共计 3979 个字符,预计需要花费 10 分钟才能阅读完成。
一、密码登录的安全隐患
传统的密码登录方式,尽管简单直接,却存在诸多安全隐患。首先,密码本身容易被猜测或通过暴力破解手段获得 。特别是当用户设置了过于简单或常见的密码时,系统面临的安全风险将显著增加。其次, 密码在传输过程中可能会被截获 ,尤其是在不安全的网络环境下,这进一步加剧了安全风险。最后,即使密码本身足够复杂且安全,但用户在不同平台间重复使用密码的习惯也容易导致“ 一损俱损”的连锁反应。
俗话不怕贼偷就怕贼惦记,服务器每天收到近万条尝试登录失败的通知。
二、密钥认证的优势
此外,密钥认证还提供了更强的身份验证能力。即使攻击者获得了用户的公钥,也无法直接用于登录,因为私钥始终掌握在用户手中。同时,密钥认证还可以支持多因素认证,如结合密码、生物特征等,进一步提升系统安全性。
生成密钥对
生成 SSH 密钥对(包括公钥和私钥)是用于进行公钥认证的常见操作。以下是在 Linux 或 macOS 中生成 SSH 密钥对的步骤。
1: 生成 SSH 密钥对
-
打开终端(Terminal)。
-
使用
ssh-keygen命令生成 SSH 密钥对:ssh-keygen -t rsa -b 4096 -C"your_email@example.com"这里:
-
-t rsa:指定使用 RSA 算法。 -
-b 4096:指定密钥长度为 4096 位(更长的密钥更安全)。 -
-C "your_email@example.com":这是一个可选的标签,用于标识该密钥的用途。
-
-
系统会提示你选择保存密钥的文件路径,默认保存在
~/.ssh/id_rsa:Enter file in which to save the key (/home/youruser/.ssh/id_rsa):如果你不想使用默认路径,可以指定一个路径,或者直接按 Enter 键使用默认路径。
-
接下来,系统会提示你输入一个密码(可选),该密码用于保护你的私钥:
Enter passphrase (empty for no passphrase):如果你希望设置一个密码保护私钥,输入密码;如果不需要密码保护,直接按 Enter 键。
步骤 2: 查看生成的密钥文件
生成的密钥对包含两个文件:
-
私钥(默认文件为
~/.ssh/id_rsa):不要将私钥泄露给任何人。 -
公钥(默认文件为
~/.ssh/id_rsa.pub):可以将公钥复制到远程服务器上,用于身份验证。
可以使用以下命令查看它们:
ls -l ~/.ssh/步骤 3: 将公钥复制到远程服务器
为了使用 SSH 密钥认证登录远程服务器,你需要将公钥添加到远程服务器的 ~/.ssh/authorized_keys 文件中。
手动方式
-
复制公钥内容:
使用
cat命令查看公钥内容:cat ~/.ssh/id_rsa.pub复制输出的公钥内容(包括
ssh-rsa开头和结束的部分)。 -
将公钥添加到远程服务器:
登录到远程服务器,进入 root 或目标用户的
~/.ssh目录:ssh user@your_server_ip mkdir -p ~/.ssh chmod 700 ~/.ssh nano ~/.ssh/authorized_keys将复制的公钥粘贴到
authorized_keys文件中,并保存退出。 -
设置权限:
chmod 600 ~/.ssh/authorized_keys
使用 ssh-copy-id 自动复制公钥
如果你有密码登录的权限,可以使用 ssh-copy-id 自动将公钥复制到远程服务器:
ssh-copy-id user@your_server_ip系统会提示输入远程主机的密码,验证成功后会将公钥自动添加到远程服务器的 ~/.ssh/authorized_keys 中。
步骤 4: 测试 SSH 登录
完成上述步骤后,尝试使用以下命令登录远程服务器,验证公钥认证是否成功:
ssh -i ~/.ssh/id_rsa user@your_server_ip如果一切配置正确,你应该能够成功登录,无需输入密码(如果没有设置私钥的 passphrase)。
配置服务器 SSHD
需求:
centos7 系统,不允许 root 用户等使用密码登录,只能使用密钥登录,公钥为:ssh-rsa ABCd123
1. 配置 SSH 服务
编辑 sshd 配置文件:
vi /etc/ssh/sshd_config
在文件中修改或添加以下参数:# 禁止密码认证
PasswordAuthentication no
# 允许公钥认证
PubkeyAuthentication yes
# 禁止 root 用户使用密码登录
PermitRootLogin prohibit-password-
PasswordAuthentication no:禁止所有用户使用密码登录。 -
