Linux安全配置

 
Linux安全配置,公钥/私钥方式
2010-02-09 18:04
大概有如下几个方面:
1. 禁止root帐号ssh,使用自定义帐号ssh;
这样一来,黑客要先猜到帐号,然后才能猜解密码;
2. 禁止帐号登录,使用pubkey登录;
3. 作ip ACL,只允许几个特定的IP访问;
4. ssh端口迁移,将默认22端口改为其他端口;
5. 启动尽量少的服务;如无必要,不起服务。

但是测试pubkey的时候,发现了一个问题:使用xshell产生的私钥文件,拿到securecrt使用的时候,不成功!

具体原因,请查看全文的最后一句结论。

 

问题2:一台Linux机器如何使用私钥,ssh另外一台Linux?

命令格式如下:#ssh -i identity_file username@server

 

经过实验发现:xshell产生的私钥文件,在Linux上面可以直接使用,没有问题;使用方法:

# ssh -i identity_file username@server
identity_file为 xshell产生的私钥文件;

经过搜索发现:SecureCRT产生的私钥文件,在Linux上面也是可以使用的;
如果为“标准公钥和VanDyke私钥格式”,那么需要使用ssh-keygen转换一下,然后使用即可;
如果为“OpenSSH密钥格式”,就无需转换,可以直接使用。

也就是说:xshell可以与Linux共享私钥文件(private key file), SecureCRT也可以于Linux共享私钥文件(private key file), 为什么xshell与SecureCRT不可以共享私钥文件呢?

我们将整个过程梳理一遍;
1. SecureCRT生成公钥/私钥对,“OpenSSH密钥格式”,
a. 公钥上传到服务器,导入到/root/.ssh/authorized_keys2文件中;
# cat ./Identify.pub  >> /root/.ssh/authorized_keys2
b. 修改sshd的配置文件;
$ sudo vim /etc/ssh/sshd_config

Protocol 2 /仅允许使用SSH2

PubkeyAuthentication yes /*启用PublicKey认证

AuthorizedKeysFile .ssh/authorized_keys2 /*PublicKey文件路径

PasswordAuthentication no /*禁止密码验证登录

c. 重启sshd服务;

#service sshd restart

d. 测试;

使用SecureCRT登录,ok,没有问题;

将私钥文件Identify给一台Linux客户端,

#ssh -i Identify username@server

同样ok,也没有问题;

提示:Linux客户端中可能会出现提示说,private key file未设保护;

只需要

#chmod 600 Identify

 

2. SecureCRT生成公钥/私钥对,“标准公钥和VanDyke私钥格式”,

a. 公钥上传到服务器,格式转换后,导入到/root/.ssh/authorized_keys3文件中;
# ssh-keygen -i -f /home/guoq/Identity2.pub >> /root/.ssh/authorized_keys3
b. 修改sshd的配置文件;
$ sudo vim /etc/ssh/sshd_config

Protocol 2 /仅允许使用SSH2

PubkeyAuthentication yes /*启用PublicKey认证

AuthorizedKeysFile .ssh/authorized_keys3 /*PublicKey文件路径

PasswordAuthentication no /*禁止密码验证登录

c. 重启sshd服务;

#service sshd restart

d. 测试;

在SecureCRT中建立另外一个Session,登录同样的服务器,只是私钥文件选用Identify2;

退出,

使用SecureCRT的Session登录,失败,因为公钥/私钥已经改变;

使用SecureCRT的Session2登录,ok,没有问题;

将私钥文件Identify2给一台Linux客户端,

#ssh -i Identify2 username@server

输入三次passphrase后,失败。

使用SecureCRT将Identify2转换成为OpenSSH格式后,Linux客户端重试,ok,没有问题;


3. xshell生成公钥私钥对,DSA, openSSH格式,
a. 公钥上传到服务器,导入到/root/.ssh/authorized_keys4文件中;
# cat /home/guoq/id_dsa_1024.pub >> /root/.ssh/authorized_keys4
b. 修改sshd的配置文件;
# vim /etc/ssh/sshd_config

Protocol 2 /仅允许使用SSH2

PubkeyAuthentication yes /*启用PublicKey认证

AuthorizedKeysFile .ssh/authorized_keys4 /*PublicKey文件路径

PasswordAuthentication no /*禁止密码验证登录

c. 重启sshd服务;

#service sshd restart

d. 测试;

使用xshell登录,ok,没有问题;

将私钥文件id_dsa_1024给一台Linux客户端,

#ssh -i id_dsa_1024 username@server

同样ok,也没有问题;

 

4. 将xshell的私钥文件id_dsa_1024给SecureCRT使用;

也同样ok,没有问题;

 

5. 刚才的步骤3中,导出的私钥格式,选择为OpenSSH,这样步骤4就没有问题了;

验证是否导出的私钥格式,选择为"User Key Files(*.pri)", 重复步骤4,果然不可以;

同样的,私钥格式,选择为"*.*", 重复步骤4,也不可以;

 

so. 结论是,如果是OpenSSH格式的私钥文件,那么xshell, SecureCRT, Linux客户端均可以使用。




你可能感兴趣的:(linux,session,server,ssh,服务器,File)