安科网

SSH 使用密钥登录并禁止口令登录实践

ThankTF

ThankTF

2015-07-08

关注 关注

SSH 使用密钥登录并禁止口令登录实践

 

前言

无论是个人的VPS还是企业允许公网访问的服务器,如果开放22端口的SSH密码登录验证方式,被众多黑客暴力猜解捅破菊花也可能是经常发生的惨剧。企业可以通过防火墙来做限制,普通用户也可能借助修改22端口和强化弱口令等方式防护,但目前相对安全和简单的方案则是让SSH使用密钥登录并禁止口令登录。

这是最相对安全的登录管理方式

 

生成PublicKey

建议设置并牢记passphrase密码短语,以Linux生成为例

Linux:ssh-keygen -t rsa

[私钥 (id_rsa) 与公钥 (id_rsa.pub)]

Windows:SecurCRT/Xshell/PuTTY

[SSH-2 RSA 2048]

  1. <span class="com">#生成SSH密钥对</span>
  2. <span class="pln">ssh</span><span class="pun">-</span><span class="pln">keygen </span><span class="pun">-</span><span class="pln">t rsa</span>
  3. <span class="typ">Generating</span><span class="kwd">public</span><span class="pun">/</span><span class="kwd">private</span><span class="pln"> rsa key pair</span><span class="pun">.</span>
  4. <span class="com">#建议直接回车使用默认路径</span>
  5. <span class="typ">Enter</span><span class="pln"> file </span><span class="kwd">in</span><span class="pln"> which to save the key </span><span class="pun">(</span><span class="str">/root/</span><span class="pun">.</span><span class="pln">ssh</span><span class="pun">/</span><span class="pln">id_rsa</span><span class="pun">):</span>
  6. <span class="com">#输入密码短语(留空则直接回车)</span>
  7. <span class="typ">Enter</span><span class="pln"> passphrase </span><span class="pun">(</span><span class="pln">empty </span><span class="kwd">for</span><span class="kwd">no</span><span class="pln"> passphrase</span><span class="pun">):</span>
  8. <span class="com">#重复密码短语</span>
  9. <span class="typ">Enter</span><span class="pln"> same passphrase again</span><span class="pun">:</span>
  10. <span class="typ">Your</span><span class="pln"> identification has been saved </span><span class="kwd">in</span><span class="pun">/</span><span class="pln">root</span><span class="pun">/.</span><span class="pln">ssh</span><span class="pun">/</span><span class="pln">id_rsa</span><span class="pun">.</span>
  11. <span class="typ">Your</span><span class="kwd">public</span><span class="pln"> key has been saved </span><span class="kwd">in</span><span class="pun">/</span><span class="pln">root</span><span class="pun">/.</span><span class="pln">ssh</span><span class="pun">/</span><span class="pln">id_rsa</span><span class="pun">.</span><span class="pln">pub</span><span class="pun">.</span>
  12. <span class="typ">The</span><span class="pln"> key fingerprint </span><span class="kwd">is</span><span class="pun">:</span>
  13. <span class="pln">aa</span><span class="pun">:</span><span class="lit">8b</span><span class="pun">:</span><span class="lit">61</span><span class="pun">:</span><span class="lit">13</span><span class="pun">:</span><span class="lit">38</span><span class="pun">:</span><span class="pln">ad</span><span class="pun">:</span><span class="pln">b5</span><span class="pun">:</span><span class="lit">49</span><span class="pun">:</span><span class="pln">ca</span><span class="pun">:</span><span class="lit">51</span><span class="pun">:</span><span class="lit">45</span><span class="pun">:</span><span class="pln">b9</span><span class="pun">:</span><span class="lit">77</span><span class="pun">:</span><span class="pln">e1</span><span class="pun">:</span><span class="lit">97</span><span class="pun">:</span><span class="pln">e1 root@localhost</span><span class="pun">.</span><span class="pln">localdomain</span>
  14. <span class="typ">The</span><span class="pln"> key</span><span class="str">'s randomart image is:</span>
  15. <span class="str">+--[ RSA 2048]----+</span>
  16. <span class="str">| .o. |</span>
  17. <span class="str">| .. . . |</span>
  18. <span class="str">| . . . o o |</span>
  19. <span class="str">| o. . . o E |</span>
  20. <span class="str">|o.= . S . |</span>
  21. <span class="str">|.*.+ . |</span>
  22. <span class="str">|o.* . |</span>
  23. <span class="str">| . + . |</span>
  24. <span class="str">| . o. |</span>
  25. <span class="str">+-----------------+</span>

 

