SSH提供两种级别的安全验证:
一是基于口令的安全验证。只要用户知道自己账号和口令,就可以登录到远程主机。所有传输的数据都会被加密,但是不能保证用户正在连接的服务器就是用户想连接的服务器。可能会有别的服务器在冒充真正的服务器,这存在着潜在的威胁。
二是基于密匙的安全验证。需要依靠密匙,也就是用户必须为自己创建一对公匙/密钥对,并把公钥放在需要访问的服务器上。
一、通过方式一:口令认证登陆
1、打开putty.exe
1)、Session --> Host Name (填写服务器地址或者域名,如:192.168.0.250s)
如果远程主机存在提示如下:
login as: root
root@192.168.0.250's password:
正确输入密码后即可正常登陆远程Linux主机
(注意:
远程linux主机的/etc/ssh/sshd_config配置文件
PasswordAuthentication 必须为 yes
修改后/etc/init.d/sshd reload #加载修改后的配置文件并生效
)
二、通过方式二:密匙认证登陆
方案一:使用puttygen.exe生成的密匙
1、用puttygen.exe生成一对密匙
1)、打开puttygen.exe,直接点击Generate,鼠标在Key区空白的位置频繁的晃动
加快随机数的产生,这样几秒钟就可以生成我们需要的密匙
2)、点击Save public key->id_rsa.pub(公钥)
因为puttygen.exe生成的格式和Linux系统使用的key格式不同,需要对生成的数据作些简单的修改:
比如源数据:
---- BEGIN SSH2 PUBLIC KEY ----
Comment: "rsa-key-gliethttp"
AAAAB3NzaC1yc2EAAAABJQAAAIEAg2Nx1dBZBypLXY1S78plfmPmwlQj1Ckuoz8o
4vAWjJfOy3i6t2+o7aZMbGN+yUbQY5ScyJu3bK7Wg3ZxXP6qps14J2CAXbdrT9VH
2AA3FIOgbLHii7Bwmjkr5+hVYp7Vazm7cPsGpKnmCWihqX7rkQdY7xq3mOCJI3ry
Nnfkrh0=
---- END SSH2 PUBLIC KEY ----
修改成:(我使用的Linux主机名为gliethttp )
ssh-rsa AAAB3NzaC1yc2EAAAABJQAAAIEAg2Nx1dBZBypLXY1S78plfmPmwlQj1Ckuoz8o4vAWjJfOy3i6t2+
aZMbGN+yUbQY5ScyJu3bK7Wg3ZxXP6qps14J2CAXbdrT9VH2AA3FIOgbLHii7Bwmjkr5+hVYp7Vazm7cPsGpK
nmCWihqX7rkQdY7xq3mOCJI3ryNnfkrh0= root@gliethttp
(注意:修改后的数据不能有回车换行)
3)、将生成的id_rsa.pub拷贝到远程主机gliethttp的/root/.ssh上
重命名为authorized_keys 可以不用重名了,添加也行.
[root@gliethttp root]#cd .ssh
[root@gliethttp .sh]#mv id_rsa.pub authorized_keys
这样sshd服务程序当接收到远程客户端的连接申请时会自动匹配.ssh/authorized_keys文件中的公钥
4)、点击Save private key->id_rsa.ppk(保存私钥)
如果安全级别不是很苛刻,可以不设置Key 的保护密码
2、打开putty.exe
1)、Session --> Host Name (填写服务器地址或者域名)
2)、Connection --> SSH --> Auth (点Browse选择刚生成的id_rsa.ppk)
3)、open
成功打开后出现如下提示:
login as: root
Authenticating with public key "imported-openssh-key"
//我们方案一,给每个人来提交自己的公钥,方案二是为每个人来分发服务器私钥.只要配对即可。
方案二:使用Linux主机生成的密匙
1、生成密匙
[root@gliethttp .ssh]#ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
e4:9a:47:a7:b4:8a:0b:98:07:b8:70:de:6b:16:2c:0c root@gliethttp
2、将/root/.ssh/id_rsa.pub改名为/root/.ssh/authorized_keys
[root@gliethttp .ssh]#mv /root/.ssh/id_rsa.pub /root/.ssh/authorized_keys
3、将私钥id_rsa拷贝到远程客户端
1)、如果远程客户端是linux,拷贝到远程客户端/root/.ssh/即可(分发了服务器的私钥)
2)、putty作为远程客户端在
putty不能识别直接从服务器拷贝来的私钥,需要使用puttygen.exe进行格式转换
(1)、打开puttygen.exe --> Conversions --> Import Key
(2)、选择拷贝过来的私钥文件id_rsa
(3)、Save private key->id_rsa.ppk(保存私钥)
4、打开putty.exe
1)、Session --> Host Name (填写服务器地址或者域名)
2)、Connection --> SSH --> Auth (点Browse选择刚生成的id_rsa.ppk)
3)、open
成功打开后出现如下提示:
login as: root
Authenticating with public key "imported-openssh-key"
------------------------------------------------------------------------
注意:
如果putty.exe不能登陆远程主机,请查看如下几个选项是否符合:
1)、远程主机的防火墙是否关闭,通过如下指令关闭防火墙:
[root@gliethttp root]#/etc/init.d/iptables stop
2)、远程主机是否启动sshd,通过如下指令启动:
[root@gliethttp root]#/etc/init.d/sshd start #or ssh
3). service sshd status
4).如果连接速度慢可以:
看了一下官方的文档,原来这是ubuntu 的一个bug,解决这个bug很简单,具体做法如下:
把/etc/ssh/ssh_config里面的GSSAPIAuthentication修改成no就ok了。 GSSAPIAuthentication no 。
然后登录会发现连接速度非常快。
说法不一样 有的说
ubuntu 7.04下面用ssh链接服务器的过程非常慢,今天刚刚搜到解决的办法,就是编辑/etc/ssh/ssh_config这个文件,将
GSSAPIAuthentication yes
GSSAPIDelegateCredentials no
注释掉就可以了。
在有的说
Debian默认设置下是开反向域名解析的。我们连接ssh/ftp的时候就会有一个比较明显的延时,大概要等30秒后才能输入账号密码。解决方法有两个:
1. 将客户机IP和域名对应关系加入到 /etc/hosts上
2. 编辑 /etc/nsswitch.conf
找到 hosts 那行,将其改成下面这样:
hosts: files dns [NOTFOUND=return]
putty.exe和puttygen.exe工具下载地址:
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html