设为首页收藏本站
开启辅助访问 QQ强制聊天

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 其他 转载 查看内容

Centos7 使用密钥认证方式登入服务器

2019-11-2 09:38| 发布者: 随便、先森。| 查看: 960| 评论: 0|原作者: 日光微暖〆夏亦凉|来自: CSDN

摘要: 背景:ssh服务支持之中安全认证机制,就是密钥登录,这种方式是比较安全的登入方式。一般的密码方式登录容易被密码暴力破解,使用密钥方式登入主机也是首推一种登入方式,比使用密码的方式登录更佳!主要步骤说明: ...

背景:

  • ssh服务支持之中安全认证机制,就是密钥登录,这种方式是比较安全的登入方式。
  • 一般的密码方式登录容易被密码暴力破解,使用密钥方式登入主机也是首推一种登入方式,比使用密码的方式登录更佳!

主要步骤说明:

  1. 使用系统自带或工具利用密钥生成器制作一对密钥:一只公钥(id_rsa.pub)和一只私钥(id_rsa)
  2. 把公钥添加到服务器 /root/.ssh/authorized_keys
  3. 客户端(服务器、或SecureCRT 或 putty 或 xShell)利用私钥即可完成认证并登录

注意事项

    在还没有验证使用私钥可以登入系统之前,建议开启密码登入和密钥登入两种方式,等验证使用密钥登入成功后,再关闭对应的禁止root登入和使用密码登录系统的方式。

具体的操作步骤:

第1步:在root登入的情况下执行命令:

ssh-keygen -t rsa

  1. [root@bogon ~]# ssh-keygen -t rsa
  2. Generating public/private rsa key pair.
  3. Enter file in which to save the key (/root/.ssh/id_rsa): (回车)

按提示说选择保存到哪个路径,直接按下回家即可

第2步:直接三次回车,默认保存在当前路径下

  1. [root@bogon ~]# ssh-keygen -t rsa
  2. Generating public/private rsa key pair.
  3. Enter file in which to save the key (/root/.ssh/id_rsa): (回车)
  4. Enter passphrase (empty for no passphrase): (回车)
  5. Enter same passphrase again: (回车)
  6. Your identification has been saved in /root/.ssh/id_rsa.
  7. Your public key has been saved in /root/.ssh/id_rsa.pub.
  8. The key fingerprint is:
  9. c5:7e:44:73:4c:1a:db:67:a8:60:f6:de:bc:58:4a:2c root@bogon
  10. The key's randomart image is:
  11. +--[ RSA 2048]----+
  12. |            +oo  |
  13. |         . . B.. |
  14. |          * + o o|
  15. |         = + . o |
  16. |        S . +    |
  17. |           + o   |
  18. |          E + +  |
  19. |           o + . |
  20. |            o .  |
  21. +-----------------+

Enter file in which to save the key (/root/.ssh/id_rsa):
该命令提示的意思是:让我们定义私钥的存放路径,默认存在的路径是在/root/.ssh/id_rsa的下面

Enter passphrase (empty for no passphrase):
该命令提示的意思是:定义私钥的密码,一般为了免密默认的留空,直接的回车

Enter same passphrase again:
该命令提示的意思是:确认密码设置

经过上面三次回车后,最后在/root/.ssh/id_rsa下面生成了公钥和私钥

  1. [root@bogon ~]# cd /root/.ssh/
  2. [root@bogon .ssh]# ll
  3. total 12
  4. -rw-------. 1 root root 1675 Mar  2 11:02 id_rsa(私钥)
  5. -rw-r--r--. 1 root root  392 Mar  2 11:02 id_rsa.pub (公钥)
  6. -rw-r--r--. 1 root root  176 Feb 28 07:48 known_hosts

关于是否设置密钥的密码信息:一般也是建议你设置,如果不设置的话,后续别人拿到你的密钥,不输入密码的方式下就可以直接的使用密钥登入了!当然,也可以留空,实现无密码登录。

如果设置可密码的话,密钥锁码在使用私钥时必须输入,这样就可以保护私钥不被盗用。

第3步: 服务器上安装公钥

主要操作是:复制公钥内容到/root/.ssh/authorized_keys

因为我们是使用ssh-keygen -t rsa方式生成相关密匙信息,所以此时默认的会有对应的:/root/.ssh/这个目录存在,如果没有的话(即使用其他ssh工具生成密钥的时候)就需要收的创建此目录.。另外:/root/.ssh/authorized_keys这个文件的名称是固定不变的哟,不要写错了!