复制密钥对

也可以手动在客户端建立目录和authorized_keys,注意修改权限

  1. <span class="com">#复制公钥到无密码登录的服务器上,22端口改变可以使用下面的命令</span>
  2. <span class="com">#ssh-copy-id -i ~/.ssh/id_rsa.pub "-p 10022 user@server"</span>
  3. <span class="pln">ssh</span><span class="pun">-</span><span class="pln">copy</span><span class="pun">-</span><span class="pln">id </span><span class="pun">-</span><span class="pln">i </span><span class="pun">~</span><span class="str">/.ssh/</span><span class="pln">id_rsa</span><span class="pun">.</span><span class="pln">pub root@192</span><span class="pun">.</span><span class="lit">168.15</span><span class="pun">.</span><span class="lit">241</span>

 

修改SSH配置文件

  1. <span class="com">#编辑sshd_config文件</span>
  2. <span class="pln">vi </span><span class="pun">/</span><span class="pln">etc</span><span class="pun">/</span><span class="pln">ssh</span><span class="pun">/</span><span class="pln">sshd_config</span>
  3. <span class="com">#禁用密码验证</span>
  4. <span class="typ">PasswordAuthentication</span><span class="kwd">no</span>
  5. <span class="com">#启用密钥验证</span>
  6. <span class="typ">RSAAuthentication</span><span class="pln"> yes</span>
  7. <span class="typ">PubkeyAuthentication</span><span class="pln"> yes</span>
  8. <span class="com">#指定公钥数据库文件</span>
  9. <span class="typ">AuthorsizedKeysFile</span><span class="pun">.</span><span class="pln">ssh</span><span class="pun">/</span><span class="pln">authorized_keys</span>

重启SSH服务前建议多保留一个会话以防不测

  1. <span class="com">#RHEL/CentOS系统</span>
  2. <span class="pln">service sshd restart</span>
  3. <span class="com">#Ubuntu系统</span>
  4. <span class="pln">service ssh restart</span>
  5. <span class="com">#debian系统</span>
  6. <span class="pun">/</span><span class="pln">etc</span><span class="pun">/</span><span class="pln">init</span><span class="pun">.</span><span class="pln">d</span><span class="pun">/</span><span class="pln">ssh restart</span>

 

手动增加管理用户

可以在== 后加入用户注释标识方便管理

  1. <span class="pln">echo </span><span class="str">'ssh-rsa XXXX'</span><span class="pun">>></span><span class="str">/root/</span><span class="pun">.</span><span class="pln">ssh</span><span class="pun">/</span><span class="pln">authorized_keys</span>
  2. <span class="com"># 复查</span>
  3. <span class="pln">cat </span><span class="pun">/</span><span class="pln">root</span><span class="pun">/.</span><span class="pln">ssh</span><span class="pun">/</span><span class="pln">authorized_keys</span>

ssh 密钥管理

ThankTF

ThankTF

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

Navicat如何远程连接云服务器数据库

本来没有开启秘钥的远程服务器端数据库连接非常方便,就在新建连接上填入数据就ok了,但是开启SSH秘钥后的服务器连接有一个大坑,下面来详细讲讲。这里的SSH部分就好了,千万别急着测试。对了最后还要说一句,测试成功之后按确定之后,当你双击数据库的时候,有一件很

projava 2020-11-14

用docker运行postgreSQL的方法步骤

drwx------ 19 polkitd ssh_keys 4096 Jan 14 08:40 .drwxr-xr-x 3 root root 4096 Jan 14 08:33 ..drwx------ 5 polkitd ssh_keys 40

WanKaShing 2020-11-12

Linux ssh服务器配置代码实例

使用如下终端命令可以在 Linux 主机中安装 ssh服务器sudo apt-get install openssh-server. 1 upgraded, 5 newly installed, 0 to remove and 438 not upgrad

airfish000 2020-09-11

我用过的几款SSH客户端工具

最开始接触电脑的时候,是因为网络游戏,那时候就是只会用开关机和玩游戏,后来自学转行到IT界之后,就慢慢的接触到了Linux系统了。要远程操作Linux的话还是得靠SSH工具,一般来说,Linux是打开了默认22端口的SSH的服务端,如果我们要远程它的话,就

tryfind 2020-09-14

SSH只能用于远程Linux主机?那说明你见识太小了!

今天为大家分享一篇关于SSH 的介绍和使用方法的文章。本文从SSH是什么出发,讲述了SSH的基本用法,之后在远程登录、端口转发等多种场景下进行独立的讲述,希望能对大家有所帮助。SSH是一种网络协议,用于计算机之间的加密登录。最早的时候,互联网通信都是明文通

yegen00 2020-09-10

SSH只能用于远程Linux主机?那说明你见识太小了!

