centos 7防范ssh攻击 设置ssh秘钥登录方式

1. 制作密钥对

首先在服务器上制作密钥对。首先用密码登录到你打算使用密钥登录的账户，然后执行以下命令：

ssh-keygen  <== 建立密钥对

密钥锁码在使用私钥时必须输入，这样就可以保护私钥不被盗用。当然，也可以留空，实现无密码登录。

在 root 用户目录中生成了一个 .ssh 的隐藏目录，内含两个密钥文件。id_rsa 为私钥，id_rsa.pub 为公钥。

2. 在服务器上安装公钥

安装公钥：

cd /root/.ssh
cat id_rsa.pub >> authorized_keys

设置权限

chmod 600 /root/.ssh/authorized_keys
chmod 700 /root/.ssh

3. 设置 SSH配置文件，打开密钥登录功能。

vim /etc/ssh/sshd_config 

RSAAuthentication yes (CentOS7.4弃用RSAAuthentication支持 7.4以上不需要再配置这个选项)
PubkeyAuthentication yes

PermitRootLogin yes
设置以上三个选项后，重启服务，证书成功登录后，关闭密码登录。有的配置文件中无这个RSAAuthentication yes，选项，自己手动加入。

PasswordAuthentication no

重启 SSH 

systemctl restart sshd

4. 将私钥下载到客户端，然后转换为 PuTTY 能使用的格式

使用 WinSCP、SFTP 等工具将私钥文件 id_rsa 下载到客户端机器上。然后打开 PuTTYGen，单击 Actions 中的 Load 按钮，载入你刚才下载到的私钥文件。如果你刚才设置了密钥锁码，这时则需要输入。

载入成功后，PuTTYGen 会显示密钥相关的信息。在 Key comment 中键入对密钥的说明信息，然后单击 Save private key 按钮即可将私钥文件存放为 PuTTY 能使用的格式。

使用 PuTTY 登录时，可以在左侧的 Connection -> SSH -> Auth 中的 Private key file for authentication: 处选择你的私钥文件，然后即可登录了，过程中只需输入密钥锁码即可。

5、如果不需要证书验证登录，直接删除~/.ssh下创建的相关文件即可。