SSH 通过密钥登录

Linux centos7 系统安全加固篇

 

 

1. 系统安装时，最小化安装，卸载或停止不需要的程序或服务。
2. 修改sshd配置，加固ssh的安装连接。

1. 连接方式可以改成密匙文件

-- 制作密匙文件

[root@ald8 ~]# ssh-keygen Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Created directory '/root/.ssh'. Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub. The key fingerprint is: SHA256:vYz/33PWrVB8wCljylJxt+u44liWyCu3AZVLVK7RNhg [email protected] The key's randomart image is: +---[RSA 2048]----+ |        E.o . .  | |       . * o o o | |        * * + =  | |       o O + + o | |      . S +   + .| |       o = o + . | |        = * o . o| |      . .B.  o o=| |       o+oooo.oo+| +----[SHA256]-----+ [root@ald8 ~]# ls /root/.ssh id_rsa  id_rsa.pub                 说明 : id_rsa私匙 、id_rsa.pub公匙，再把公匙下载到要连接的客户端, 密钥锁码在使用私钥时可以输入密码，这样就可以保护私钥不被盗用；也可以留空，实现无密码登录。

 

-- 在服务器上安装公匙

[root@ald8 ~]# cat /root/.ssh/id_rsa.pub >> authorized_keys    

为了确保连接成功，请保证以下文件权限正确：

[root@ald8 .ssh]# chmod 600 /root/.ssh/authorized_keys

[root@ald8 .ssh]# chmod 700 /root/.ssh

 

-- 修改ssh配置，重启sshd服务

[root@ald8 ~]# vim /etc/ssh/sshd_con   //将下面两个选项设置成yes，重启sshd服务。

RSAAuthentication yes

PubkeyAuthentication yes

[root@ald8 ~]# systemctl restart sshd

说明：这里可以同时使用密匙或密码登陆，当然也可以禁止密码登陆(修改成PasswordAuthentication no)

 

--将私钥下载到客户端，winscp、ssh登陆测试

1. Winscp登陆

winscp软件要将密匙转换成PuTTY格式

目前有两个主流的密钥格式：OpenSSH格式的密钥 和 PuTTY格式的密钥。

1. id_rsa和id_rsa.pub
   都是OpenSSH格式的密钥。
   id_rsa是OpenSSH格式的SSH私钥。
   id_rsa.pub是OpenSSH格式的SSH公钥。
2. ppk文件
   ppk文件是Putty的私钥。PuTTY Private Key 的缩写。
   但是ppk文件中同时包含了公钥和私钥，可用记事本打开查看。
3. pem文件
   pem文件可以包含任何东西： 具有公共密钥的证书,SSH公钥,公钥私钥,具有公钥私钥的证书。 PEM是一个文本文件,可以用记事本打开。

Window winscp软件在输入密匙时支持自动转换成ppk格式，当然也可以下载安装putty工具，然后打开配套的puttygen.exe来进行密匙格式的互换。

转换好后，登陆用户名要填写，然后就可以直接登陆了。

 

1. ssh 登陆

我这里可以不用转换密码文件，直接用id_rsa密匙文件即可。