在旅途中从酒店通过SSH连接到服务器真的安全吗？

在旅途中使用SSH从酒店连接到服务器真的安全吗？

服务器：
-CentOS 7-
仅通过RSA密钥授权-密码身份验证被拒绝
-非标准端口

工作站：
-Ubuntu 14-
用户密码
-使用RSA密钥的密码（标准方法）

最好将一半的RSA私钥保留在USB记忆棒上，然后在连接之前自动（通过脚本）将这一半添加到〜/ .ssh / private_key中？

互联网将通过酒店的WIFI上网或租用公寓中的电缆上网。

UPD
对不起，起初不清楚。我的意思是两个方面的安全性：

1. 通过不可信网络的SSH连接的安全性。
2. 使用SSH连接所需的密钥来保护计算机的安全-如果被盗，如何保护服务器...

因此，关于通过显式不受信任的连接建立ssh连接。

假设您已经有来自先前连接的〜/ .ssh / known_hosts条目，是的，您应该能够进行连接而不必担心网络是否安全。如果您还有其他验证ssh主机密钥的方法，也是如此。

如果您以前从未连接过服务器，或者也没有其他任何方法可以验证ssh主机密钥，那么您可能需要更加谨慎地对待用于连接的网络。

在问题的第二部分，您似乎担心笔记本电脑被盗，并担心无密码SSH登录到服务器的私钥被盗。

请注意，通过使用“密码”对“加密”的私钥进行存储，可以轻松解决此问题（私钥问题）：可以在使用ssh-keygen实用程序生成时通过在末尾提供密码来对它们进行初始加密。生成过程，或者，如果您已经将它们取消加密，则使用带选项的ssh-keygen实用程序-p。密钥加密后，每次登录时，系统都会要求您输入相关的密码，如果正确，一切将正常进行。

另外，如果您不想在每次启动ssh客户端时都输入密码，则可以使用ssh-agent：它可以在内存中跟踪未加密的私钥。您可以简单地运行ssh-add，指向包含加密密钥的文件，然后在要求输入密码后，将该密钥添加到ssh-agent管理的集合中。此后，每当SSH客户端需要一个受密码保护的密钥时，ssh-agent就会透明地向ssh客户端提供相关的未加密私钥。因此，对于您来说，不需要以交互方式输入它。

请注意，ssh-agent可以管理大量密钥，显然，您可以ssh-add在登录/启动时“调整”笔记本/台式机以启动实用程序（以填充ssh-agent密钥集）。

另外，如果有人偷了您的笔记本电脑，您的私钥可能不是您要提供的唯一“敏感”内容：请注意，使用当今的Linux桌面发行版，非常容易依靠“加密”来设置笔记本电脑文件系统（/home作为启动器，但/如果需要的话，则为整个文件系统）。因此，请也考虑这一点。

如果您不依靠自己的笔记本电脑，那么以上所有内容显然都不适用。

PS：关于将两半未加密的私钥存储在不同介质上的可能性：我强烈建议您不要这样做，因为以未加密的形式维护这两部分敏感内容比保留两半敏感得多。完整内容的完整副本，已加密！

您的问题的第一部分已由先前的答复回答。作为第二部分，我建议您使用pam_google_authenticator在您的ssh登录中添加第二个因素。这是相当容易的设置和配置任何发行版。如果您携带的私钥被盗，则无法使用Google身份验证器的TOTP一次性密码登录到您的服务器。

https://www.howtoforge.com/tutorial/secure-ssh-with-google-authenticator-on-centos-7