[原]解决Metadata file does not match checksum错误
[原]解决set_loginuid failed opening loginuid报错
Nov
19
[原]putty使用密钥登陆OpenSSH 
四、注意事项
1、检查OpenSSH服务端的配置
引用
OpenSSH的配置通常保存在:/etc/ssh/sshd_config
PermitRootLogin no # 禁止root用户登陆
StrictModes yes # 检查密钥的用户和权限是否正确,默认打开的
RSAAuthentication yes # 启用 RSA 认证
AuthorizedKeysFile .ssh/authorized_keys # 验证公钥的存放路径
PubkeyAuthentication yes # 启用公钥认证
PasswordAuthentication no # 禁止密码认证,默认是打开的。
PermitRootLogin no # 禁止root用户登陆
StrictModes yes # 检查密钥的用户和权限是否正确,默认打开的
RSAAuthentication yes # 启用 RSA 认证
AuthorizedKeysFile .ssh/authorized_keys # 验证公钥的存放路径
PubkeyAuthentication yes # 启用公钥认证
PasswordAuthentication no # 禁止密码认证,默认是打开的。
说明:
a)如果StrictModes为yes,而authorized_keys的权限为664等的情况,则验证密钥的时候,会报错:
引用
bad ownership or modes for file /home/linuxing/.ssh/authorized_keys
b)若PasswordAuthentication设置为no,则禁用密码认证,配合启动公钥认证,是更安全的方式。
2、公钥存放的路径
Putty作为客户端是不需要使用公钥的,而Linux服务端的公钥是存放在:~/.ssh/authorized_keys中。
也就是讲,如果登陆用户的主目录不同,存放的路径是不相同的。
例如某用户:
引用
$ echo ~
/home/linuxing
则密钥在:
/home/linuxing/.ssh/authorized_keys
/home/linuxing
则密钥在:
/home/linuxing/.ssh/authorized_keys
若你想使用同一私钥,但不同用户登陆服务器,则请保证公钥信息已经写入每个用户的验证文件中咯。并且一定要注意验证文件的用户和权限不能搞错哦。
3、Key passphrase密码
如果你在保存私钥的时候,输入了Key passphrase密码。其就会使用该信息对私钥加密。这会带来一个好处:就是万一您的私钥给盗走了,但如果小偷不知道该密码,他也无法使用该私钥登陆服务器的。简单来说,就是加强了安全性。
a)在putty使用这种私钥登陆服务器的时候,就会有提示:
只有输入正确的密码才能通过认证。
※这里看上去和使用密码认证方式登陆OpenSSH有点类似。但实际上是完全不同的。该
Key passphrase密码是用于管理私钥,避免私钥被盗用的;而OpenSSH的密码认证方式使用的密码,指的是Linux服务器端的用户密码,即PAM信息。也就是说,即使你修改了PAM的密码,但只要Key passphrase信息正确,你还是可以登陆到服务器上的。(因为使用它解压出来的私钥是没变的)
b)若每次登陆都要输入Key passphrase,明显达不到我们简化登陆步骤的目的。在既要保证安全,又要简便的情况下,我们可以使用PAGEANT。
PAGEANT的作用很简单,就是在我们输入一次私钥密码后,把解密后的私钥保存在PAGEANT中。
再次使用putty登陆的时候,PAGEANT就会自动的把解密后私钥用于认证,这样就不用我们多次输入密码了。而
当我们退出PAGEANT的时候,会自动删除私钥,重新登陆的时候需要再次检验。实现“一次验证,多次使用”的目的。
打开PAGEANT,其会自动放入Windows右下角的任务栏中:
右键点击后,选择“View Keys”:
在弹出框中,选择“Add Key”,输入Putty的私钥(.PPK),并会提示输入Key passphrase:
结果:
直接选择菜单的“Add Key”也可以。
这时候,使用putty再次登陆服务器就不需要Key passphrase啦。
◎其实,即使没有Key passphrase的私钥也可以导入PAGEANT中的,这时候就可以不用在Putty的配置文件中指定私钥的路径咯。也可以达到一定的安全目的的。
c)若要修改Key passphrase,可以使用puttygen重新Load私钥,其会咨询Key passphrase信息:
输入正确密码后,即可修改,并保存新私钥即可。是否存在或修改Key passphrase是不会改变公钥信息的。
4、保存putty的配置信息
putty的配置信息是保存在Windows注册表的,需使用下面的命令导出:
regedit /e PuTTY.config.reg "HKEY_CURRENT_USER\Software\SimonTatham\PuTTY"
5、使用DSA密钥
默认配置下,OpenSSH就同时支持RSA和DSA两种编码的密钥。只要在生成密钥的时候选择“DSA”即可。例如:
# ssh-keygen -t dsa
使用上和RSA是没有区别的,把公钥信息拷贝到验证文件中即可使用。
五、公钥认证的原理
所谓的公钥认证,实际上是使用一对加密字符串,一个称为公钥(public key),任何人都可以看到其内容,用于加密;另一个称为密钥(private key),只有拥有者才能看到,用于解密。通过公钥加密过的密文使用密钥可以轻松解密,但根据公钥来猜测密钥却十分困难。
ssh 的公钥认证就是使用了这一特性。服务器和客户端都各自拥有自己的公钥和密钥。为了说明方便,以下将使用这些符号。
引用
Ac 客户端公钥
Bc 客户端密钥
As 服务器公钥
Bs 服务器密钥
Bc 客户端密钥
As 服务器公钥
Bs 服务器密钥
在认证之前,客户端需要通过某种安全的方法将公钥 Ac 登录到服务器上。
认证过程分为两个步骤:
1、会话密钥(session key)生成
客户端请求连接服务器,服务器将 As 发送给客户端。
服务器生成会话ID(session id),设为 p,发送给客户端。
客户端生成会话密钥(session key),设为 q,并计算 r = p xor q。
客户端将 r 用 As 进行加密,结果发送给服务器。
服务器用 Bs 进行解密,获得 r。
服务器进行 r xor p 的运算,获得 q。
至此服务器和客户端都知道了会话密钥q,以后的传输都将被 q 加密。
2、认证
服务器生成随机数 x,并用 Ac 加密后生成结果 S(x),发送给客户端
客户端使用 Bc 解密 S(x) 得到 x
客户端计算 q + x 的 md5 值 n(q+x),q为上一步得到的会话密钥
服务器计算 q + x 的 md5 值 m(q+x)
客户端将 n(q+x) 发送给服务器
服务器比较 m(q+x) 和 n(q+x),两者相同则认证成功
六、参考资料
一份非常详细的putty使用说明:http://docs.google.com/View?docid=ajbgz6fp3pjh_2dwwwwt
源地址打开很慢,我保存了一份:
下载文件 http://blog.3gcomet.com/article.asp?id=215
http://blog.chinaunix.net/u/25686/showart_200821.html
http://tech.idv2.com/2006/10/21/ssh-rsa-auth/
原编辑文件备份:
下载文件 
内文分页: [1] [2]
建议在修改sshd_config文件的地方增加一行:
PasswordAuthentication no
否则仍然可以用密码登录。
改成chmod 700 ~/.ssh
# chown 700 ~/.ssh
# vi ~/.ssh/authorized_keys
# chown 644 ~/.ssh/authorized_keys
这里的chown应该是chmod
谢谢你的文章,清晰明了,
好的。明白了不少。