PuTTY使用密钥登陆到Linux

在Windows管理Linux服务器时，常使用putty登录ssh进行远程管理。默认登录验证方式为密码认证，该方式虽然简单，但每次登录都要输入一长串的密码，至关麻烦。并且，若是万一把root容许登录打开，还有可能被强力破解，致使严重的后果。

   因此，一般建议用密钥登录验证代替密码方式，即简单，又可靠。
1、为何建议使用密钥登录
一般如今的Linux发行版都使用OpenSSH代替telnet、rsh等明文传输的终端服务。
以红旗 DC Server 5.0为例：

引用

# rpm -qa|grep -E -w 'openssh'
openssh-clients-4.0p1-1.2AX
openssh-server-4.0p1-1.2AX
openssh-4.0p1-1.2AX

而OpenSSH默认是同时支持密码和密钥两种认证方式的。转一个说明：

为何要使用公钥认证
一般，经过ssh登陆远程服务器时，使用密码认证，分别输入用户名和密码，二者知足必定规则就能够登陆。可是密码认证有如下的缺点：

引用

a）用户没法设置空密码（即便系统容许空密码，也会十分危险） 
b）密码容易被人偷窥或猜到 
c）服务器上的一个账户若要给多人使用，则必须让全部使用者都知道密码，致使密码容易泄露，并且修改密码时必须通知全部人

而使用公钥认证则能够解决上述问题。

引用

a）公钥认证容许使用空密码，省去每次登陆都须要输入密码的麻烦 
b）多个使用者能够经过各自的密钥登陆到系统上的同一个用户
c）即便修改了对应用户的密码，也不会影响登录
d）若同时禁用密码认证，则只要保证私钥的安全，不会受到暴力破解的威胁

2、使用putty生成密钥和登录
根据公钥认证的原理（见后面说明），认证双方任何一方均可制做该钥匙对，而且只要认证方有被认证方的公钥信息，便可匹配成功。
这里，咱们先以Windows上的putty登录Linux服务器为例说明。因此，该密钥对由putty制做。
继续前，请确保您已经把整个putty包都下载完：
官方网站：点击
最新版本：0.60，我截图的版本是0.55的。
本地下载：

下载文件

点击这里下载文件

其中包括：PuTTY、Puttygen、PSCP、Plink、Pagent 等工具。
一、使用puttygen制做密钥
启动puttygen工具，为兼容OpenSSH密钥，选择“SSH2 RSA”：

单击 Generate 按钮，并使用鼠标在“key”框内移动，以得到足够的随机数据供生成密钥使用：

※期间，你会看到进度条上面有个提示“Please generate some radomness by moving the mouse over the blank area.”，意思就是让你用鼠标在空白区域随机移动。随着鼠标在空白区域的移动，进度条会一直走下去。中止移动鼠标，进度条也就中止了。因此，那咱们要移动鼠标，直到进度条走满为止。
完成后的窗口以下：

其中：

引用

Key comment：是注释，不会影响密钥的有效性，但可做为本身用于区别其余密钥的参考；
Key passphrase 和 Confirm passphrase ：用于保护私钥，若是不输入该信息，那么任何人只要拿到该私钥，便可无密码登录系统，很是危险；一般状况下，我是建议你们输入的，但这里为了方便说明，暂时留空，请看后面使用的说明。

随后，点击“Save private key”保留私钥。
若是没有输入Key passphrase信息，会有警告：

输入私钥的文件名：

※公钥信息能够不用保留在本地的，puttygen能够从私钥获得它，验证时也不会用到。

二、修改openssh配置
修改/etc/ssh/sshd_config：

引用

ChallengeResponseAuthentication no  #关闭挑战应答方式
UsePAM no  #不使用PAM认证

而后重启sshd服务，缘由见：这里

三、拷贝公钥信息
上面密钥信息窗口的“Key”框最后生成的就是公钥信息：

须要把该信息拷贝到Linux服务器的特定文件中：~/.ssh/authroized_keys
其中，“~”表示对应用户的主目录，以root为例。
若.ssh目录不存在，请建立它，并把公钥信息写入文件中：

