当我从客户端连接SFTP服务器时,我只需要向客户端软件提供私钥,而不是公钥。我不知道这是如何工作的,因为从[1]和[2]开始,两者都要求客户端软件也知道公钥。
我对SFTP如何工作的理解
设置
客户端:生成私钥/公钥对。
客户端:将公钥发送到服务器
服务器:将此公钥添加到其授权密钥列表
客户端:告诉服务器公钥
服务器:检查公钥是否被授权,如果没有,拒绝,否则,向客户端发送随机会话ID
客户端:客户端使用私钥对随机会话ID进行编码并发送到服务器
服务器:通过公钥解码并确认身份。
在这种情况下,客户端需要公钥。但是,我没有提供此功能,但SFTP客户端仍然能够连接服务器。那么这个SFTP协议真的有用吗?
答案 0 :(得分:4)
虽然@Pascal Cuoq的评论是正确的答案,但它只是答案的一半,因为实际上,客户端确实需要一个公钥 - 但只有服务器的公钥,您已在known_hosts文件中使用该公钥。
如果您没有 - 请求您信任服务器在您第一次连接服务器时所呈现的那个。这是大多数人完全忽视的事情。如果您在第一次连接时遇到DNS中毒(或者还有其他形式的中间人攻击) - 或者没有注意Server identity has changed通知 - 您很容易受到MitM的攻击攻击。