Linux用户使用密钥登录详解

Echo01
1,159 阅读4分钟

本文已参与「新人创作礼」活动,一起开启掘金创作之路。

首先对ssh的配置文件有一个简单的了解

  • ssh服务端配置文件位置:/etc/ssh/sshd_config
  • ssh客户端配置文件位置:/etc/ssh/ssh_config

一般情况下,只需要调整服务端配置就可以了

sshd_config简单常用配置解析:
  • HostKey /etc/ssh/ssh_host_rsa_key                 设置包含服务器个人密钥文件位置(默认即可,不用修改)
  • SyslogFacility AUTHPRIV                         #定义ssh的日志级别为authpriv.info级别。ssh的日志可以在/var/log/secure中查看
  • PermitEmptyPasswords no                      #设置是否允许口令为空的登录
  • PermitRootLogin no                                 #设置是否允许root登录
  • RSAAuthentication yes                            #设置是否使用RSA算法进行安全验证
  • AuthorizedKeysFile .ssh/authorized_keys                    #设置服务器上公钥保存的位置(默认即可,不用修改)
  • PasswordAuthentication yes                    #设置是否使用口令登录
  • PubkeyAuthentication yes                        #设置是否使用密钥认证方式登录

本次实验环境:

[root@k8s-etcd-2 ~]# cat /etc/centos-release
CentOS Linux release 7.4.1708 (Core)
[root@k8s-etcd-2 ~]# uname -r
3.10.0-693.el7.x86_64

场景一:禁用root口令登录,root用户只使用密钥登录

调整ssh配置
[root@k8s-etcd-2 ~]# vim /etc/ssh/sshd_config
RSAAuthentication	yes		#取消注释,开启RSA验证
PubkeyAuthentication	yes		#取消注释,开启使用密钥验证登录
使用ssh-keygen来生成RSA密钥
  • id_rsa 文件为私钥
  • id_rsa.pub是公钥

使用参数: -t     指定使用密钥类型

[root@k8s-etcd-2 ~]# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):			#配置密钥文件存放位置,如果是给root用户配置,那此步骤默认即可
Enter passphrase (empty for no passphrase):		#输入密钥登录密码(如果想使用无密码登录,那就默认回车即可)
Enter same passphrase again:		#再次输入密钥登录密码
Your identification has been saved in /root/.ssh/id_rsa.		#密钥(私钥)存放位置
Your public key has been saved in /root/.ssh/id_rsa.pub.	#密钥(公钥)存放位置
The key fingerprint is:
SHA256:gVPrl0jjIAa0JeM94gTrtmHiXCz0BIJBHgqaj3MJyZY root@k8s-etcd-2
The key's randomart image is:
………………

下图为示例图:

将公钥导入到授权密钥文件里
[root@k8s-etcd-2 ~]# cd .ssh/
[root@k8s-etcd-2 .ssh]# cat id_rsa.pub >> authorized_keys
重启服务
[root@k8s-etcd-2 .ssh]# systemctl restart sshd

此时就可以使用密钥登录了

这里简单进行测试一下:

我使用的是MobaXterm客户端连接的,不过Xshell或者CRT配置密钥登录都很简单,应该在会话配置里就可以配置

添加连接密钥配置 然后会让输入密钥的密码: 如果没有配置密码,那么就直接登录了 输入密码登录即可: 注:保存好id_rsa私钥文件就可以了,不然丢失了比较麻烦,安全起见服务器上的私钥文件就可以删除了

场景二:仅支持非root用户使用密钥登录

和场景一配置很类似,只是新加了一点配置而已

调整ssh配置
[root@k8s-etcd-2 home]# vim /etc/ssh/sshd_config
RSAAuthentication	yes		#取消注释,开启RSA验证
PubkeyAuthentication	yes		#取消注释,开启使用密钥验证登录
PermitRootLogin	  no			#取消注释,关闭root登录
创建新用户
[root@k8s-etcd-2 home]# useradd test
[root@k8s-etcd-2 home]# mkdir test/.ssh
生成RSA密钥
[root@k8s-etcd-2 test]# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): /home/test/.ssh/test_rsa
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/test/.ssh/test_rsa.
Your public key has been saved in /home/test/.ssh/test_rsa.pub.
…………

[root@k8s-etcd-2 test]# ls .ssh/
test_rsa  test_rsa.pub

下图为示例图:

将公钥导入到用户授权密钥文件里
[root@k8s-etcd-2 test]# cat .ssh/test_rsa.pub >> .ssh/authorized_keys
重启服务
[root@k8s-etcd-2 .test]# systemctl restart sshd
使用密钥登录即可

此时就可以达到仅非root用户使用密钥登录服务器,安全性得到提升! 注:保存好id_rsa私钥文件就可以了,不然丢失了比较麻烦,安全起见服务器上的私钥文件就可以删除了

avatar
文章
阅读
粉丝