# mkdir ~/.ssh
# chown 700 ~/.ssh
# vi ~/.ssh/authorized_keys
# chown 644 ~/.ssh/authorized_keys

※请务必留意：文件和目录的权限问题，用户必须是将要进行认证的用户，而权限必须是0644，也就是禁止其余人对该文件写入信息。（不然，某些有心人把本身的公钥写入这里，他也能够无密码进来了）
由于，一般umask是0022或0002的，因此请使用chown和chmod修改成对应的权限咯。

四、使用putty使用密钥登录
对putty进行一些简单配置，便可使用密钥登录Linux服务器。
选择Connection－SSH－Auth，在“Private key file for authentication”输入密钥的路径：

而后在Connection的“Auth-login username”输入登录的用户名，例如root：

◎Putty 0.60 版本在Connection－Data页内。
而后点击Open便可：

若一切正常，则能够在session中Save保存配置。

3、使用OpenSSH生成密钥
密钥既可以使用putty生成，也可用OpenSSH生成。
一、Linux下生成密钥
运行：

引用

# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):  <－密钥路径
Enter passphrase (empty for no passphrase): <－密钥保护密码
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa. <－私钥
Your public key has been saved in /root/.ssh/id_rsa.pub. <－公钥
The key fingerprint is:
17:28:4c:c3:e4:18:d4:c2:31:bd:be:a7:a9:d4:a8:48 root@mail.linuxfly.org

二、把公钥信息写入authorized_keys文件中
运行：

# cd ~/.ssh
# cat id_rsa.pub >> authorized_keys

三、生成putty的私钥
因为SSH的标准中，并无固定密钥文件的格式。而Putty使用的私钥格式和OpenSSH生成的有点不一样，须要转换一下。
a）把id_rsa传到Windows机器上
b）使用puttygen的“Load”读取id_rsa文件

这里也能够从图中的公钥信息，与id_rsa.pub对比一下，应该是一致的。
c）点击“Save private key”保留私钥。
d）putty使用该新的私钥登录服务器便可。

 

4、注意事项
一、检查OpenSSH服务端的配置

引用

OpenSSH的配置一般保存在：/etc/ssh/sshd_config
PermitRootLogin no  # 禁止root用户登录
StrictModes yes  # 检查密钥的用户和权限是否正确，默认打开的
RSAAuthentication yes        # 启用 RSA 认证
AuthorizedKeysFile     .ssh/authorized_keys   # 验证公钥的存放路径
PubkeyAuthentication yes     # 启用公钥认证
PasswordAuthentication no    # 禁止密码认证，默认是打开的。

说明：
a）若是StrictModes为yes，而authorized_keys的权限为664等的状况，则验证密钥的时候，会报错：

引用

bad ownership or modes for file /home/linuxing/.ssh/authorized_keys

b）若PasswordAuthentication设置为no，则禁用密码认证，配合启动公钥认证，是更安全的方式。

二、公钥存放的路径
Putty做为客户端是不须要使用公钥的，而Linux服务端的公钥是存放在：~/.ssh/authorized_keys中。
也就是讲，若是登录用户的主目录不一样，存放的路径是不相同的。
例如某用户：

引用

$ echo ~
/home/linuxing
则密钥在：
/home/linuxing/.ssh/authorized_keys

若你想使用同一私钥，但不一样用户登录服务器，则请保证公钥信息已经写入每一个用户的验证文件中咯。而且必定要注意验证文件的用户和权限不能搞错哦。

三、Key passphrase密码
若是你在保存私钥的时候，输入了Key passphrase密码。其就会使用该信息对私钥加密。这会带来一个好处：就是万一您的私钥给盗走了，但若是小偷不知道该密码，他也没法使用该私钥登录服务器的。简单来讲，就是增强了安全性。
a）在putty使用这种私钥登录服务器的时候，就会有提示：

