AskOverflow.Dev

AskOverflow.Dev Logo AskOverflow.Dev Logo

AskOverflow.Dev Navigation

  • 主页
  • 系统&网络
  • Ubuntu
  • Unix
  • DBA
  • Computer
  • Coding
  • LangChain

Mobile menu

Close
  • 主页
  • 系统&网络
    • 最新
    • 热门
    • 标签
  • Ubuntu
    • 最新
    • 热门
    • 标签
  • Unix
    • 最新
    • 标签
  • DBA
    • 最新
    • 标签
  • Computer
    • 最新
    • 标签
  • Coding
    • 最新
    • 标签
主页 / computer / 问题 / 1658654
Accepted
c_anirudh
c_anirudh
Asked: 2021-06-24 22:19:52 +0800 CST2021-06-24 22:19:52 +0800 CST 2021-06-24 22:19:52 +0800 CST

基于 SFTP 密钥的身份验证如何工作?SSH 和 SFTP 密钥之间的区别

  • 772

我最近在某处读到:

SSH 密钥用于加密,而 SFTP 密钥用于身份验证。

考虑一下,我们有一台客户端机器C和一台 SFTP 服务器S。为了建立 SSH 连接(使用公钥/私钥),客户端创建密钥对 PU c和 PR c。公钥 PU c添加到authorized_keys服务器 S 中的文件中,客户端 C 使用他们的私钥 PR c建立连接。

但是,我已经阅读过,对于 SFTP,密钥对是在服务器中针对用户创建的,并且私钥与客户端共享,以便他们验证 SFTP 连接。 也就是说,服务器 S 创建 PU和PR并将私钥 PR提供给客户端 C 以验证他的 SFTP 连接。这种理解正确吗?

如果是,我了解设置 SSH 连接分三个阶段进行:

  1. 客户端验证服务器(主机密钥检查)。
  2. 生成会话密钥以加密所有通信。
  3. 客户端的身份验证。

客户端如何在步骤 3 中验证他们的 SFTP 会话(使用他们事先从服务器获得的私钥)?

ssh linux
  • 1 1 个回答
  • 4338 Views

1 个回答

  • Voted
  1. Best Answer
    user1686
    2021-06-24T22:32:43+08:002021-06-24T22:32:43+08:00

    没有“SFTP 密钥认证”之类的东西,也根本没有“SFTP 密钥”。

    SFTP 始终使用标准 SSH 作为传输方式——差异仅在您成功验证后才开始(客户端然后请求交互式会话或“sftp”子系统会话)。换句话说,SFTP 的工作方式与 Git-over-SSH 或 Rsync-over-SSH 完全相同。

    最后,SSH 密钥不用于加密;它们都仅用于身份验证(双向)。因此,您阅读和引用的句子在各方面都是虚假的。

    然而,有两对用于身份验证的密钥对——一个属于服务器(在安装期间创建),其公钥由客户端验证,另一对属于客户端,其公钥由服务器验证。

    SFTP 和交互式 SSH 的总体流程是:

    1. 会话密钥交换:客户端和服务器(通常)使用 Diffie-Hellman 协商对称加密密钥。
    2. 主机密钥检查:服务器通过使用其私钥对一些数据进行签名来验证自己,客户端根据其known_hosts. (签名数据包括之前协商好的会话密钥等参数,防止中间人攻击。)
    3. 用户身份验证:客户端通过使用其私钥对一些数据进行签名来验证自己,服务器会根据其authorized_keys. (在这个阶段,数据只是一个随机挑战。)
    4. 会话设置:客户端打开多个通道与服务器交互(例如“代理转发”通道、“TCP 转发”通道、“交互式 shell 会话”通道、“非交互式 shell 命令”通道或“sftp 子系统”通道)。

    客户端甚至可以通过同一连接打开多个会话——支持多路复用的客户端(例如 OpenSSH 或 Tunnelier)将允许您只进行一次身份验证,然后在同一连接上运行多个交互式 shell 和/或 SFTP 传输。