今天为大家分享一篇关于SSH 的介绍和使用方法的文章。本文从SSH是什么出发,讲述了SSH的基本用法,之后在远程登录、端口转发等多种场景下进行独立的讲述,希望能对大家有所帮助。SSH是一种网络协议,用于计算机之间的加密登录。最早的时候,互联网通信都是明文通

kkaazz 2020-09-03

学会这5招,让Linux排障更简单

Linux排障技巧在数据中心十分受人重视。数据中心专家对此提供了一些Linux服务器排障相关的性能问题、优化和便利工具参考。这些仅仅是大量Linux性能工具中的其中几个,可以利用这些工具来观察带宽、性能状态并进行动态追踪。这些工具听起来可能不起眼,但实施得

风语者 2020-09-02

win10下用ssh做端口转发时因为localhost解析引起的失败

这个命令在win7下面跑没有问题,但是win10下面跑,就总是不能成功。加上-v -v -v参数查看ssh的输出日志,发现存在read failed, write failed等日志。后面通过网络搜索得到提示,是不是localhost的解析不对。执行 pi

BraveWangDev 2020-08-19

使用VSCode的Remote-SSH连接Linux进行远程开发

首先打开你的VSCode,找到Extensions,搜索Remote,下载Remote-Developoment插件,会自动安装其他的Remote插件,其中会包含Remote-SSH:。进入设置,搜索ssh,找到并选中拓展中的Remote-SSH中的Sho

lichuanlong00 2020-08-15

解决VScode配置远程调试Linux程序的问题

最近在Linux上调程序,但是gdb使用属于入门阶段,主要是没有图形化界面直观。在网上查找了有两个方案可选,一个是通过VisualStudio2019的远程调试功能,因为最近一直在用VScode,所以没有试,之后有时间了可以试一下。本文介绍下这个方案。虽然

gsl 2020-08-15

CodeReview实践-Gerrit自动触发JenkinsCI

当前团队使用Gerrit来做代码管理、CodeReview。计划实现当review提交到了Gerrit并且review通过自动触发Jenkins流水线。以前接触Gitlab比较多,Gerrit还是第一次开始用,踩了点坑记录下来。本文主要讲述Gerrit T

pandaphinex 2020-08-09

Git配置及使用(使用云服务器)

本文主要提供一个完整的流程参考,对于一些细节或者基础的部分需要读者查阅其他文章,以免让阅读者迷惑,本文会做出适当提醒。a.先查看自己是否安装git或者其版本,如果安装了且版本较低则卸载,没安装则继续本节。git init --bare sample.git

yhuihon 2020-08-09

Ubuntu 20.04 Install SSH, Change SSH Port, Enable root

$ sudo apt install openssh-server$ systemctl status sshd$ sudo systemctl restart ssh$ sudo ufw allow ssh$ sudo systemctl enable

CheNorton 2020-08-02

ssh免密登陆相关配置

分别将master的公钥复制到slave,slave的公钥复制到master。证明ssh信任关系配置成功。c)服务器B上用户家目录文件权限必须是700,比如用户名是aischang,则/home/aischang这个目录权限必须是700. sshd为了安全

xiangqiao 2020-07-28

ssh无法启动 (code=exited, status=255)

服务器运行了一些脚本后,突然发现无法ssh了。See "systemctl status ssh.service" and "journalctl -xe" for details.Systemd的功能是用于集中管理

hpujsj 2020-07-26

记录:部署Ansible,Ansible ad-hoc应用(1

准备如表-1所示的实验环境,操作系统为RHEL8,配置主机名称、IP地址、YUM源。ansible通过ssh远程被管理主机,将控制端的模块(脚本)或命令传输到被管理主机;最后ansible退出ssh远程。绝大多数模块(脚本)都需要参数才能执行成功!!!类似

hpujsj 2020-07-26

ssh配置、vscode使用及常用扩展

  1.3 命令行输入cd .ssh进入目录,按下tab切换到id_rsa.pub文件回车即可打开 ,  复制内容打开github,Settings > SSH and GPG keys > New SSh keys.   打开vscode,左

sshong 2020-07-19

华为华三思科交换机设置SSH登录

华为交换机:1.开启stelnet服务2.生成本地密钥对;3.配置远程登录的认证模式aaa和远程登录的协议ssh3.配置aaa的本地用户用户supadmin;4.配置SSH用户supadmin认证类型为password和服务类型为STelnet;syste

BraveWangDev 2020-07-19

Ansible自动化

目录第一章 前提条件1.1创建ssh密钥对 1.2分发公钥文件 1.3编写脚本 1.4端口被更改 第二章 安装测试2.1 安装配置 2.2 常用模块说明 2.3 command模块 2.4 shell模块 2.5 scr

annan 2020-07-18

gitlab-Runner配置参数详解

    [session_server](区段是一个系统 Runner 级别的配置,因此它应该在根级别指定,而不是在每个执行器上,也就是说,它应该在[[runners]]区段之外。会话服务器允许用户与运行程序负责的作业进行交互。交互式web终端就是一个很好

安之偌素 2020-07-09
ThankTF

ThankTF

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号