Linux中如何设置SSH密钥提升登陆安全性
作者:幻好概述 随着云技术的成熟,越来越多的人开始使用云服务器搭建自己的应用,但是很多人并不在意网络安全的问题,导致服务器被黑客攻击,最后追悔莫及。本文将对安全登陆协议SSH的创建及使用进行介绍,帮助大家提高安全防范。
来源:恒生LIGHT云社区
SSH(安全外壳协议)是一种加密网络协议,它允许用户通过不安全的网络安全地访问远程计算机。
SSH 密钥是一种更安全的登录 SSH 服务器的方法,因为它们不易受到常见的暴力密码黑客攻击。尽管 SSH 支持基于密码的身份验证,但通常建议使用SSH 密钥。生成 SSH 密钥对会创建两个长字符串:公钥 和 私钥。可以将公钥放在任何服务器上,然后使用可以访问私钥的 SSH 客户端连接到服务器。当公钥和私钥匹配时,SSH 服务器无需密码即可授予访问权限。也可以通过使用可选(但强烈推荐)的密码保护私钥来进一步提高密钥对的安全性。
具体操作 创建密钥对
首先是在客户端机器上创建一个密钥。这可能是本地计算机。在本地命令行中键入命令:
ssh-keygen -t ed25519
[root@localhost ~]# ssh-keygen -t ed25519
Generating public/private ed25519 key pair.
Enter file in which to save the key (/root/.ssh/id_ed25519):
输入命令后,会看到输出的命令确认信息,需要输入密钥保存地址。
如果使用的系统是不支持创建指定保存密钥的位置ed25519
密钥的旧系统,或者连接的服务器不支持它们,则需要创建一个强rsa
密钥对:ssh-keygen -t rsa -b 4096
复制这会将-t
“类型”标志更改为rsa
,并添加-b 4096
“位”标志以创建 4096 位密钥。
ssh-keygen
命令的第一个提示是询问保存密钥的位置:Enter file in which to save the key (/root/.ssh/id_ed25519):
可以直接按
ENTER
此处将文件保存到 .ssh
您的主目录中的默认位置,或者指定系统中某一地址目录。这里我们直接回车,保存默认地址。
创建密码
确认保存地址后,会提示需要设置一个密码:
Enter passphrase (empty for no passphrase):
密码也可以直接默认不设置,但强烈建议还是设置密码,因为密钥的安全性,还是基于设置的复杂程度。如果没有密码的私钥落入未经授权的其他人手上,他们将能够登录到你使用相关公钥配置的任何服务器。
回顾一下,整个密钥生成过程如下所示:
[root@localhost ~]# ssh-keygen -t ed25519
Generating public/private ed25519 key pair.
Enter file in which to save the key (/root/.ssh/id_ed25519):
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_ed25519.
Your public key has been saved in /root/.ssh/id_ed25519.pub.
The key fingerprint is:
SHA256:hRTOxc4IFviuv0vr4q61fGTee2Xo5Ol/gmUtZh/Y55s root@localhost.localdomain
The key's randomart image is:
+--[ED25519 256]--+
|...oo.|
|. o+ o.|
|o .++.|
|. ..o|
|.S. +|
|+o X + .|
|.=.. + X o + |
|oooo.. * . o o|
|.+==*o.+...o E.|
+----[SHA256]-----+
公钥现在位于
/root/.ssh/id_ed25519.pub.
私钥现在位于
/root/.ssh/id_ed25519.
将公钥复制到远程服务器 生成密钥对后,就可以将公钥放在要连接的服务器上。
可以
authorized_keys
使用该 ssh-copy-id
命令将公钥复制到服务器的文件中。确保替换示例用户名和地址:ssh-id user@server_address
命令完成后,将能够通过 SSH 登录服务器,而不会被提示输入密码。但是,如果在创建 SSH 密钥时设置了密码,则需要输入密码。主要是因为本地的ssh客户端需要进行解密,而不是远程服务器需要解密。
禁用基于密码的 SSH 身份验证 将 SSH 密钥复制到服务器后,可以通过将 SSH 服务器配置为禁用基于密码的身份验证来完全禁止密码登录。
在禁用基于密码的身份验证之前,要 确保可以使用 SSH 密钥成功登录服务器,并且服务器上没有其他用户使用密码登录。要禁用基于密码的 SSH 身份验证,请打开 SSH 配置文件。它通常位于以下位置:
sudo nano /etc/ssh/sshd_config
此命令将在
nano
文本编辑器中打开文件。在文件中找到包含 PasswordAuthentication
的行(如果不存在则创建该行),确保没有 #
在该行的开头用 a 注释掉,并将其更改为 no
:/etc/ssh/sshd_config
PasswordAuthentication no
完成后保存并关闭文件。在 中
nano
,使用 CTRL+O
保存,点击 ENTER
确认文件名,然后 CTRL+X
退出。【Linux中如何设置SSH密钥提升登陆安全性】重新加载
sshd
服务以使这些更改生效:sudo systemctl reload sshd
在退出当前的 SSH 会话之前,可在另一个终端中进行测试连接以验证其仍然可以连接。
结论 在本文中,我们创建了一个 SSH 密钥对,将公钥复制到了服务器,并且(可选)完全禁用了基于密码的身份验证,通过这些操作能够帮助我们提升服务器的安全性。
想向技术大佬们多多取经?开发中遇到的问题何处探讨?如何获取金融科技海量资源?
恒生LIGHT云社区,由恒生电子搭建的金融科技专业社区平台,分享实用技术干货、资源数据、金融科技行业趋势,拥抱所有金融开发者。
扫描下方小程序二维码,加入我们!
文章图片
推荐阅读
- 热闹中的孤独
- Shell-Bash变量与运算符
- JS中的各种宽高度定义及其应用
- 2021-02-17|2021-02-17 小儿按摩膻中穴-舒缓咳嗽
- 深入理解Go之generate
- 考研英语阅读终极解决方案——阅读理解如何巧拿高分
- 异地恋中,逐渐适应一个人到底意味着什么()
- 如何寻找情感问答App的分析切入点
- 我眼中的佛系经纪人
- 《魔法科高中的劣等生》第26卷(Invasion篇)发售