Linux安全之密钥登录

我们一般使用 PuTTY 等 SSH 客户端来远程管理 Linux 服务器。但是,一般的密码方式登录,容易有密码被暴力破解的问题。所以,一般我们会将 SSH 的端口设置为默认的 22 以外的端口,或者禁用 root 账户登录。其实,有一个更好的办法来保证安全,而且让你可以放心地用 root 账户从远程登录——那就是通过密钥方式登录。

密钥形式登录的原理是:利用密钥生成器制作一对密钥——一只公钥和一只私钥。将公钥添加到服务器的某个账户上,然后在客户端利用私钥即可完成认证并登录。这样一来,没有私钥,任何人都无法通过 SSH 暴力破解你的密码来远程登录到系统。此外,如果将公钥复制到其他账户甚至主机,利用私钥也可以登录。

1、首先进入Linux系统的用户目录下的.ssh目录下,root用户是/root/.ssh,普通用户是/home/您的用户名/.ssh,我们以root用户为例:

cd /root/.ssh

2、执行ssh-keygen命令创建密钥对并保存

ssh-keygen -t rsa -b 4096

这里笔者加了-b 参数,指定了长度,也可以不加-b参数,直接使用ssh-keygen -t rsa

执行密钥生成命令,基本上是一路回车既可以了,如果已经生成过密钥,不想覆盖的话可以指定路径与文件名称

执行后会生成id_rsa和id_rsa.pub两个文件,id_rsa是私钥(敲黑板:这个很重要,不能外泄),id_rsa.pub是公钥。

3、看看目录下是否有authorized_keys文件,没有的话则执行以下命令创建:

touch authorized_keys

4、执行成功会创建空authorized_keys文件,授予600权限(注意:此处权限必须是600):

chmod 600 /root/.ssh/authorized_keys

5、如果已经有了authorized_keys文件,这直接执行以下的密钥追加工作。

将上面生成的公钥id_rsa.pub追加到authorized_keys文件中:

cat /root/.ssh/id_rsa.pub >> /root/.ssh/authorized_keys

注意:单尖括号>表示将文件内容全部替换掉;双尖括号是追加;

6、如此便完成了公钥的安装。为了确保连接成功,请保证以下文件权限正确

chmod 700 ~/.ssh

7、设置 SSH,打开密钥登录功能

编辑 /etc/ssh/sshd_config 文件,进行如下设置:

RSAAuthentication yes
PubkeyAuthentication yes

8、当你完成全部设置,并以密钥方式登录成功后,再禁用密码登录:

PasswordAuthentication no

最后,重启 SSH 服务:

service sshd restart

这样便开启了密钥登录,关闭了密码登录,提高了服务的安全性

posted @ 2019-03-01 14:54  郁冬  阅读(1231)  评论(0编辑  收藏  举报