    (另外,我很可能会混淆 SSH 的“会话”与“通道”的相对顺序,但至少你有一个粗略的想法。)

    请注意,步骤 3 中的客户端可以通过其他方式(例如 Kerberos 或简单密码)验证自身,而不需要使用密钥对。这对于 SFTP 和交互式 SSH 仍然完全相同。

    • 8

相关问题

  • 需要 LDAP 身份验证 * 和 * ssh 身份验证

  • 加载密钥“ec256.pem”:尝试从私钥生成公钥时抛出无效格式

  • 如何在域和 Linux 活动目录中启用指纹传感器

  • 如何在CentOS 7 中将Ctrl+C 永久更改为Ctrl+K?

  • 为什么 chown 600 id_rsa 修复权限问题?

Sidebar

Stats

  • 问题 205573
  • 回答 270741
  • 最佳答案 135370
  • 用户 68524
  • 热门
  • 回答
  • Marko Smith

    如何减少“vmmem”进程的消耗?

    • 11 个回答
  • Marko Smith

    从 Microsoft Stream 下载视频

    • 4 个回答
  • Marko Smith

    Google Chrome DevTools 无法解析 SourceMap:chrome-extension

    • 6 个回答
  • Marko Smith

    Windows 照片查看器因为内存不足而无法运行?

    • 5 个回答
  • Marko Smith

    支持结束后如何激活 WindowsXP?

    • 6 个回答
  • Marko Smith

    远程桌面间歇性冻结

    • 7 个回答
  • Marko Smith

    子网掩码 /32 是什么意思?

    • 6 个回答
  • Marko Smith

    鼠标指针在 Windows 中按下的箭头键上移动?

    • 1 个回答
  • Marko Smith

    VirtualBox 无法以 VERR_NEM_VM_CREATE_FAILED 启动

    • 8 个回答
  • Marko Smith

    应用程序不会出现在 MacBook 的摄像头和麦克风隐私设置中

    • 5 个回答
  • Martin Hope
    Saaru Lindestøkke 为什么使用 Python 的 tar 库时 tar.xz 文件比 macOS tar 小 15 倍? 2021-03-14 09:37:48 +0800 CST
  • Martin Hope
    CiaranWelsh 如何减少“vmmem”进程的消耗? 2020-06-10 02:06:58 +0800 CST
  • Martin Hope
    Jim Windows 10 搜索未加载,显示空白窗口 2020-02-06 03:28:26 +0800 CST
  • Martin Hope
    v15 为什么通过电缆(同轴电缆)的千兆位/秒 Internet 连接不能像光纤一样提供对称速度? 2020-01-25 08:53:31 +0800 CST
  • Martin Hope
    andre_ss6 远程桌面间歇性冻结 2019-09-11 12:56:40 +0800 CST
  • Martin Hope
    Riley Carney 为什么在 URL 后面加一个点会删除登录信息? 2019-08-06 10:59:24 +0800 CST
  • Martin Hope
    zdimension 鼠标指针在 Windows 中按下的箭头键上移动? 2019-08-04 06:39:57 +0800 CST
  • Martin Hope
    jonsca 我所有的 Firefox 附加组件突然被禁用了,我该如何重新启用它们? 2019-05-04 17:58:52 +0800 CST
  • Martin Hope
    MCK 是否可以使用文本创建二维码? 2019-04-02 06:32:14 +0800 CST
  • Martin Hope
    SoniEx2 更改 git init 默认分支名称 2019-04-01 06:16:56 +0800 CST

热门标签

windows-10 linux windows microsoft-excel networking ubuntu worksheet-function bash command-line hard-drive

Explore

  • 主页
  • 问题
    • 最新
    • 热门
  • 标签
  • 帮助

Footer

AskOverflow.Dev

关于我们

  • 关于我们
  • 联系我们

Legal Stuff

  • Privacy Policy

Language

  • Pt
  • Server
  • Unix

© 2023 AskOverflow.DEV All Rights Reserve