登录
    欢迎光临荷叶荷花香的个人小站~

Linux系统开启 SSH密钥登陆 并禁止root密码登陆

实用技术 荷叶荷花香 50次浏览 0个评论

我们一般使用 PuTTY 等其他 SSH 客户端来远程管理 Linux 服务器。但是,一般的密码方式登录,容易有密码被暴力破解的问题。所以,一般我们会将 SSH 的端口设置为默认的 22 以外的端口,或者禁用 root 账户登录。其实,有一个更好的办法来保证安全,那就是通过密钥的方式登录。

密钥形式登录的原理是:利用密钥生成器制作一对密钥,即一只公钥和一只私钥。将公钥添加到服务器的某个账户上,然后在客户端利用私钥即可完成认证并登录。这样一来,没有私钥,任何人都无法通过 SSH 暴力破解你的密码来远程登录到系统。此外,如果将公钥复制到其他账户甚至主机,利用私钥也可以登录。

下面来讲解如何在 Linux 服务器上制作密钥对,将公钥添加给账户,设置 SSH,最后通过客户端登录。

密钥登录首先要了解四个文件:

公钥和私钥文件, authorized_keys, 还有/etc/ssh/sshd_config配置文件.

1. 制作密钥对

首先在服务器上制作密钥对,使用 ssh-keygen 生成并配置。

执行以下命令:

ssh-keygen -t rsa


root@hehua:~# ssh-keygen -t rsa

Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): //输入文件名称,直接enter就默认名称

Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase): //输入私钥加密密码,直接enter默认空密码

Enter same passphrase again: //再次输入密码,直接enter默认空密码

Your identification has been saved in /root/.ssh/id_rsa. //文件生成成功,id_rsa为私钥

Your public key has been saved in /root/.ssh/id_rsa.pub. //文件生成成功,id_rsa.pub为公钥

The key fingerprint is:
SHA256:UiMMN2mGIQKlvvp2FSiFbGKnbwa8HiS2/CalbMWzz70 root@hehua
The key's randomart image is:
+---[RSA 2048]----+ 
|+oo.ooo. |
|.++oo++. |
|+oo. +o o |
|o*. . .o . |
|=.*. ..S |
| =.O .. |
|o.O o. |
|.*.+o . |
|oo+..o E. |
+----[SHA256]-----+
root@hehua:~#

这里命令产生的密钥长度默认是2048,我们也可以加字段把长度提高,比如4096,这样密钥更加难以破解。

命令为:ssh-keygen -t rsa -b 4096

root@hehua:~# ssh-keygen -t rsa -b 4096
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:bu3JfsHknuCxPGa9a6bZTFLfhxfA0CMWXasDuHGRMvs root@hehua
The key's randomart image is:
+---[RSA 4096]----+
|           += .. |
|         o.+++  .|
|         o=o.o.. |
|         .+ o o  |
|        S..+.o . |
|       . .oE+..o.|
|        ooo*.oo +|
|       . oBBB  ..|
|         +B*=o   |
+----[SHA256]-----+
root@hehua:~#

2.配置公钥
接下来我们需要配置一下生成的密钥,进入默认生成的文件夹内配置公钥

root@hehua:~# cd /root/.ssh
root@hehua:~/.ssh# ls
id_rsa  id_rsa.pub
root@hehua:~/.ssh# cat id_rsa.pub >> authorized_keys
root@hehua:~/.ssh# ls
authorized_keys  id_rsa  id_rsa.pub
root@hehua:~/.ssh#

3、为了确保连接成功,需要设置文件权限

root@hehua:~/.ssh# chmod 600 authorized_keys
root@hehua:~/.ssh# chmod 700 ~/.ssh

4、设置ssh,开启密钥登录功能

修改SSH的配置文件/etc/ssh/sshd_config

root@hehua:~/.ssh# vi /etc/ssh/sshd_config

//去掉前面注释#
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

:wq 保存后重启SSH服务

root@hehua:~/.ssh# systemctl restart sshd

5、下载公钥和私钥到电脑本机上

id_rsa为私钥,id_rsa.pub为公钥

建议使用Sftp工具两个文件都下,且要放到一起备用.(有些ssh工具只要私钥就行)

6、密钥测试登录成功之后,可以禁用root用户的密码登录,提高服务器的安全性。

修改SSH的配置文件/etc/ssh/sshd_config,

找到:

PasswordAuthentication yes

修改为:

PasswordAuthentication no

保存后重启SSH服务。

systemctl restart sshd

其他:

PuTTY 能使用的格式

使用 WinSCP、SFTP 等工具将私钥文件 id_rsa 下载到客户端机器上。然后打开 PuTTYGen,单击 Actions 中的 Load 按钮,载入你刚才下载到的私钥文件。如果你刚才设置了密钥锁码,这时则需要输入。

载入成功后,PuTTYGen 会显示密钥相关的信息。在 Key comment 中键入对密钥的说明信息,然后单击 Save private key 按钮即可将私钥文件存放为 PuTTY 能使用的格式。

今后,当你使用 PuTTY 登录时,可以在左侧的 Connection -> SSH -> Auth 中的 Private key file for authentication: 处选择你的私钥文件,然后即可登录了,过程中只需输入密钥锁码即可。


荷叶荷花香 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明Linux系统开启 SSH密钥登陆 并禁止root密码登陆
喜欢 (0)
[radio585@163.com]
分享 (0)
关于作者:
出淤泥而不染 · 濯清涟而不妖 · 自然之道本无为 · 若执无为便有为
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址