一、技术背景与安全价值

SSH协议作为远程管理的核心工具，传统密码认证方式存在暴力破解风险。据安全研究机构统计，弱密码导致的SSH服务入侵事件占所有远程攻击的63%。密钥认证通过非对称加密技术构建信任链，其安全性基于以下原理：

1. 数学复杂性：RSA-2048密钥的破解需要消耗相当于当前全球算力总和数万年的计算资源
2. 双向认证：服务器通过预置公钥验证客户端身份，客户端通过密钥交换验证服务器真实性
3. 前向安全性：每次会话生成独立会话密钥，即使长期私钥泄露也不影响历史会话

行业实践表明，密钥认证可使暴力破解成功率降低至0.0001%以下。主流云服务商的安全基线均要求SSH服务必须启用密钥认证，并禁用密码登录功能。

二、密钥对生成与格式转换

2.1 客户端密钥生成

在SecureCRT中通过以下步骤创建密钥对：

1. 打开Global Options → SSH2 → Authentication
2. 点击”Generate New Key”按钮
3. 选择密钥类型（推荐RSA 2048位或Ed25519）
4. 设置密钥注释（建议包含用户标识和生成日期）
5. 输入加密口令（可选但强烈建议设置）

生成的密钥文件包含：

• 私钥文件（.ppk格式）：需严格保密，建议存储在加密存储设备
• 公钥文件：包含OpenSSH格式的公钥数据

2.2 格式转换处理

不同系统间的密钥兼容性处理：

# 将SecureCRT生成的PPK格式转换为OpenSSH格式
# 使用PuTTYgen工具（Windows版包含在SecureCRT安装包）
# 操作步骤：
# 1. 打开PuTTYgen
# 2. Load → 选择.ppk文件
# 3. Conversions → Export OpenSSH key
# 4. 保存为id_rsa文件（无扩展名）

对于Linux/macOS系统，可直接使用ssh-keygen工具：

# 生成Ed25519密钥对（现代推荐方案）
ssh-keygen -t ed25519 -C "user@example.com"
# 生成RSA密钥对（兼容旧系统）
ssh-keygen -t rsa -b 4096 -C "user@example.com"

三、服务器端配置规范

3.1 公钥部署

将转换后的公钥文件部署到服务器指定目录：

# 创建.ssh目录并设置权限
mkdir -p ~/.ssh
chmod 700 ~/.ssh
# 将公钥内容追加到authorized_keys
cat id_rsa.pub >> ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys
# 验证文件权限（必须严格遵守）
ls -la ~/.ssh
# 应显示：
# -rw------- 1 user user  394 Jan 10 10:00 authorized_keys
# drwx------ 2 user user 4096 Jan 10 09:58 .ssh

3.2 SSH服务配置

修改/etc/ssh/sshd_config文件的关键参数：

# 禁用密码认证
PasswordAuthentication no
# 启用密钥认证
PubkeyAuthentication yes
# 指定密钥类型（可选）
PubkeyAcceptedKeyTypes ssh-ed25519,rsa-sha2-256,rsa-sha2-512
# 限制root登录（生产环境建议）
PermitRootLogin no
# 启用登录失败限制
MaxAuthTries 3
LoginGraceTime 20

配置修改后需重启SSH服务：

# Systemd系统
systemctl restart sshd
# SysVinit系统
service ssh restart

四、客户端连接配置

4.1 SecureCRT会话设置

1. 创建新SSH2会话
2. 在Authentication设置中：
   • 取消勾选”Password”
   • 勾选”PublicKey”
   • 指定私钥文件路径
3. 在Connection → SSH2子项中：
   • 启用”Attempt authentication using GSSAPI”（如需Kerberos集成）
   • 设置”Initial method”为”PublicKey”

4.2 连接测试与验证

首次连接时需验证服务器指纹：

The server's host key is not cached in the registry. You
have no guarantee that the server is the computer you
think it is.
...
Host key fingerprint is:
ssh-ed25519 255 xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx

通过以下命令验证连接日志：

# 服务器端查看认证日志
journalctl -u sshd --no-pager -n 50 | grep sshd
# 客户端查看连接详情
# 在SecureCRT的Script窗口执行：
$lang = "vbscript"
$result = $object.Session.GetScriptingVariable("SSH_AUTH_LOG")

五、高级安全实践

5.1 密钥轮换策略

建议每90天更换密钥对，实施流程：

1. 生成新密钥对并部署到服务器
2. 保留旧密钥30天作为过渡期
3. 更新所有自动化脚本中的密钥引用
4. 最终移除旧密钥

5.2 多因素认证集成

可通过以下方式增强安全性：

1. 密钥+OTP：配置PAM模块实现Google Authenticator集成
2. 硬件令牌：使用YubiKey等FIDO2设备存储私钥
3. 会话审计：部署日志收集系统记录所有SSH会话

5.3 自动化部署方案

对于大规模服务器部署，推荐使用Ansible剧本：

- name: Configure SSH key authentication
  hosts: all
  tasks:
    - name: Ensure .ssh directory exists
      file:
        path: ~/.ssh
        state: directory
        mode: 0700
    - name: Deploy authorized_keys
      copy:
        src: files/authorized_keys
        dest: ~/.ssh/authorized_keys
        mode: 0600
        validate: 'ssh-keygen -l -f %s'
    - name: Configure SSH daemon
      lineinfile:
        path: /etc/ssh/sshd_config
        regexp: "^{{ item.key }}"
        line: "{{ item.key }} {{ item.value }}"
        state: present
      loop:
        - { key: 'PasswordAuthentication', value: 'no' }
        - { key: 'PubkeyAuthentication', value: 'yes' }
      notify: Restart sshd
  handlers:
    - name: Restart sshd
      service:
        name: sshd
        state: restarted

六、故障排查指南

常见问题及解决方案：

对于复杂环境，建议使用tcpdump抓包分析：

tcpdump -i eth0 -nn -v port 22 and host x.x.x.x

通过系统化的密钥管理方案，可构建起涵盖认证、授权、审计的完整安全体系。实际部署时需结合企业安全策略，在便利性与安全性之间取得平衡。建议定期进行渗透测试验证配置有效性，确保远程管理通道的持续安全。