公鑰認證比密碼登錄安全多了，因為它不受暴力密碼攻擊的影響，但是並不方便因為它依賴於 RSA 密鑰對。首先，你要創建一個公鑰/私鑰對。下一步，私鑰放於你的客戶端電腦，並且復制公鑰到你想登錄的遠程服務器。你只能從擁有私鑰的電腦登錄才能登錄到遠程服務器。你的私鑰就和你的家門鑰匙一樣敏感；任何人獲取到了私鑰就可以獲取你的賬號。你可以給你的私鑰加上密碼來增加一些強化保護規則。

使用 RSA 密鑰對管理多個用戶是一種好的方法。當一個用戶離開了，只要從服務器刪了他的公鑰就能取消他的登錄。

以下例子創建一個新的 3072 位長度的密鑰對，它比默認的 2048 位更安全，而且為它起一個獨一無二的名字，這樣你就可以知道它屬於哪個服務器。

$ ssh-keygen -t rsa -b 3072 -f id_mailserver

以下創建兩個新的密鑰,

id_mailserver

和

id_mailserver.pub

id_mailserver

是你的私鑰--不要傳播它！現在用

ssh-copy-id

命令安全地復制你的公鑰到你的遠程服務器。你必須確保在遠程服務器上有可用的 SSH 登錄方式。

$ ssh-copy-id -i  id_rsa.pub user@remoteserver/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installeduser@remoteserver's password:Number of key(s) added: 1Now try logging into the machine, with:   "ssh 'user@remoteserver'"and check to make sure that only the key(s) you wanted were added.

ssh-copy-id 會確保你不會無意間復制了你的私鑰。從上述輸出中復制登錄命令，記得帶上其中的單引號，以測試你的新的密鑰登錄。

$ ssh 'user@remoteserver'

它將用你的新密鑰登錄，如果你為你的私鑰設置了密碼，它會提示你輸入。

/etc/sshd_config

PasswordAuthentication no

ssh -u username -p 2222 remote.site.with.long-name

ssh remote1

Host remote1HostName remote.site.with.long-namePort 2222User usernamePubkeyAuthentication no

Host remote1HostName remote.site.with.long-namePort 2222User usernameIdentityFile  ~/.ssh/id_remoteserver