  1. [root@bogon ~]# mkdir -p /root/.ssh 创建目录
  2. [root@bogon ~]# chmod 700 /root/.ssh 更改目录权限
  3. [root@bogon ~]# cat /root/.ssh/id_rsa.pub 
  4. XXXXXXX内容信息的信息
  5. [root@bogon ~]# nano /root/.ssh/authorized_keys ( 编辑保存退出)
  6.  
  7. 或者直接的:
  8.  [root@bogon ~]# cat id_rsa.pub >> /root/.ssh/authorized_keys
  9.  [root@bogon ~]$ chmod 600  /root/.ssh/authorized_keys
  10.  [root@bogon ~]$ chmod 700  /root/.ssh
  11.  
  12. 或者其他方式复制到对应的服务器下:
  13.  [root@bogon ~]$.ssh-copy-id -i ~/.ssh/id_rsa.pub "-p 10022 user@server"
  14.  [root@bogon ~]$.ssh-copy-id -i ~/.ssh/id_rsa.pub [email protected]

 再次查看生成的文件信息

  1. [root@bogon .ssh]# ll
  2. total 16
  3. -rw-r--r--. 1 root root  392 Mar  2 11:37 authorized_keys
  4. -rw-------. 1 root root 1675 Mar  2 11:02 id_rsa
  5. -rw-r--r--. 1 root root  392 Mar  2 11:02 id_rsa.pub
  6. -rw-r--r--. 1 root root  176 Feb 28 07:48 known_hosts
  7. [root@bogon .ssh]#

 第4步:把私钥提取出来保存到本地,方便后面使用此密钥进行登入

  1. [root@bogon .ssh]# sz id_rsa
  2. rz
  3.  zmodem trl+C ȡ
  4.   100%       1 KB    0 KB/s 00:00:21       0 Errors

关于lrzsz的一些知识点,root 账号登陆后执行以下命令:
    1:安装:yum install -y lrzsz
    2:使用说明
        sz命令发送文件到本地:
        # sz filename
        rz命令本地上传文件到服务器(执行该命令后,在弹出框中选择要上传的文件即可):
        # rz

 第5步:关闭SELinux(线上是否一定要关闭呢?)

PS:因为咋们这里是虚拟机注意!!!!注意!!!!
注意!!!! 如果是线上生产服务器的话,要注意根据实际情况进行选择关闭哟!

因为咋们这里是虚拟机,而且SELinux是Centos系统自带一种安全机制。如果我们这里不关掉这个安全机制的话,可能会出错。

临时关闭:SELinux(下次重启后还是会开启)

[root@bogon .ssh]# setenforce 0

 彻底关闭需要:SELINUX=disabled

  1. 1:编辑
  2. vi /etc/selinux/config  # 编辑防火墙配置文件
  3. #SELINUX=enforcing      # 注释掉
  4. #SELINUXTYPE=targeted   # 注释掉
  5. SELINUX=disabled        # 增加
  6. :wq!                    # 保存退出
  7. 2:让修改生效
  8. [root@bogon .ssh]# setenforce 0

第6步:修改SSH配置,打开密钥登录功能:

编辑修改 /etc/ssh/sshd_config 文件,进行如下设置:

  1. RSAAuthentication yes # 开启密钥登入的认证方式
  2. PubkeyAuthentication yes # 开启密钥登入的认证方式
  3. PermitRootLogin yes #此处请留意 root 用户能否通过 SSH 登录,默认为yes:
  4. PasswordAuthentication yes #当我们完成全部设置并以密钥方式登录成功后,可以禁用密码登录。这里我们先不禁用,先允许密码登陆
  5. [root@bogon .ssh]# service sshd restart  #最后,重启 SSH 服务:

PS:关键修改参数一些说明(安全等级更高):

    #禁用root账户登录,非必要,但为了安全性,请配置
    PermitRootLogin no

    # 是否让 sshd 去检查用户家目录或相关档案的权限数据,
    # 这是为了担心使用者将某些重要档案的权限设错,可能会导致一些问题所致。
    # 例如使用者的 ~.ssh/ 权限设错时,某些特殊情况下会不许用户登入
    StrictModes no

    # 是否允许用户自行使用成对的密钥系统进行登入行为,仅针对 version 2。
    # 至于自制的公钥数据就放置于用户家目录下的 .ssh/authorized_keys 内
    RSAAuthentication yes
    PubkeyAuthentication yes
    AuthorizedKeysFile      .ssh/authorized_keys

    #有了证书登录了,就禁用密码登录吧,安全要紧
    PasswordAuthentication no

第7步:然后使用SecureCRTPortable进行登入测试:

[root@bogon .ssh]# logout

退出使用其他方式登入:

使用SecureCRTPortable进行


鲜花
握手
雷人
路过
鸡蛋
收藏 分享 邀请
上一篇:kangle API操作接口下一篇:Ubuntu18.04下的Redis常用操作

相关阅读

最新评论

相关分类

返回顶部