ps: 这里以 win10 登录远程 ubuntu 为例,说明用户名密码登录、密钥登录这两种方式的登录过程。
用户密码方式验证登入过程分析
- 客户端ssh向服务器发送连接请求,传递用户名及ip端口
- 服务端接收到请求,检查用户名是否存在,不存在则拒绝。反之,会将公钥及指纹(公钥对应的sha256值)发送给客户端
- 若客户端是第一次请求连接,则会提醒用户确认该指纹是否来自目的服务器,若用户输入yes确认则会将指纹存放到known_host中,下次再连接时,当发现服务器传过来的指纹与已存入到known_host中的指纹一致,则服务器身份直接验证通过,无需提醒确认。反之会发出警告:提醒说该公钥和指纹可能是由于中间人拦截而被篡改的或者可能是服务器更新了新的公私钥对。
- 客户端完成公钥接收及指纹对比后,需要输入密码,将密码使用服务器公钥进行加密发送到服务器,服务器私钥解密验证成功则允许登入。
公钥身份验证登入过程分析(常说的免密登录)
- 客户端在本地生成一对密钥,包括一个公钥和一个私钥。且将自己的公钥放到到服务器上的 ~/.ssh/authorized_keys 文件中
- 客户端ssh向服务器发送连接请求
- 服务端检查用户名存在后,生成一个随机串返给客户端
- 客户端自己的私钥对随机串进行签名并发送给服务器
- 服务器使用已存入authorized_keys 中的公钥进行验签,若验签通过则客户端身份认证成功