只有输入正确的密码才能经过认证。
※这里看上去和使用密码认证方式登录OpenSSH有点相似。但其实是彻底不一样的。该
Key passphrase密码是用于管理私钥，避免私钥被盗用的；而OpenSSH的密码认证方式使用的密码，指的是Linux服务器端的用户密码，即PAM信息。也就是说，即便你修改了PAM的密码，但只要Key passphrase信息正确，你仍是能够登录到服务器上的。（由于使用它解压出来的私钥是没变的）

b）若每次登录都要输入Key passphrase，明显达不到咱们简化登录步骤的目的。在既要保证安全，又要简便的状况下，咱们可使用PAGEANT。
PAGEANT的做用很简单，就是在咱们输入一次私钥密码后，把解密后的私钥保存在PAGEANT中。
再次使用putty登录的时候，PAGEANT就会自动的把解密后私钥用于认证，这样就不用咱们屡次输入密码了。而
当咱们退出PAGEANT的时候，会自动删除私钥，从新登录的时候须要再次检验。实现“一次验证，屡次使用”的目的。
打开PAGEANT，其会自动放入Windows右下角的任务栏中：
右键点击后，选择“View Keys”：
在弹出框中，选择“Add Key”，输入Putty的私钥（.PPK），并会提示输入Key passphrase：

结果：

直接选择菜单的“Add Key”也能够。
这时候，使用putty再次登录服务器就不须要Key passphrase啦。

◎其实，即便没有Key passphrase的私钥也能够导入PAGEANT中的，这时候就能够不用在Putty的配置文件中指定私钥的路径咯。也能够达到必定的安全目的的。

c）若要修改Key passphrase，可使用puttygen从新Load私钥，其会咨询Key passphrase信息：

输入正确密码后，便可修改，并保存新私钥便可。是否存在或修改Key passphrase是不会改变公钥信息的。

四、保存putty的配置信息
putty的配置信息是保存在Windows注册表的，需使用下面的命令导出：

regedit /e PuTTY.config.reg "HKEY_CURRENT_USER\Software\SimonTatham\PuTTY"

五、使用DSA密钥
默认配置下，OpenSSH就同时支持RSA和DSA两种编码的密钥。只要在生成密钥的时候选择“DSA”便可。例如：

# ssh-keygen -t dsa

使用上和RSA是没有区别的，把公钥信息拷贝到验证文件中便可使用。

5、公钥认证的原理
所谓的公钥认证，其实是使用一对加密字符串，一个称为公钥(public key)，任何人均可以看到其内容，用于加密；另外一个称为密钥(private key)，只有拥有者才能看到，用于解密。经过公钥加密过的密文使用密钥能够轻松解密，但根据公钥来猜想密钥却十分困难。
ssh 的公钥认证就是使用了这一特性。服务器和客户端都各自拥有本身的公钥和密钥。为了说明方便，如下将使用这些符号。

引用

Ac 客户端公钥 
Bc 客户端密钥 
As 服务器公钥 
Bs 服务器密钥

在认证以前，客户端须要经过某种安全的方法将公钥 Ac 登陆到服务器上。
认证过程分为两个步骤：
一、会话密钥(session key)生成 
客户端请求链接服务器，服务器将 As 发送给客户端。 
服务器生成会话ID(session id)，设为 p，发送给客户端。 
客户端生成会话密钥(session key)，设为 q，并计算 r = p xor q。 
客户端将 r 用 As 进行加密，结果发送给服务器。 
服务器用 Bs 进行解密，得到 r。 
服务器进行 r xor p 的运算，得到 q。 
至此服务器和客户端都知道了会话密钥q，之后的传输都将被 q 加密。
二、认证 
服务器生成随机数 x，并用 Ac 加密后生成结果 S(x)，发送给客户端 
客户端使用 Bc 解密 S(x) 获得 x 
客户端计算 q + x 的 md5 值 n(q+x)，q为上一步获得的会话密钥 
服务器计算 q + x 的 md5 值 m(q+x) 
客户端将 n(q+x) 发送给服务器 
服务器比较 m(q+x) 和 n(q+x)，二者相同则认证成功

6、参考资料
一份很是详细的putty使用说明：http://docs.google.com/View?docid=ajbgz6fp3pjh_2dwwwwt
源地址打开很慢，我保存了一份：

下载文件

点击这里下载文件

http://blog.3gcomet.com/article.asp?id=215
http://blog.chinaunix.net/u/25686/showart_200821.html
http://tech.idv2.com/2006/10/21/ssh-rsa-auth/

原编辑文件备份：

下载文件

点击这里下载文件