centos8設(shè)置ssh密鑰實(shí)現(xiàn)ssh密鑰遠(yuǎn)程登錄命令教程

207次閱讀

共計(jì) 2205 個(gè)字符，預(yù)計(jì)需要花費(fèi) 6 分鐘才能閱讀完成。

centos8 怎么設(shè)置 ssh 密鑰? 我們登錄 Linux 服務(wù)器 SSH 賬戶都是用什么辦法登錄的?我相信很多人都跟我一樣，服務(wù)器生成的或者設(shè)置的 ROOT 密碼，然后通過 SSH 遠(yuǎn)程工具進(jìn)行連接，一般都是通過端口對(duì)接的密碼登錄的。比如搬瓦工相對(duì)還安全一些，他的 22 端口默認(rèn)是不用的，而是使用的是隨機(jī)的五個(gè)數(shù)字的端口。目前，最流行的兩種 SSH 身份驗(yàn)證機(jī)制是基于密碼的身份驗(yàn)證和基于公鑰的身份驗(yàn)證。使用 SSH 密鑰通常比傳統(tǒng)的密碼身份驗(yàn)證更安全和方便。

實(shí)際上，如果我們能用 ssh 密鑰登錄，相對(duì)比密碼登錄安全很多的。在這篇文章中介紹了如何在 CentOS 8 系統(tǒng)上生成 SSH 密鑰。我們還將向展示如何設(shè)置基于 SSH 密鑰的身份驗(yàn)證并在不輸入密碼的情況下連接到遠(yuǎn)程 Linux 服務(wù)器，我們不要覺得不輸入密碼不安全，實(shí)際上我們只要對(duì)接的密鑰，一般人是沒有我們本地的密鑰文件的。

執(zhí)行以下 ls 命令查看 key 文件是否存在：

ls -l ~/.ssh/id_*.pub

如果命令的輸出返回類似 No such file or directory, or no matching found 的內(nèi)容，則表示用戶沒有 SSH 密鑰，我們可以開始繼續(xù)下一步并生成 SSH 密鑰對(duì)。

如果我們有 SSH 密鑰對(duì)，我們可以使用這些密鑰或備份舊密鑰并生成新密鑰。要使用我們的電子郵件地址作為注釋生成新的 4096 位 SSH 密鑰對(duì)，請(qǐng)運(yùn)行：

ssh-keygen -t rsa -b 4096 -C “your_email@cnbanwagong.com”

系統(tǒng)將提示您指定文件名：

Enter file in which to save the key (/home/yourusername/.ssh/id_rsa):

回車按 Enter 接受默認(rèn)文件位置和文件名。接下來(lái)，系統(tǒng)會(huì)要求我們輸入安全密碼。是否要使用密碼，由我們自己決定。密碼短語(yǔ)將增加額外的安全層。如果我們不想使用密碼，只需按 Enter。

Enter passphrase (empty for no passphrase):

整個(gè)交互看起來(lái)是這樣的：

我們我們需要驗(yàn)證生成了新的 SSH 密鑰對(duì)，請(qǐng)鍵入：

ls ~/.ssh/id_*

返回值：

/home/yourusername/.ssh/id_rsa /home/yourusername/.ssh/id_rsa.pub

就是這樣。我們已在 CentOS 客戶端計(jì)算機(jī)上成功生成了 SSH 密鑰對(duì)。

既然生成了 SSH 密鑰對(duì)，下一步就是將公鑰復(fù)制到我們要管理的服務(wù)器上。

將公鑰復(fù)制到遠(yuǎn)程服務(wù)器的最簡(jiǎn)單且推薦的方法是使用 ssh-copy-id 實(shí)用程序。在我們的本地機(jī)器終端類型上：

ssh-copy-id remote_username@server_ip_address

該命令將要求我們輸入 remote_username 密碼：

remote_username@server_ip_address’s password:

一旦用戶通過身份驗(yàn)證，公鑰文件 (~/.ssh/id_rsa.pub) 的內(nèi)容將附加到遠(yuǎn)程用戶的 ~/.ssh/authorized_keys 文件中，并關(guān)閉連接。

Number of key(s) added: 1

Now try logging into the machine, with: “ssh ‘username@server_ip_address’”

and check to make sure that only the key(s) you wanted were added.

如果我們的本地計(jì)算機(jī)上沒有 ssh-copy-id，請(qǐng)使用以下命令復(fù)制公鑰：

cat ~/.ssh/id_rsa.pub | ssh remote_username@server_ip_address “mkdir -p ~/.ssh && chmod 700 ~/.ssh && cat >> ~/.ssh/authorized_keys && chmod 600 ~/.ssh/authorized_keys”

完成上述步驟后，我們可以能夠登錄遠(yuǎn)程服務(wù)器而不會(huì)提示輸入密碼。要驗(yàn)證它，請(qǐng)嘗試通過 SSH 登錄到您的服務(wù)器：

ssh remote_username@server_ip_address

如果我們沒有為私鑰設(shè)置密碼，需要立即登錄。否則，您將被要求輸入密碼。

要為遠(yuǎn)程服務(wù)器添加額外的安全層，我們可以禁用 SSH 密碼身份驗(yàn)證。在繼續(xù)之前，請(qǐng)確保您可以在沒有密碼的情況下以具有 sudo 權(quán)限的用戶身份登錄到您的服務(wù)器。

請(qǐng)按照以下步驟禁用 SSH 密碼驗(yàn)證：

1、登錄到您的遠(yuǎn)程服務(wù)器：

ssh sudo_user@server_ip_address

2、使用文本編輯器打開 SSH 配置文件 /etc/ssh/sshd_config：

sudo nano /etc/ssh/sshd_config

3、搜索以下指令并修改如下：

vi /etc/ssh/sshd_config

編輯文件。

PasswordAuthentication no

ChallengeResponseAuthentication no

UsePAM no

4、完成后保存文件并通過鍵入以下內(nèi)容重新啟動(dòng) SSH 服務(wù)：

sudo systemctl restart ssh

此時(shí)，基于密碼的身份驗(yàn)證被禁用。

最后：這里我們已經(jīng)演示到如何生成新的 SSH 密鑰對(duì)并設(shè)置基于 SSH 密鑰的身份驗(yàn)證。我們可以使用相同的密鑰來(lái)管理多個(gè)遠(yuǎn)程服務(wù)器。預(yù)計(jì)我們可以設(shè)置如何禁用 SSH 密碼身份驗(yàn)證并向服務(wù)器添加額外的安全層。默認(rèn)情況下，SSH 偵聽端口 22。一般我們都會(huì)修改默認(rèn)端口的。

正文完