本文給大家詳細(xì)介紹了ssh 密鑰登錄遠(yuǎn)程服務(wù)器流程和注意事項，以下是詳細(xì)內(nèi)容：

密鑰登錄比密碼登錄安全，主要是因為他使用了非對稱加密，登錄過程中需要用到密鑰對。整個登錄流程如下：

遠(yuǎn)程服務(wù)器持有公鑰，當(dāng)有用戶進行登錄，服務(wù)器就會隨機生成一串字符串，然后發(fā)送給正在進行登錄的用戶。
用戶收到遠(yuǎn)程服務(wù)器發(fā)來的字符串，使用與遠(yuǎn)程服務(wù)器公鑰配對的私鑰對字符串進行加密，再發(fā)送給遠(yuǎn)程服務(wù)器。
服務(wù)器使用公鑰對用戶發(fā)來的加密字符串進行解密，得到的解密字符串如果與第一步中發(fā)送給客戶端的隨機字符串一樣，那么判斷為登錄成功。
整個登錄的流程就是這么簡單，但是在實際使用 ssh 登錄中還會碰到一些小細(xì)節(jié)，這里演示一遍 ssh 遠(yuǎn)程登錄來展示下這些細(xì)節(jié)問題。

生成密鑰對

使用 ssh-keygen 就可以直接生成登錄需要的密鑰對。ssh-keygen 是 Linux 下的命令，不添加任何參數(shù)就可以生成密鑰對。

➜ ~ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/jaychen/.ssh/id_rsa): #1
Enter passphrase (empty for no passphrase):      #2
Enter same passphrase again:          #3

執(zhí)行 ssh-keygen 會出現(xiàn)如上的提示，在 #1 處這里提示用戶輸入生成的私鑰的名稱，如果不填，默認(rèn)私鑰保存在 /home/jaychen/.ssh/id_rsa 文件中。這里要注意兩點：

生成的密鑰，會放在執(zhí)行 ssh-keygen 命令的用戶的家目錄下的 .ssh 文件夾中。即 $HOME/.ssh/ 目錄下。

生成的公鑰的文件名，通常是私鑰的文件名后面加 .pub 的后綴。

#2 處，提示輸入密碼，注意這里的密碼是用來保證私鑰的安全的。如果填寫了密碼，那么在使用密鑰進行登錄的時候，會讓你輸入密碼，這樣子保證了如果私鑰丟失了不至于被惡意使用。話是這么說，但是平時使用這里我都是直接略過。

#3 是重復(fù) #2 輸入的密碼，這里就不廢話了。

生成密鑰之后，就可以在 /home/jaychen/.ssh/ 下看到兩個文件了(我這里會放在 /home/jaychen 下是因為我使用 jaychen 用戶來執(zhí)行 ssh-keygen 命令)

➜ .ssh ls
total 16K
drwx------ 2 jaychen jaychen 4.0K 12月 7 17:57 .
drwx------ 9 jaychen jaychen 4.0K 12月 7 18:14 ..
-rw------- 1 jaychen jaychen 1.7K 12月 7 17:57 id_rsa.github
-rw-r--r-- 1 jaychen jaychen 390 12月 7 17:57 id_rsa.github.pub

生成的私鑰還要注意一點：私鑰的權(quán)限應(yīng)該為 rw-------，如果私鑰的權(quán)限過大，那么私鑰任何人都可以讀寫就會變得不安全。ssh 登錄就會失敗。

首次 ssh 登錄

登錄遠(yuǎn)程服務(wù)器的命令是

ssh 登錄用戶@服務(wù)器ip

這里開始要注意兩個用戶的概念：

本地執(zhí)行這條命令的用戶，即當(dāng)前登錄用戶，我這里演示的用戶名稱是 jaychen。

要登錄到遠(yuǎn)程服務(wù)器的用戶。

在開始登錄之前，我們要首先要把生成公鑰上傳到服務(wù)器。

公鑰的內(nèi)容要保存到要登錄的用戶的家目錄下的 .ssh/authorized_keys 文件中。假設(shè)你之后要使用 root 用戶登錄遠(yuǎn)程服務(wù)器，那么公鑰的內(nèi)容應(yīng)該是保存在 /root/.ssh/authorized_keys中。注意 authorized_keys 文件是可以保存多個公鑰信息的，每個公鑰以換行分開。

