SSH 使用密钥登录并禁止口令登录实践
无论是个人的 VPS 还是企业允许公网访问的服务器,如果开放 22 端口的 SSH 密码登录验证方式,被众多黑客暴力猜解捅破菊花也可能是经常发生的惨剧。企业可以通过防火墙来做限制,普通用户也可能借助修改 22 端口和强化弱口令等方式防护,但目前相对安全和简单的方案则是让 SSH 使用密钥登录并禁止口令登录。
这是最相对安全的登录管理方式
生成 PublicKey
建议设置并牢记 passphrase 密码短语,以 Linux 生成为例
Linux:ssh-keygen -t rsa
[私钥 (id_rsa) 与公钥 (id_rsa.pub)]
Windows:SecurCRT/Xshell/PuTTY
[SSH-2 RSA 2048]
#生成 SSH 密钥对
ssh-keygen -t rsa
Generating public/private rsa key pair.
#建议直接回车使用默认路径
Enter file in which to save the key (/root/.ssh/id_rsa):
#输入密码短语(留空则直接回车)
Enter passphrase (empty for no passphrase):
#重复密码短语
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
aa:8b:61:13:38:ad:b5:49:ca:51:45:b9:77:e1:97:e1 root@localhost.localdomain
The key's randomart image is:
+--[ RSA 2048]----+
| .o. |
| .. . . |
| . . . o o |
| o. . . o E |
|o.= . S . |
|.*.+ . |
|o.* . |
| . + . |
| . o. |
+-----------------+复制密钥对
也可以手动在客户端建立目录和 authorized_keys,注意修改权限
#复制公钥到无密码登录的服务器上,22 端口改变可以使用下面的命令
#ssh-copy-id -i ~/.ssh/id_rsa.pub "-p 10022 user@server"
ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.15.241
修改 SSH 配置文件
#编辑 sshd_config 文件
vi /etc/ssh/sshd_config
#禁用密码验证
PasswordAuthentication no
#启用密钥验证
RSAAuthentication yes
PubkeyAuthentication yes
#指定公钥数据库文件
AuthorsizedKeysFile .ssh/authorized_keys
重启 SSH 服务前建议多保留一个会话以防不测
#RHEL/CentOS 系统
service sshd restart
#ubuntu 系统
service ssh restart
#debian 系统
/etc/init.d/ssh restart
手动增加管理用户
可以在== 后加入用户注释标识方便管理
echo 'ssh-rsa XXXX' >>/root/.ssh/authorized_keys
# 复查
cat /root/.ssh/authorized_keys扩展阅读
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论