SSH登陆方式，基本配置

SSH只是一种协议，存在多种实现，既有商业实现，也有开源实现。本文主要介绍OpenSSH免费开源实现在Ubuntu中的应用，如果要在Windows中使用SSH，需要使用另一个软件PuTTY。

SSH之所以能够保证安全，原因在于它采用了非对称加密技术(RSA)加密了所有传输的数据。

传统的网络服务程序，如FTP、Pop和Telnet其本质上都是不安全的；因为它们在网络上用明文传送数据、用户帐号和用户口令，很容易受到中间人（man-in-the-middle）攻击方式的攻击。就是存在另一个人或者一台机器冒充真正的服务器接收用户传给服务器的数据，然后再冒充用户把数据传给真正的服务器。

但并不是说SSH就是绝对安全的，因为它本身提供两种级别的验证方法：

口令登录非常简单，只需要一条命令

还要说明的是，SSH服务的默认端口是22，也就是说，如果你不设置端口的话登录请求会自动送到远程主机的22端口。我们可以使用 -p 选项来修改端口号，比如：

首先使用ssh-keygen命令生成密钥对

然后根据提示一步步的按enter键即可，执行结束以后会在 /home/当前用户 目录下生成一个 .ssh 文件夹,其中包含私钥文件 id_rsa 和公钥文件 id_rsa.pub 。

（其中有一个提示是要求设置私钥口令passphrase，不设置则为空，如果为了免密登陆可以不设置。）

使用 ssh-copy-id 命令将公钥复制到远程主机

ssh-copy-id会将公钥写到远程主机的 /root/ .ssh/authorized_key 文件中

使用ssh-copy-id命令登陆哪个用户就会存放在哪个用户的home目录下。

也可以手动复制到authorized_key文件当中。

第一次登录时，会提示用户

意思是无法验证用户的公钥，是否正确，询问用户是否要继续。

ECDSA key给出了远程主机公钥的SHA256编码过的值，一般在远程主机的网站会告示公钥的值，

用户可以将这个公钥和网站上的公钥进行比对，正确则表明是远程主机。

输入yes之后，系统会将公钥加入到已知的主机列表，如下所示，已知列表中的主机，下次不会再询问。

SSH的配置文件通常在 /etc/ssh/sshd_config

配置文件中有非常详尽的注释，一般在工作中主要用到的几个配置

ssh 提供两种级别的安全认证：

需要知道用户名和密码即可登录，该连接是加密的，但客户端不能确认目标主机是否为“伪造的”，也不能保证口令安全。

远程主机的 /etc/ssh/sshd_config 需配置：

重启 sshd 使改动生效：

需要用户持有“公钥/私钥对”，远程服务器持有公钥，本地持有私钥。

客户端向服务器发出请求。服务器收到请求之后，先在用户的主目录下找到该用户的公钥，然后对比用户发送过来的公钥。如果一致，服务器用公钥加密“质询”并发送给客户端。客户端收到“质询”后用私钥解密，再发还给服务器。认证结束。

生成 ssh-key，选加密算法（rsa、dsa），给秘钥命名（可选）：

passphrase 是证书口令，以加强安全性，避免证书被恶意复制。

会在 ~.ssh 下生成 id_rsa , id_rsa.pub 两个文件，分别是 私钥/公钥。

公钥需保存到远程服务器 ~/.ssh/authorized_keys 里，私钥由客户端本地留存。

要保证 .ssh 和 authorized_keys 都只有用户自己有写权限。否则验证无效。

简单情况下，通过手动指定私钥文件登录

觉得麻烦可以配置客户端的 /etc/ssh/ssh_config

你也可以使用 SSH Agent，下面以使用 GitHub 为场景简单介绍。

创建 ~/.ssh/config

配置完成后，在连接非默认账号的仓库时，远端地址要修改为

---