私匙例如 id_rsa1.pub 和 id_rsa1.prv。

第二步：上传密匙
用自己的帐号登录远程系统，然后执行下面的命令：
cd ~
mkdir .ssh

chmod 700 .ssh
cat id_rsa1.pub > .ssh/authorized_keys

chmod 600 .ssh/authorized_keys

第三步：设置Putty
启动Putty，设置好session的各项参数(如IP address，protocol选择SSH)，然后从左边选择SSH，”Preferred SSH protocol version：”，

这时我们用的是SSH1协议，那么我们就选择协议版本1，再“SSH->Auth”，”Private key file for authentication:”　点击 Browse 按钮，选择 id_rsa1.prv 文件。
再从左边选择 Session，然后点击 Save 按钮把修改保存下来。然后点击Open 按钮就可以登录了。
如果上面的操作都没有问题，那这时应该就自动登录了，无需输入密码。 正常情况下会显示如下：

login as: root

Authenticating with public key "rsa-key-20050328"

Last login: Mon Mar 28 14:39:13 2005 from 192.168.0.2

有了上面第二行的信息，表明你已经正常启用SSH通讯了。

======================================================================
其它问题：

一，使用SSH2协议

如果要用SSH2协议，需要修改一下 /etc/ssh/ssh_config 文件，把＃Protocol 2,1 这一行前面的＃字符去掉，默认也是先是ssh2，

再是ssh1，实际上不除去＃注释也是可以的。

用puttygen.exe生成SSH2协议格式的密匙（操作方法同上），上传到.ssh/authorized_keys文件时，需作如下修改，

因为puttygen.exe和bsd/Linux生成的SSH2密匙格式不一样。

例如puttygen.exe生成的公匙是id_rsa2.pub

[root@mail .ssh]# cat id_rsa2.pub

---- BEGIN SSH2 PUBLIC KEY ----

Comment: "rsa-key-20050328"

AAAAB3NzaC1yc2EAAAABJQAAAIEAtZgDykOOegKu6sCGzxpzA2CwB5o2X37FM4lg

41LXw3DR2/7+aBQNYDez3BWkGIluyfuyWYlw21bEzUiJhJ9/8tX5FUJLBYr/ELtq

jI08dfhHaRjVM8cRQX7fv6jCNIuyEKlml9QuFdIOIX3bS5dkAHkk9GKMgaMISK44

zB4qUfM=

---- END SSH2 PUBLIC KEY ----

而BSD/Linux生成的ssh2格式是

[root@linuxwht .ssh]# cat id_rsa.pub

ssh-rsa AAAB3NzaC1yc2EAAAABIwAAAIEAsD4qEibcK1e9ZgFX6bahxnU/It5MjC/7U56n

OOZ0MDf+LHU7bWo3M6XH/mp1KeTRrHIPtmEl2PTkf9/3NffNtBdAkSJ/sWoPoaeJlShcvK2

wzOsrre4FyJRRUtl2jdCDJxRX0Cu2GV/aNphVQoAuU0lj7/55eladpO8/jr14adE=

所以照着Linux默认的格式改一下就可以了。

如果没有 puttygen.exe，那么可以用 bsd/linux 自带的 ssh-keygen 生成密匙，命令格式如下：
ssh-keygen -b 密匙长度 -t 密匙类型
密匙类型可以是：rsa1 （对应SSH1 RSA）、rsa 和 dsa （对应SSH2）

如：ssh-keygen –b 1024 –t rsa

默认是生成的~/.ssh/id_rsa文件。

不过 ssh-keygen 生成的SSH2密匙和putty的密匙格式不同，无法直接使用，必须用 puttygen.exe 转换一下。

所以大家还是用 rsa1 好了，反正一般用途也没什么区别。  

二，让Putty显示中文

启动putty

windows -> appearance -> font setting -> change...

将putty的默认字体设置为"新宋体" 小四

连接到服务器以后输入：

export LANG=zh_CN.GB2312

更改环境变量。

三，设置passphrase后，让系统自动登录

打开pageant.exe，右击右下角的pageant.exe的图标，"add key"，选择刚刚生成的私匙如id_rsa2.ppk，OK，

只要打开pageant.exe，以后就不用输入passphrase，系统就可以自动登录了。

pageant 的作用是将解加密的 private key 放在内存里，需要的时候调用。

 

======================================================================

可能出现的几种问题：

1、Server refused our key
公匙和私匙不匹配，或者没有 authorized_keys 文件

解决方法：这个问题大多是使用puttygen.exe生成ssh2格式的密匙和Linux上面的不一样，

照着上面的改（只是增加ssh-rsa）就可以了。

2、Unable to use key file "id_rsa1.prv" (SSH1 private key)
私匙文件的格式不正确或登录类型没有设置正确
解决方法：打开puttyàSSH选项时，“Preferred SSH protocol version:”，这时如果你用SSH1协议，

就选择“1”，如果你使用SSH2协议就选择“2”，这个大多是你生成的是SSH1协议的密匙，

而putty登录类型选择为protocol 2。

------------------------------------------------

SSH：安全外壳协议

　　一、SSH介绍

　　什么是SSH？

　　传统的网络服务程序，如：ftp、pop和telnet在本质上都是不安全的，因为它们在网络上用明文传送口令和数据，别有用心的人非常容易就可以截获这些口令和数据。而且，这些服务程序的安全验证方式也是有其弱点的， 就是很容易受到“中间人”（man-in-the-middle）这种方式的攻击。所谓“中间人”的攻击方式， 就是“中间人”冒充真正的服务器接收你的传给服务器的数据，然后再冒充你把数据传给真正的服务器。 服务器和你之间的数据传送被“中间人”一转手做了手脚之后，就会出现很严重的问题。

