使用putty(ssh)密匙安全登入伺服器

參考網頁：　http://www.linuxfly.org/post/175_1_1.htm

http://docs.google.com/View?docid=ajbgz6fp3pjh_2dwwwwt

我們暫且選用SSH1協議,後面討論使用SSH2協議與使用SSH1協議設定上的不同。

點選Generate生成密匙，生成後的Key passphrase 和 Confirm passphrase 兩項可以保持為空，passphrase

如果沒什麼特別高的安全要求就不用了，免得登入時還要輸入一次密碼。後面討論如果輸入passphrase，也可以自動登入系統。

點選 Save public key 按鈕和 Save private key 按鈕分別儲存公匙和私匙

例如 id_rsa1.pub 和 id_rsa1.prv。第二步：上傳密匙用自己的帳號登入遠端系統，然後執行下面的命令：
cd ~
mkdir .ssh

chmod 700 .ssh
cat id_rsa1.pub > .ssh/authorized_keys

chmod 644 .ssh/authorized_keys

第三步：設定Putty
啟動Putty

這時我們用的是SSH1協議，那麼我們就選擇協議版本1，再“SSH->Auth”，”Private key file for authentication:”　點選 Browse 按鈕，選擇 id_rsa1.prv 檔案。

再從左邊選擇 Session，然後點選 Save 按鈕把修改儲存下來。然後點選Open 按鈕就可以登入了。如果上面的操作都沒有問題，那這時應該就自動登入了，無需輸入密碼。正常情況下會顯示如下：

login as: root

Authenticating with public key "rsa-key-20050328"

Last login: Mon Mar 28 14:39:13 2005 from 192.168.0.2

有了上面第二行的資訊，表明你已經正常啟用SSH通訊了。

======================================================================
其它問題：

一，使用SSH2協議

如果要用SSH2協議，需要修改一下 /etc/ssh/ssh_config 檔案，把＃Protocol 2,1 這一行前面的＃字元去掉，預設也是先是ssh2，

再是ssh1，實際上不除去＃註釋也是可以的。

用puttygen.exe生成SSH2協議格式的密匙（操作方法同上），上傳到.ssh/authorized_keys檔案時，需作如下修改，

因為puttygen.exe和bsd/Linux生成的SSH2密匙格式不一樣。

例如puttygen.exe生成的公匙是id_rsa2.pub

[[email protected] .ssh]# cat id_rsa2.pub

---- BEGIN SSH2 PUBLIC KEY ----

Comment: "rsa-key-20050328"

AAAAB3NzaC1yc2EAAAABJQAAAIEAtZgDykOOegKu6sCGzxpzA2CwB5o2X37FM4lg

41LXw3DR2/7+aBQNYDez3BWkGIluyfuyWYlw21bEzUiJhJ9/8tX5FUJLBYr/ELtq

jI08dfhHaRjVM8cRQX7fv6jCNIuyEKlml9QuFdIOIX3bS5dkAHkk9GKMgaMISK44

zB4qUfM=

---- END SSH2 PUBLIC KEY ----

而BSD/Linux生成的ssh2格式是

[[email protected] .ssh]# cat id_rsa.pub

ssh-rsa AAAB3NzaC1yc2EAAAABIwAAAIEAsD4qEibcK1e9ZgFX6bahxnU/It5MjC/7U56n

OOZ0MDf+LHU7bWo3M6XH/mp1KeTRrHIPtmEl2PTkf9/3NffNtBdAkSJ/sWoPoaeJlShcvK2

wzOsrre4FyJRRUtl2jdCDJxRX0Cu2GV/aNphVQoAuU0lj7/55eladpO8/jr14adE=

所以照著Linux預設的格式改一下就可以了。

如果沒有 puttygen.exe，那麼可以用 bsd/linux 自帶的 ssh-keygen 生成密匙，命令格式如下：
ssh-keygen -b 密匙長度 -t 密匙型別密匙型別可以是：rsa1 （對應SSH1 RSA）、rsa 和 dsa （對應SSH2）

如：ssh-keygen –b 1024 –t rsa

預設是生成的~/.ssh/id_rsa檔案。不過 ssh-keygen 生成的SSH2密匙和putty的密匙格式不同，無法直接使用，必須用 puttygen.exe 轉換一下。

所以大家還是用 rsa1 好了，反正一般用途也沒什麼區別。

如果不存在以上轉換問題，直接如下也可。

把這個文字框裡的公鑰貼上到 vim 中去，需要說明幾點：這個文字框裡的內容是一行的，貼上到 vim 中時，別忘了按字母 o 這個鍵，否則的話，貼上進去後，開頭的 ssh-rsa 會變成 sh-rsa，為什麼呢？哈哈，想想吧。
為什麼不按字母鍵 i 呢？這個在 vim 中不就是插入麼？原因是我很懶，按字母 o，我可以節省一次按回車鍵。雖然按大寫 O 也行，那我不是還得再按一下 Shift 鍵麼？
別忘了，在 PuTTY 中預設的貼上可是按滑鼠右鍵哦，然後按一下 ESC 鍵，然後輸入 :wq 儲存退出，等等，大家先彆著急的輸入 :wq，既然輸入冒號還得按下 Shift 鍵，那我們就乾脆直接兩下大寫的字母 Z，也就是 ZZ。怎麼樣？vim 也一樣儲存退出了吧。這次又節省了一次按鍵和兩次尋找字母的移動，把懶得優良傳統再一次在實踐中發揚光大

二，讓Putty顯示中文

啟動putty

windows -> appearance -> font setting -> change...

將putty的預設字型設定為"新宋體" 小四

連線到伺服器以後輸入：

export LANG=zh_CN.GB2312

更改環境變數。

三，設定passphrase後，讓系統自動登入

開啟pageant.exe，右擊右下角的pageant.exe的圖示，"add key"，選擇剛剛生成的私匙如id_rsa2.ppk，OK，

只要開啟pageant.exe，以後就不用輸入passphrase，系統就可以自動登入了。

pageant 的作用是將解加密的 private key 放在記憶體裡，需要的時候呼叫。

======================================================================

可能出現的幾種問題：

1、Server refused our key
公匙和私匙不匹配，或者沒有 authorized_keys 檔案

解決方法：這個問題大多是使用puttygen.exe生成ssh2格式的密匙和Linux上面的不一樣，

照著上面的改（只是增加ssh-rsa）就可以了。

2、Unable to use key file "id_rsa1.prv" (SSH1 private key)
私匙檔案的格式不正確或登入型別沒有設定正確解決方法：開啟puttyàSSH選項時，“Preferred SSH protocol version:”，這時如果你用SSH1協議，

就選擇“1”，如果你使用SSH2協議就選擇“2”，這個大多是你生成的是SSH1協議的密匙，

而putty登入型別選擇為protocol 2。
=================================================