使用putty(ssh)密匙安全登录服务器

第一步：生成密匙
运行puttygen.exe，选择需要的密匙类型(parameters)和长度(bits)。putty默认使用SSH1协议，长度默认值为1024，

我们暂且选用SSH1协议,后面讨论使用SSH2协议与使用SSH1协议设置上的不同。

点击Generate生成密匙，生成后 的Key passphrase 和 Confirm passphrase 两项可以保持为空 ，passphrase是用来保护私匙的密码，如果没什么特别高的安全要求就不用了，免得登录时还要输入一次密码。后面讨论如果输入passphrase，也可以自动登录系统。点击 Save public key 按钮和 Save private key 按钮分别保存公匙和私匙例如 id_rsa1.pub 和 id_rsa1.prv。

第二步：上传密匙
用自己的帐号登录远程系统，然后执行下面的命令：
cd ~
mkdir .ssh

chmod 700 .ssh
cat id_rsa1.pub > .ssh/authorized_keys

chmod 600 .ssh/authorized_keys

第三步：设置Putty
启动Putty，设置好session的各项参数(如IP address，protocol选择SSH)，然后从左边选择SSH，”Preferred SSH protocol version：”，

这时我们用的是SSH1协议，那么我们就选择协议版本1，再“SSH->Auth”，”Private key file for authentication:”　点击 Browse 按钮，选择 id_rsa1.prv 文件。
再从左边选择 Session，然后点击 Save 按钮把修改保存下来。然后点击Open 按钮就可以登录了。
如果上面的操作都没有问题，那这时应该就自动登录了，无需输入密码。 正常情况下会显示如下：

login as: root

Authenticating with public key "rsa-key-20050328"

Last login: Mon Mar 28 14:39:13 2005 from 192.168.0.2

有了上面第二行的信息，表明你已经正常启用SSH通讯了。

======================================================================
其它问题：

一，使用SSH2协议

如果要用SSH2协议，需要修改一下 /etc/ssh/ssh_config 文件，把＃Protocol 2,1 这一行前面的＃字符去掉，默认也是先是ssh2，

再是ssh1，实际上不除去＃注释也是可以的。

用puttygen.exe生成SSH2协议格式的密匙（操作方法同上），上传到.ssh/authorized_keys文件时，需作如下修改，

因为puttygen.exe和bsd/Linux生成的SSH2密匙格式不一样。

例如puttygen.exe生成的公匙是id_rsa2.pub

[root@mail .ssh]# cat id_rsa2.pub

---- BEGIN SSH2 PUBLIC KEY ----

Comment: "rsa-key-20050328"

AAAAB3NzaC1yc2EAAAABJQAAAIEAtZgDykOOegKu6sCGzxpzA2CwB5o2X37FM4lg

41LXw3DR2/7+aBQNYDez3BWkGIluyfuyWYlw21bEzUiJhJ9/8tX5FUJLBYr/ELtq

jI08dfhHaRjVM8cRQX7fv6jCNIuyEKlml9QuFdIOIX3bS5dkAHkk9GKMgaMISK44

zB4qUfM=

---- END SSH2 PUBLIC KEY ----

而BSD/Linux生成的ssh2格式是

[root@linuxwht .ssh]# cat id_rsa.pub

ssh-rsa AAAB3NzaC1yc2EAAAABIwAAAIEAsD4qEibcK1e9ZgFX6bahxnU/It5MjC/7U56n

OOZ0MDf+LHU7bWo3M6XH/mp1KeTRrHIPtmEl2PTkf9/3NffNtBdAkSJ/sWoPoaeJlShcvK2

wzOsrre4FyJRRUtl2jdCDJxRX0Cu2GV/aNphVQoAuU0lj7/55eladpO8/jr14adE=

所以照着Linux默认的格式改一下就可以了。

如果没有 puttygen.exe，那么可以用 bsd/linux 自带的 ssh-keygen 生成密匙，命令格式如下：
ssh-keygen -b 密匙长度 -t 密匙类型
密匙类型可以是：rsa1 （对应SSH1 RSA）、rsa 和 dsa （对应SSH2）

如：ssh-keygen –b 1024 –t rsa

默认是生成的~/.ssh/id_rsa文件。

不过 ssh-keygen 生成的SSH2密匙和putty的密匙格式不同，无法直接使用，必须用 puttygen.exe 转换一下。

所以大家还是用 rsa1 好了，反正一般用途也没什么区别。

二，让Putty显示中文

启动putty

windows -> appearance -> font setting -> change...