　　SSH的英文全称是Secure Shell。通过使用SSH，你可以把所有传输的数据进行加密，这样“中间人”这种攻击方式就不可能实现了， 而且也能够防止DNS和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。 SSH有很多功能，它既可以代替telnet，又可以为ftp、pop、甚至ppp提供一个安全的“通道”。

　　最初SSH是由芬兰的一家公司开发的。但是因为受版权和加密算法的限制，现在很多人都转而使用OpenSSH。 OpenSSH是SSH的替代软件，而且是免费的，可以预计将来会有越来越多的人使用它而不是SSH。

　　SSH是由客户端和服务端的软件组成的，有两个不兼容的版本分别是：1.x和2.x。 用SSH 2.x的客户程序是不能连接到SSH 1.x的服务程序上去的。OpenSSH 2.x同时支持SSH 1.x和2.x。

　　SSH的安全验证是如何工作的

　　从客户端来看，SSH提供两种级别的安全验证。

　　第一种级别（基于口令的安全验证）只要你知道自己帐号和口令，就可以登录到远程主机。所有传输的数据都会被加密， 但是不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器， 也就是受到“中间人”这种方式的攻击。

　　第二种级别（基于密匙的安全验证）需要依靠密匙，也就是你必须为自己创建一对密匙，并把公用密匙放在需要访问的服务器上。 如果你要连接到SSH服务器上，客户端软件就会向服务器发出请求，请求用你的密匙进行安全验证。服务器收到请求之后， 先在你在该服务器的家目录下寻找你的公用密匙，然后把它和你发送过来的公用密匙进行比较。如果两个密匙一致， 服务器就用公用密匙加密“质询”（challenge）并把它发送给客户端软件。 客户端软件收到“质询”之后就可以用你的私人密匙解密再把它发送给服务器。

　　用这种方式，你必须知道自己密匙的口令。但是，与第一种级别相比，第二种级别不需要在网络上传送口令。

　　第二种级别不仅加密所有传送的数据，而且“中间人”这种攻击方式也是不可能的（因为他没有你的私人密匙）。 但是整个登录的过程可能需要10秒。

 

SSH 主要有三部分组成：

　　传输层协议 [SSH-TRANS] 提供了服务器认证，保密性及完整性。此外它有时还提供压缩功能。 SSH-TRANS 通常运行在 TCP/IP连接上，也可能用于其它可靠数据流上。 SSH-TRANS 提供了强力的加密技术、密码主机认证及完整性保护。该协议中的认证基于主机，并且该协议不执行用户认证。更高层的用户认证协议可以设计为在此协议之上。

　　用户认证协议 [SSH-USERAUTH] 用于向服务器提供客户端用户鉴别功能。它运行在传输层协议 SSH-TRANS 上面。当

　　SSH-USERAUTH 开始后，它从低层协议那里接收会话标识符（从第一次密钥交换中的交换哈希 H ）。会话标识符唯一标识此会话并且适用于标记以证明私钥的所有权。 SSH-USERAUTH 也需要知道低层协议是否提供保密性保护。

　　连接协议 [SSH-CONNECT] 将多个加密隧道分成逻辑通道。它运行在用户认证协议上。它提供了交互式登录话路、远程命令执行、转发 TCP/IP 连接和转发 X11 连接。

　　一旦建立一个安全传输层连接，客户机就发送一个服务请求。当用户认证完成之后，会发送第二个服务请求。这样就允许新定义的协议可以与上述协议共存。连接协议提供了用途广泛的各种通道，有标准的方法用于建立安全交互式会话外壳和转发（“隧道技术”）专有 TCP/IP 端口和 X11 连接。

　　通过使用SSH，你可以把所有传输的数据进行加密，这样"中间人"这种攻击方式就不可能实现了，而且也能够防止DNS欺骗和IP欺骗。使用SSH，还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以代替Telnet，又可以为FTP、PoP、甚至为PPP提供一个安全的"通道"。

　　SSH分为两部分：客户端部分和服务端部分。

　　服务端是一个守护进程(demon)，他在后台运行并响应来自客户端的连接请求。服务端一般是sshd进程，提供了对远程连接的处理，一般包括公共密钥认证、密钥交换、对称密钥加密和非安全连接。

　　客户端包含ssh程序以及像scp（远程拷贝）、slogin（远程登陆）、sftp（安全文件传输）等其他的应用程序。

　　他们的工作机制大致是本地的客户端发送一个连接请求到远程的服务端，服务端检查申请的包和IP地址再发送密钥给SSH的客户端，本地再将密钥发回给服务端，自此连接建立。刚才所讲的只是SSH连接的大致过程，SSH 1.x和SSH 2.x在连接协议上还有着一些差异。

　　SSH被设计成为工作于自己的基础之上而不利用超级服务器(inetd)，虽然可以通过inetd上的tcpd来运行SSH进程，但是这完全没有必要。启动SSH服务器后，sshd运行起来并在默认的22端口进行监听（你可以用 # ps -waux | grep sshd 来查看sshd是否已经被正确的运行了）如果不是通过inetd启动的SSH，那么SSH就将一直等待连接请求。当请求到来的时候SSH守护进程会产生一个子进程，该子进程进行这次的连接处理。