PubkeyAuthentication yes:允许使用公钥认证。 -
PermitRootLogin prohibit-password:禁止 root 使用密码登录,但允许其通过公钥登录。
2. 添加公钥到 root 用户
将提供的公钥 ssh-rsa ABCd123 刚才生成的密钥添加到 root 用户的 authorized_keys 文件中。
执行以下命令:
sudo mkdir -p /root/.ssh
sudo chmod 700 /root/.ssh
echo "ssh-rsa ABCd123" | sudo tee /root/.ssh/authorized_keys
sudo chmod 600 /root/.ssh/authorized_keys
sudo chown -R root:root /root/.ssh3. 重启 SSH 服务
保存修改后,重启 SSH 服务以应用更改:
sudo systemctl restart sshd4. 测试登录
确保本地有对应的私钥文件,并用以下命令测试登录:
ssh -i /path/to/private_key root@your_server_ip5. 检查日志
如果遇到问题,可以查看 /var/log/secure 获取详细日志:
sudo tail -f /var/log/secure注意事项
-
确保防火墙允许 SSH 连接,必要时检查
firewalld或iptables配置。 -
使用非
root用户管理系统,root权限仅在必要时通过sudo提升。
用 shell 脚本
#!/bin/bash
# 定义公钥内容
PUB_KEY="ssh-rsa ABCd123"
# 检查是否为 root 用户执行
if ["$(id -u)" -ne 0 ]; then
echo "请使用 root 用户执行此脚本!"
exit 1
fi
echo "开始配置 SSH 服务..."
# 设置 root 用户的公钥
echo "配置 root 用户的公钥..."
mkdir -p /root/.ssh
chmod 700 /root/.ssh
echo "$PUB_KEY" >> /root/.ssh/authorized_keys
chmod 600 /root/.ssh/authorized_keys
chown -R root:root /root/.ssh
echo "公钥配置完成!"
# 修改 SSH 配置文件
echo "修改 SSH 配置文件..."
SSHD_CONFIG="/etc/ssh/sshd_config"
# 备份原配置文件
if [! -f "$SSHD_CONFIG.bak"]; then
cp $SSHD_CONFIG "$SSHD_CONFIG.bak"
echo "原配置文件已备份到 $SSHD_CONFIG.bak"
fi
# 修改配置项
sed -i 's/^#*\(PasswordAuthentication\).*/\1 no/' $SSHD_CONFIG
sed -i 's/^#*\(PubkeyAuthentication\).*/\1 yes/' $SSHD_CONFIG
sed -i 's/^#*\(PermitRootLogin\).*/\1 prohibit-password/' $SSHD_CONFIG
# 确保关键配置存在
grep -q "^PasswordAuthentication no" $SSHD_CONFIG || echo "PasswordAuthentication no" >> $SSHD_CONFIG
grep -q "^PubkeyAuthentication yes" $SSHD_CONFIG || echo "PubkeyAuthentication yes" >> $SSHD_CONFIG
grep -q "^PermitRootLogin prohibit-password" $SSHD_CONFIG || echo "PermitRootLogin prohibit-password" >> $SSHD_CONFIG
echo "SSH 配置修改完成!"
# 重启 SSH 服务
echo "重启 SSH 服务..."
systemctl restart sshd
if [$? -eq 0]; then
echo "SSH 服务重启成功!"
else
echo "SSH 服务重启失败,请检查配置。"
exit 1
fi
echo "配置完成!root 用户已禁止密码登录,仅支持公钥认证。"
# 测试完成提示
echo "请使用以下命令测试登录:"
echo "ssh -i /path/to/private_key root@your_server_ip"
结尾
