用户无法设置空密码(即使系统允许空密码,也会十分危险)
密码容易被人偷窥或猜到
服务器上的一个帐户若要给多人使用,则必须让所有使用者都知道密码,导致密码容易泄露,而且修改密码时必须通知所有人
而使用公钥认证则可以解决上述问题。
公钥认证允许使用空密码,省去每次登录都需要输入密码的麻烦
多个使用者可以通过各自的密钥登录到系统上的同一个用户
公钥认证的原理
所谓的公钥认证,实际上是使用一对加密字符串,一个称为公钥(public
key),任何人都可以看到其内容,用于加密;另一个称为密钥(private
key),只有拥有者才能看到,用于解密。通过公钥加密过的密文使用密钥可以轻松解密,但根据公钥来猜测密钥却十分困难。
ssh
的公钥认证就是使用了这一特性。服务器和客户端都各自拥有自己的公钥和密钥。为了说明方便,以下将使用这些符号。
ac
客户端公钥
bc
客户端密钥
as
服务器公钥
bs
服务器密钥
在认证之前,客户端需要通过某种方法将公钥
ac
登录到服务器上。
认证过程分为两个步骤。
会话密钥(session
key)生成
客户端请求连接服务器,服务器将
as
发送给客户端。
服务器生成会话id(session
id),设为
p,发送给客户端。
客户端生成会话密钥(session
key),设为
q,并计算
r
=
p
xor
q。
客户端将
r
用
as
进行加密,结果发送给服务器。
服务器用
bs
进行解密,获得
r。
服务器进行
r
xor
p
的运算,获得
q。
至此服务器和客户端都知道了会话密钥q,以后的传输都将被
q
加密。
认证
服务器生成随机数
x,并用
ac
加密后生成结果
s(x),发送给客户端
客户端使用
bc
解密
s(x)
得到
x
客户端计算
q
+
x
的
md5
值
n(q+x),q为上一步得到的会话密钥
服务器计算
q
+
x
的
md5
值
m(q+x)
客户端将
n(q+x)
发送给服务器
服务器比较
m(q+x)
和
n(q+x),两者相同则认证成功均可。
密钥登录 1(客户端生成密钥)。在本地客户端生成公私钥对,使用ssh-copy-id命令把本地的ssh公钥文件安装到远程主机对应的账户下。
密钥登录 2(服务端生成密钥)。用户登录服务器,并在服务器生成公私钥对,将私钥传递给远端客户端,保存在客户端相应目录下。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)