上傳完畢之后，執(zhí)行

ssh root@遠(yuǎn)程服務(wù)器 ip

這個時候，如上面說的，遠(yuǎn)程服務(wù)器會發(fā)送一段隨機字符串回來，這個時候需要使用私鑰對字符串進行加密。而這個私鑰會去執(zhí)行該命令的用戶的家目錄下的 .ssh 目錄讀取私鑰文件，默認(rèn)私鑰文件為 id_rsa 文件。即 $HOME/.ssh/id_rsa 文件。假設(shè)在生成密鑰的時候?qū)λ借€進行了加密，那么這個時候就需要輸入密碼。

上面的流程用戶登錄的時候是不會感知的，ssh 在背后完成了所有的校驗操作，如果密鑰匹配的話，那么用戶就可以直接登錄到遠(yuǎn)程服務(wù)器，但是如果是首次登錄的話，會出現(xiàn)類似下面的提示：

➜ .ssh ssh root@192.168.1.1
The authenticity of host '192.168.1.1 (192.168.1.1)' can't be established.
ECDSA key fingerprint is SHA256:61U/SJ4n/QdR7oKT2gaHNuGxhx98saqMfzJnzA1XFZg.
Are you sure you want to continue connecting (yes/no)?

這句話的意思是，遠(yuǎn)程服務(wù)器的真實身份無法校驗，只知道公鑰指紋(公鑰的 MD5 值)為 61U/SJ4n/QdR7oKT2gaHNuGxhx98saqMfzJnzA1XFZg，是否真的要建立連接。出現(xiàn)上面的提示是因為避免存在中間人攻擊。

中間人攻擊

中間人攻擊的前提是，你第一次登錄一臺遠(yuǎn)程服務(wù)器，你除了用戶名、用戶名對應(yīng)的公鑰私鑰以及服務(wù)器 ip 之外，對遠(yuǎn)程服務(wù)器絲毫不了解的情況下。假設(shè)你 ssh 遠(yuǎn)程登錄 192.168.1.1 的遠(yuǎn)程主機，在連接過程中被第三者攔截，第三者假冒自己為 192.168.1.1 的主機，那么你就會直接連接到其他人的服務(wù)器上。這就是中間人攻擊。

為了避免中間人攻擊，ssh 在首次登錄的時候會返回公鑰指紋，用戶需要自己手動去比對你要登錄的遠(yuǎn)程服務(wù)器的公鑰的公鑰指紋和 ssh 返回的公鑰指紋是否一樣。

經(jīng)過比較公鑰指紋，確認(rèn)該服務(wù)器就是你要登錄的服務(wù)器，輸入 yes 之后就可以成功登錄。整個登錄流程結(jié)束。

known_hosts 文件

第一次登錄之后，在本機的 $HOME/.ssh/ 目錄下就會生成一個 known_hosts 的文件，內(nèi)容類似下面

➜ .ssh cat known_hosts
192.168.1.1 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBOPKYWolOYTDevvBR6GV0rFcI0z/DHZizN5l/ajApsgx+UcOOh51liuyBRRCIyF+BR56Le0lP0Pn6nzvLjbqMqg=

這個文件記錄了遠(yuǎn)程主機 ip 和遠(yuǎn)程主機對應(yīng)的公鑰指紋，那么在下次登錄的時候，遠(yuǎn)程主機發(fā)送過來的公鑰指紋，直接和 known_hosts 文件中對應(yīng) ip 的公鑰指紋比較即可。

config 配置

很多時候，我們開發(fā)可能需要連接多臺遠(yuǎn)程服務(wù)器，并且需要配置 git 服務(wù)器的私鑰。那么這么多的服務(wù)器不能共用一套私鑰，不同的服務(wù)器應(yīng)該使用不同的私鑰。但是我們從上面的連接流程可以看到，ssh 默認(rèn)是去讀取 $HOME/.ssh/id_rsa 文件作為私鑰登錄的。如果想要不同的服務(wù)器使用不同的私鑰進行登錄，那么需要在 .ssh 目錄下編寫 config 文件來進行配置。

config 的配置很簡單，只要指明哪個用戶登錄哪臺遠(yuǎn)程服務(wù)器需要使用哪個私鑰即可。下面給出一個配置示例。

Host github.com
 User jaychen
 IdentityFile ~/.ssh/id_rsa.github
Host 192.168.1.1
 User ubuntu
 IdentityFile ~/.ssh/id_rsa.xxx

上面 config 文件字段含義如下：

Host 指明了遠(yuǎn)程主機的 ip，除了使用 ip 地址，也可以直接使用網(wǎng)址。

User 指的是登錄遠(yuǎn)程主機的用戶。

IdentityFile 指明使用哪個私鑰文件。

編寫好 config 文件之后，需要把 config 文件的權(quán)限改為 rw-r--r--。如果權(quán)限過大，ssh 會禁止登錄。