ssh 登录

一、ssh登录过程

在实际开发中，经常使用ssh进行远程登录。ssh 登录到远程主机的过程包括：

1. 版本号协商
2. 密钥和算法协商
3. 认证
4. 交互

1.1 版本号协商阶段 
（1） 服务端打开22端口（也可以为了避免攻击，重定义ssh端口），等待客户连接 
（2） 客户端向服务端发起TCP连接，连接建立后，服务端向客户端发送第一个报文，包括版本标志字符串，格式为“协议版本号 次协议版本号 软件版本号”。 
（3） 客户端收到报文后进行解析，如果服务端的协议版本号比自己的低，则使用服务端的协议版本号，否则使用客户端自己的协议版本号。然后客户端回复给服务端一个报文，包含客户端决定使用的协议版本号。 
（4） 服务端比较客户端发过来的版本号，决定是否能同客户端交互。 
（5） 如果协商成功，则进入密钥和算法协商阶段，否则服务端断开TCP连接。

1.2 密钥和算法协商阶段 
（1） 服务端和客户端分别发送算法协商报文给对方，报文中包含自己支持的公钥算法列表、加密算法列表、消息验证码算法列表、压缩算法列表等。 
（2） 服务端和客户端根据对方和自己支持的算法得出最终使用的算法。 
记 c公 为客户端公钥，c私 为客户端私钥， s公 为服务端公钥， s私 为服务端私钥 
（3） 服务端将 s公 发送给客户端 
（4） 服务端生成 会话ID，发送给客户端 
（5） 客户端生成 会话密钥， 设为key，并计算 res = ID 异或 key 
（6） 客户端将 res 用 s公 进行加密，结果发送给服务端 
（7） 服务端用 s私 解密，得到 res， 计算 res 异或 ID 得到 key 
至此，服务端和客户端都得到了会话密钥和会话ID，以后的数据传输都使用会话密钥（为对称性加密算法的密钥）进行加密和解密。

1.3 认证阶段 
1.3.1 . 基于账号和口令的认证 
（1） 客户端使用密钥和算法协商阶段生成的会话密钥加密账号、认证方式、口令，将结果发送给服务器。 
（2） 服务端使用获得的会话密钥解密报文，得到账号和口令。 
（3） 服务端对这个账号和口令进行判断，如果失败，向客户端发送认证失败报文，其中包含了可以再次认证的方法列表，客户端从认证方法列表中选择一种方法再次认证，这个过程反复进行直到认证成功或者认证次数达到上限，服务端关闭本次TCP连接； 如果成功，则进行交互阶段

1.3.2 . 基于公钥和私钥的认证

（0） 客户端使用ssh-keygen 程序生成公钥 id_rsa.pub 和 私钥 id_rsa, 然后把id_rsa.pub 通过某种方式发送给服务端 
（0） 服务端把客户端的公钥放在将要远程登录过来的那个账号的 .ssh 目录下面 
（1） 客户端使用密钥和算法协商阶段生成的会话密钥加密账号、认证方法、id_rsa.pub，将结果传给服务端
（2） 服务端使用会话密钥解密报文，得到账号、id_rsa.pub， 服务端在这个账号的目录的 .ssh 目录下找对应的公钥，如果没有找到，则发送失败消息给客户端；如果找到，比较客户端发送来的公钥和找到的公钥，如果内容相同，则服务端生成一个随机的字符串，称为“质询”，然后使用找到的公钥加密这个质询，然后使用会话密钥再次加密，将这个双重加密的数据传送给客户端 
（3） 客户端使用会话密钥解密报文，然后使用id_rsa私钥再次解密数据，得到质询 
（4） 客户端使用会话密钥加密质询，发送给服务端 
（5） 服务端使用会话密钥解密报文，得到质询，判断是不是自己生成的那个质询。如果不相同，则发送失败消息给客户端；如果相同，则认证通过。

二、linux下实现无密码登录ssh

由以上介绍可以知道，使用基于公钥和私钥的验证方式可以不使用密码进行ssh登录。如果要实现在machine A的账号X 下无密码登录到 machine B的账号Y，在linux下的具体操作步骤如下： 
（1） 在machine A的账号 X下调用ssh-keygen 生成公私钥对 ssh-keygen -t rsa 
（2） 将公钥 id_rsa.pub 传到machine B的账户Y的目录 /home/Y/.ssh/下，然后将id_rsa.pub的内容添加到文件 authorized_keys 末尾 cat X.id_rsa.pub >> authorized_keys 
（3） 注意 authorized_keys 不能有group的write权限 chmod 644 authorized_keys 
（4） 这样，在machine A上账户X就可以直接登录到machineＢ的账户Ｙ中，而不需要使用密码。

其中步骤（2） 可以有更简洁的做法：在machine A的账户X下执行 ssh-copy-id Y@machineB 
或者 ssh Y@machineB 'mkdir -p .ssh && cat >> .ssh/authorized_keys' < ~/.ssh/id_rsa.pub 
    ssh Y@machineB，表示登录远程主机； 
    单引号中的mkdir .ssh && cat >>.ssh/authorized_keys，表示登录后在远程shell上执行的命令： 
"$ mkdir -p .ssh"的作用是，如果用户主目录中的.ssh目录不存在，就创建一个； 
    'cat >> .ssh/authorized_keys' < ~/.ssh/id_rsa.pub的作用是，将本地的公钥文件~/.ssh/id_rsa.pub，重定向追加到远程文件authorized_keys的末尾。

三、实际应用

ssh登录有密码登录和证书登录，实际的工作环境中，尤其是互联网公司，基本都是证书登录。内网的机器有可能通过密码登录，但在外网的机器，如果是密码登录，很容易受到攻击，真正的生产环境中，ssh登录都是证书登录。 
    而且在客户端生成公私钥对的时候，也需要设置密码，以后每次ssh登录的时候，客户端都需要输入密码（如果工作中，使用了一个没有密码的私钥，则私钥就可能被别人盗取，进而服务器被黑....）。当然在保密性要求不是很严格的场景下，一般都是不设置证书密码的.

参考

ssh登录详细过程