连接到 unix 机器时，它如何知道您的桌面上设置了 SSH？

服务器端配置了它允许的身份验证类型。然后客户做出相应的反应。从我的 linux 机器上，我向我的一台主机运行了一个 ssh 会话，并带有调试输出以显示它的作用：

OpenSSH_5.3p1, OpenSSL 1.0.0-fips-beta4 10 Nov 2009
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to blahblahblah [ip_address] port 22.
debug1: Connection established.
debug1: identity file /home/username/.ssh/identity type -1
debug1: identity file /home/username/.ssh/id_rsa type 1
debug1: identity file /home/username/.ssh/id_dsa type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_4.7
debug1: match: OpenSSH_4.7 pat OpenSSH_4*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.3
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host 'hostname' is known and matches the RSA host key.
debug1: Found key in /home/username/.ssh/known_hosts:13
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,gssapi-with-mic,password
debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure.  Minor code may provide more information
Credentials cache file '/tmp/krb5cc_500' not found

debug1: Unspecified GSS failure.  Minor code may provide more information
Credentials cache file '/tmp/krb5cc_500' not found

debug1: Unspecified GSS failure.  Minor code may provide more information


debug1: Next authentication method: publickey
debug1: Offering public key: /home/username/.ssh/id_rsa
debug1: Server accepts key: pkalg ssh-rsa blen 277
debug1: Authentication succeeded (publickey).
debug1: channel 0: new [client-session]
debug1: Entering interactive session.
debug1: Sending environment.
debug1: Sending env XMODIFIERS = @im=none
debug1: Sending env LANG = en_US.UTF-8

所以你可以看到它协商了一个协议，然后开始提供身份验证类型。当它命中公钥认证时，它找到了一个密钥，发送了一个密钥，然后密钥被服务器接受，然后认证成功，并且没有继续任何其他的认证机制。如果它未能处理密钥，我会得到密码提示，因为那将是唯一可以尝试的方法。

互联网协议的伟大之处在于，它们中的大多数都有详细的工程文档，您可以查阅。在这种情况下，RFC 4251引用了许多其他与 SSH 相关的 RFC。您需要的是RFC 4252，即安全外壳 (SSH) 身份验证协议。从框架部分：

服务器通过告诉客户端哪些身份验证方法可用于在任何给定时间继续交换来驱动身份验证。客户端可以自由地以任何顺序尝试服务器列出的方法。如果需要，这使服务器可以完全控制身份验证过程，但也为客户端提供了足够的灵活性，可以在服务器提供多种方法时使用它支持的方法或对用户最方便的方法。

此时，您的客户（PuTTY）将检查它是否有任何可用的密钥（通过 Pageant）。如果它找到适用于该主机的私钥，它将使用它。如果它找到一个加密的私钥，Pageant 会要求你输入密码并为你缓存东西。然后 putty 告诉服务器“公钥”，该过程按照 RFC 4252 第 7 节进行。如果配置为这样做（通常通过 PAM），SSH 服务器可能会回退到密码身份验证。

使用 putty，您需要在配置中指定密钥或运行 putty 代理 (pageant.exe) 并加载您的密钥。服务器真的不知道您的客户端没有告诉它的任何内容，客户端通信的内容在很大程度上取决于您的配置。

腻子文档：

• 第 4.20 章：Auth 面板
• 第 9 章：使用 Pageant 进行身份验证

它不会发送您的私钥，这就是私钥/公钥对的美妙之处。

简而言之，有一对密钥，一个完全保密的私人密钥，永远不会发送给任何人；和公钥，您可以将其发送到风中，或发布到网络上，等等。

有趣的特性是，即使您知道公钥，也很难计算出相应的私钥。同时，任何用一个密钥加密的消息只能用另一个密钥解密。

使用的握手ssh大致是这样的：

• sshd服务器正在侦听 TCP 端口，通常是端口 22 。
• ssh客户端与服务器连接sshd。
• 有几个身份验证选项，客户端按顺序尝试它们，直到服务器同意一个。其中，一个涉及“提供”公钥，在连接上发送。
• 服务器将提供的公钥与它知道的公钥之一进行比较。如果它已注册，则服务器接受密钥，并开始验证它。请记住，公钥是公开的，任何人都可以拥有它，但不能保证您就是您所说的那个人。
• 客户端获取私钥（其他人不应该拥有）并使用它来加密一个值。每次都是不同的值，我认为它是由服务器生成和发送的。
• 客户端将加密的值发送到服务器，服务器使用公钥对其进行解密。如果该值与原始值匹配，则证明客户端拥有与提供的公钥配对的私钥。

我现在不在 PuTTY 附近，但在 Auth 或 Login 下，您可以选择用于每个已保存会话的密钥。没有服务正在运行。

基本上，SSH 握手会比较客户端和服务器支持的身份验证、数据加密等方法，直到找到他们可以同意或放弃的方法。标准端口是 tcp/22，但有些人更改它以减少令人讨厌的黑客尝试。

我最喜欢的关于密钥对如何工作的解释器是 Simon Tatham：公钥认证 - 简介