将putty的默认字体设置为"新宋体" 小四

连接到服务器以后输入：

export LANG=zh_CN.GB2312

更改环境变量。

三，设置passphrase后，让系统自动登录

打开pageant.exe，右击右下角的pageant.exe的图标，"add key"，选择刚刚生成的私匙如id_rsa2.ppk，OK，

只要打开pageant.exe，以后就不用输入passphrase，系统就可以自动登录了。

pageant 的作用是将解加密的 private key 放在内存里，需要的时候调用。

======================================================================

可能出现的几种问题：

1、Server refused our key
公匙和私匙不匹配，或者没有 authorized_keys 文件

解决方法：这个问题大多是使用puttygen.exe生成ssh2格式的密匙和Linux上面的不一样，

照着上面的改（只是增加ssh-rsa）就可以了。

2、Unable to use key file "id_rsa1.prv" (SSH1 private key)
私匙文件的格式不正确或登录类型没有设置正确
解决方法：打开puttyàSSH选项时，“Preferred SSH protocol version:”，这时如果你用SSH1协议，

就选择“1”，如果你使用SSH2协议就选择“2”，这个大多是你生成的是SSH1协议的密匙，

而putty登录类型选择为protocol 2。

------------------------------------------------

SSH：安全外壳协议

　　一、SSH介绍

　　什么是SSH？

　　传统的网络服务程序，如：ftp、pop和telnet在本质上都是不安全的，因为它们在网络上用明文传送口令和数据，别有用心的人非常容易就可以截获这些口令和数据。而且，这些服务程序的安全验证方式也是有其弱点的， 就是很容易受到“中间人”（man-in-the-middle）这种方式的攻击。所谓“中间人”的攻击方式， 就是“中间人”冒充真正的服务器接收你的传给服务器的数据，然后再冒充你把数据传给真正的服务器。 服务器和你之间的数据传送被“中间人”一转手做了手脚之后，就会出现很严重的问题。

　　SSH的英文全称是Secure Shell。通过使用SSH，你可以把所有传输的数据进行加密，这样“中间人”这种攻击方式就不可能实现了， 而且也能够防止DNS和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。 SSH有很多功能，它既可以代替telnet，又可以为ftp、pop、甚至ppp提供一个安全的“通道”。

　　最初SSH是由芬兰的一家公司开发的。但是因为受版权和加密算法的限制，现在很多人都转而使用OpenSSH。 OpenSSH是SSH的替代软件，而且是免费的，可以预计将来会有越来越多的人使用它而不是SSH。

　　SSH是由客户端和服务端的软件组成的，有两个不兼容的版本分别是：1.x和2.x。 用SSH 2.x的客户程序是不能连接到SSH 1.x的服务程序上去的。OpenSSH 2.x同时支持SSH 1.x和2.x。

　　SSH的安全验证是如何工作的

　　从客户端来看，SSH提供两种级别的安全验证。

　　第一种级别（基于口令的安全验证）只要你知道自己帐号和口令，就可以登录到远程主机。所有传输的数据都会被加密， 但是不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器， 也就是受到“中间人”这种方式的攻击。

　　第二种级别（基于密匙的安全验证）需要依靠密匙，也就是你必须为自己创建一对密匙，并把公用密匙放在需要访问的服务器上。 如果你要连接到SSH服务器上，客户端软件就会向服务器发出请求，请求用你的密匙进行安全验证。服务器收到请求之后， 先在你在该服务器的家目录下寻找你的公用密匙，然后把它和你发送过来的公用密匙进行比较。如果两个密匙一致， 服务器就用公用密匙加密“质询”（challenge）并把它发送给客户端软件。 客户端软件收到“质询”之后就可以用你的私人密匙解密再把它发送给服务器。

　　用这种方式，你必须知道自己密匙的口令。但是，与第一种级别相比，第二种级别不需要在网络上传送口令。

　　第二种级别不仅加密所有传送的数据，而且“中间人”这种攻击方式也是不可能的（因为他没有你的私人密匙）。 但是整个登录的过程可能需要10秒。

SSH 主要有三部分组成：

　　传输层协议 [SSH-TRANS] 提供了服务器认证，保密性及完整性。此外它有时还提供压缩功能。 SSH-TRANS 通常运行在 TCP/IP连接上，也可能用于其它可靠数据流上。 SSH-TRANS 提供了强力的加密技术、密码主机认证及完整性保护。该协议中的认证基于主机，并且该协议不执行用户认证。更高层的用户认证协议可以设计为在此协议之上。

　　用户认证协议 [SSH-USERAUTH] 用于向服务器提供客户端用户鉴别功能。它运行在传输层协议 SSH-TRANS 上面。当

　　SSH-USERAUTH 开始后，它从低层协议那里接收会话标识符（从第一次密钥交换中的交换哈希 H ）。会话标识符唯一标识此会话并且适用于标记以证明私钥的所有权。 SSH-USERAUTH 也需要知道低层协议是否提供保密性保护。

　　连接协议 [SSH-CONNECT] 将多个加密隧道分成逻辑通道。它运行在用户认证协议上。它提供了交互式登录话路、远程命令执行、转发 TCP/IP 连接和转发 X11 连接。

　　一旦建立一个安全传输层连接，客户机就发送一个服务请求。当用户认证完成之后，会发送第二个服务请求。这样就允许新定义的协议可以与上述协议共存。连接协议提供了用途广泛的各种通道，有标准的方法用于建立安全交互式会话外壳和转发（“隧道技术”）专有 TCP/IP 端口和 X11 连接。

　　通过使用SSH，你可以把所有传输的数据进行加密，这样"中间人"这种攻击方式就不可能实现了，而且