牛牛逼逼叉叉
菜单

SSH 使用密钥登录并禁止口令登录实践

2015年09月14日,分类《系统运维》,作者:
博客捐助

221101le7tbwozdpwww8u5

前言

无论是个人的VPS还是企业允许公网访问的服务器,如果开放22端口的SSH密码登录验证方式,被众多黑客暴力猜解捅破菊花也可能是经常发生的惨 剧。企业可以通过防火墙来做限制,普通用户也可能借助修改22端口和强化弱口令等方式防护,但目前相对安全和简单的方案则是让SSH使用密钥登录并禁止口 令登录。

这是最相对安全的登录管理方式

生成PublicKey

建议设置并牢记passphrase密码短语,以Linux生成为例

Linux:ssh-keygen -t rsa

[私钥 (id_rsa) 与公钥 (id_rsa.pub)]

Windows:SecurCRT/Xshell/PuTTY

[SSH-2 RSA 2048]

  1. #生成SSH密钥对
  2. ssh-keygen -t rsa
  3. Generating public/private rsa key pair.
  4. #建议直接回车使用默认路径
  5. Enter file in which to save the key (/root/.ssh/id_rsa):
  6. #输入密码短语(留空则直接回车)
  7. Enter passphrase (empty for no passphrase):
  8. #重复密码短语
  9. Enter same passphrase again:
  10. Your identification has been saved in /root/.ssh/id_rsa.
  11. Your public key has been saved in /root/.ssh/id_rsa.pub.
  12. The key fingerprint is:
  13. aa:8b:61:13:38:ad:b5:49:ca:51:45:b9:77:e1:97:e1 root@localhost.localdomain
  14. The key's randomart image is:
  15. +--[ RSA 2048]----+
  16. | .o. |
  17. | .. . . |
  18. | . . . o o |
  19. | o. . . o E |
  20. |o.= . S . |
  21. |.*.+ . |
  22. |o.* . |
  23. | . + . |
  24. | . o. |
  25. +-----------------+

复制密钥对

也可以手动在客户端建立目录和authorized_keys,注意修改权限

  1. #复制公钥到无密码登录的服务器上,22端口改变可以使用下面的命令
  2. #ssh-copy-id -i ~/.ssh/id_rsa.pub "-p 10022 user@server"
  3. ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.15.241

修改SSH配置文件

  1. #编辑sshd_config文件
  2. vi /etc/ssh/sshd_config
  3. #禁用密码验证
  4. PasswordAuthentication no
  5. #启用密钥验证
  6. RSAAuthentication yes
  7. PubkeyAuthentication yes
  8. #指定公钥数据库文件
  9. AuthorsizedKeysFile .ssh/authorized_keys

重启SSH服务前建议多保留一个会话以防不测

  1. #RHEL/CentOS系统
  2. service sshd restart
  3. #ubuntu系统
  4. service ssh restart
  5. #debian系统
  6. /etc/init.d/ssh restart

手动增加管理用户

可以在== 后加入用户注释标识方便管理

  1. echo 'ssh-rsa XXXX' >>/root/.ssh/authorized_keys
  2. # 复查
  3. cat /root/.ssh/authorized_keys

扩展阅读



发表评论

电子邮件地址不会被公开。 必填项已用*标注

【上一篇】

纯手工玩转 Nginx 日志

【下一篇】

在Ubuntu下安装Node.JS的不同方式