1.起因
今天查了一下SSH登录日志,发现这个ip一直在暴力破解登录我的服务器,我们一般使用 xshell 等 SSH 客户端来远程管理 Linux 服务器。但是,一般的密码方式登录,容易有密码被暴力破解的问题。所以,一般我们会将 SSH 的端口设置为默认的 22 以外的端口,或者禁用 root 账户登录。其实,有一个更好的办法来保证安全,而且让你可以放心地用 root 账户从远程登录——那就是通过密钥方式登录。
密钥形式登录的原理是:利用密钥生成器制作一对密钥——一只公钥和一只私钥。将公钥添加到服务器的某个账户上,然后在客户端利用私钥即可完成认证并登录。这样一来,没有私钥,任何人都无法通过 SSH 暴力破解你的密码来远程登录到系统。此外,如果将公钥复制到其他账户甚至主机,利用私钥也可以登录。
下面来讲解如何在 Linux 服务器上制作密钥对,将公钥添加给账户,设置 SSH,最后通过客户端登录
2.制作密钥
首先在服务器上制作密钥对。用密码登录到你打算使用密钥登录的账户,然后执行以下命令:
1.生成ssh密钥文件
[root@arlong ~]# ssh-keygen #生成密钥文件
Enter file in which to save the key (/root/.ssh/id_rsa) <== 输出文件,直接按Enter
Enter passphrase (empty for no passphrase): <== 输入密钥锁码,或直接按 Enter 留空
Enter same passphrase again: <== 再输入一遍密钥锁码
Your identification has been saved in /root/.ssh/id_rsa. <== 私钥
Your public key has been saved in /root/.ssh/id_rsa.pub. <== 公钥
密钥锁码在使用私钥时必须输入,这样就可以保护私钥不被盗用。当然,也可以留空,实现无密码登录。
在 root 用户的家目录中生成了一个 .ssh 的隐藏目录,内含两个密钥文件。id_rsa 为私钥,id_rsa.pub 为公钥,我们需要把id_rsa下载到我们自己的电脑上
2.在服务器上安装公钥
[root@arlong ~]# cd .ssh
[root@arlong .ssh]# cat id_rsa.pub >> authorized_keys
如此便完成了公钥的安装。为了确保连接成功,请保证以下文件权限正确:
[root@arlong .ssh]# chmod 600 authorized_keys
[root@arlong .ssh]# chmod 700 ~/.ssh
3.设置 SSH,打开密钥登录功能
编辑 /etc/ssh/sshd_config 文件,进行如下设置:
[root@arlong .ssh]# vim /etc/ssh/sshd_config
#允许密钥认证
RSAAuthentication yes
PubkeyAuthentication yes
# 默认密钥地址
AuthorizedKeysFile .ssh/authorized_keys
#root 用户能否通过 SSH 登录
PermitRootLogin yes
# 禁用密码登录
PasswordAuthentication no
最后,重启 SSH 服务:
[root@arlong .ssh]# service sshd restart
4. 将私钥下载到客户端,然后进行登录
将私钥文件 id_rsa下载到客户端机器上。然后打开 xshell或者FinalShell,新建连接,选择公钥登录,点击浏览选择导入你刚刚下载到的私钥文件。如果你刚才设置了密钥锁码,这时则需要输入。载入成功后,点确定,然后即可登录了。
