Secure Shell(安全外殼協議,簡稱SSH)是一種加密的網絡傳輸協議,可在不安全的網絡中為網絡服務提供安全的傳輸環境。SSH通過在網絡中創建安全隧道來實現SSH客戶端與服務器之間的連接,SSH最常見的用途是遠程登錄系統,人們通常利用SSH來傳輸命令行界面和遠程執行命令。如果使用弱密碼,也是最容易致使服務器受到攻擊威脅的,甚至直接成為“肉雞”。
ssh 提供兩種級別的安全認證:
基於口令的安全認證
基於密鑰的安全認證
一.基於口令的安全認證,即通常說的root和root密碼
遠程主機的 /etc/ssh/sshd_config 中的使用密碼登錄都是默認
需要知道用戶名和密碼即可登錄,該連接是加密的,但客戶端不能確認目標主機是否為“偽造的”,也不能保證口令安全。任何隻要知道用戶名和密碼的人都可以登錄遠程主機(在沒有限制登錄IP的情況下)
修改遠程主機的 /etc/ssh/sshd_config 為:
PasswordAuthentication yes
重啟 sshd 使改動生效:
systemctl restart sshd.service
二. 基於密鑰的安全認證
用戶持有“公鑰/私鑰對”,遠程服務器持有公鑰(public key),本地持有私鑰(private key)。
使用公私鑰登錄時,客戶端向服務器發出請求。服務器收到請求之後,先在用戶的主目錄下找到該用戶的公鑰,然後對比用戶發送過來的公鑰。如果一致,服務器用公鑰加密“質詢”並發送給客戶端。客戶端收到“質詢”後用私鑰解密,再發還給服務器。認證結束。
服務器上生成 ssh-key,選加密算法(rsa,dsa等),給秘鑰命名(可選):
$ ssh-keygen -t rsa -C “name”
輸出類似:
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:tDVwRr0qXXXXXXXXXXXXXXXXX8xm8YQ jxcn2
passphrase是證書口令,最少需要5個字符,以加強安全性,避免證書被惡意復制(默認為空)。
會在 ~.ssh 下生成 id_rsa, id_rsa.pub 兩個文件,分別是 私鑰/公鑰。
公鑰需保存到遠程服務器 ~/.ssh/authorized_keys 裡,私鑰由客戶端本地留存。
要保證 .ssh 和 authorized_keys 都隻有用戶自己有寫權限。否則驗證無效:
$ chmod -R 700 ~/.ssh/
$ chmod 600 ~/.ssh/authorized_keys
#寫入公鑰
cat id_rsa.pub >>authorized_keys
最後需要將私鑰保存到本地。可以安裝lrzsz,使用命令 sz id_rsa 保存私鑰到本地。最好先看下能否使用密鑰登錄,然後在禁用密碼登錄。
centos7 ssh key登錄 配置具體實踐:
$ vi /etc/ssh/sshd_config
# 禁用root賬戶登錄,非必要,但為瞭安全性,請配置
PermitRootLogin no
# 是否讓 sshd 去檢查用戶傢目錄或相關檔案的權限數據,這是為瞭擔心使用者將某些重要檔案的權限設錯,可能會導致一些問題所致。例如使用者的 ~/.ssh/ 權限設錯時,某些特殊情況下會不許用戶登入
StrictModes no
# 是否允許用戶自行使用成對的密鑰系統進行登入行為,僅針對 version 2。至於自制的公鑰數據就放置於用戶傢目錄下的 .ssh/authorized_keys 內
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys
# 有瞭證書登錄瞭,就禁用密碼登錄吧,安全要緊
PasswordAuthentication no
#重啟ssh服務
service sshd restart
使用xshell登錄時
填寫用戶名 和ssh 端口,並選擇public key登錄,導入保存的私鑰,密碼若創建的時候沒有填寫passphrase,則默認為空。
本文出自快速备案,转载时请注明出处及相应链接。
