账户从远程登陆——那正是经过密钥方式登陆

诚如选拔 PuTTY 等 SSH 用户带来远程管理 Linux
服务器。不过,平时的密码方式登陆,轻易有密码被暴力破解的题目。所以,平时大家会将
SSH 的端口设置为暗许的 22 以外的端口,或然剥夺 root
账户登陆。其实,有一个越来越好的章程来有限援助安全,何况令你能够放心地用 root
账户从远程登入——那正是经过密钥情势登陆。

密钥方式登陆的规律是:利用密钥生成器制作少年老成对密钥——二头公钥和叁只私钥。将公钥增多到服务器的有些账户上,然后在顾客端接受私钥就能够完毕认证并报到。那样一来,没有私钥,任什么人都力不能支通过
SSH
暴力破解你的密码来远程登入到系统。此外,假若将公钥复制到其余账户还是主机,利用私钥也得以登陆。

下边来说课怎么着在 Linux 服务器上成立密钥对,将公钥加多给账户,设置
SSH,最后通过客商端登入。

1. 制作密钥对

第生机勃勃在服务器上创立密钥对。首先用密码登入到你筹算选择密钥登陆的账户,然后履行以下命令:

[root@host ~]$ ssh-keygen  <== 建立密钥对
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): <== 按 Enter
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase): <== 输入密钥锁码,或直接按 Enter 留空
Enter same passphrase again: <== 再输入一遍密钥锁码
Your identification has been saved in /root/.ssh/id_rsa. <== 私钥
Your public key has been saved in /root/.ssh/id_rsa.pub. <== 公钥
The key fingerprint is:
0f:d3:e7:1a:1c:bd:5c:03:f1:19:f1:22:df:9b:cc:08 root@host

密钥锁码在行使私钥时必需输入,那样就能够保证私钥不被偷用。当然,也足以留空,完成无密码登录。

以后,在 root 客户的家目录中生成了五个 .ssh
的藏身目录,内含五个密钥文件。id_rsa 为私钥,id_rsa.pub 为公钥。

2. 在服务器上安装公钥

键入以下命令,在服务器上安装公钥:

[root@host ~]$ cd .ssh
[root@host .ssh]$ cat id_rsa.pub >> authorized_keys

如此那般便成功了公钥的装置。为了保证连接成功,请确定保证以下文件权限精确:

[root@host .ssh]$ chmod 600 authorized_keys
[root@host .ssh]$ chmod 700 ~/.ssh

3. 装置 SSH,展开密钥登入功用

编辑 /etc/ssh/sshd_config 文件,进行如下设置:

RSAAuthentication yes
PubkeyAuthentication yes

除此以外,请留意 root 客户能还是无法通过 SSH 登陆:

PermitRootLogin yes

当你完结全套安装,并以密钥方式登入成功后,再禁止使用密码登陆:

PasswordAuthentication no

最后,重启 SSH 服务:

[root@host .ssh]$ service sshd restart

4. 将私钥下载到顾客端,然后转变为 PuTTY 能动用的格式

使用 WinSCP、SFTP
等工具将私钥文件 id_rsa
下载到客商端机器上。然后打开 PuTTYGen,单击
Actions 中的 Load
开关,载入你刚才下载到的私钥文件。假如你刚才设置了密钥锁码,这个时候则需求输入。

载入成功后,PuTTYGen 会彰显密钥相关的音信。在 Key comment
中键入对密钥的证实音讯,然后单击 Save private key
按键就能够将私钥文件存放为 PuTTY 能应用的格式。

从今以往,当您接收 PuTTY 登入时,能够在侧边包车型客车 Connection -> SSH ->
Auth 中的 Private key file for authentication:
处接纳你的私钥文件,然后就可以登陆了,过程中只需输入密钥锁码就可以。

5、假若不需求注脚验证登陆,直接删除~/.ssh下创立的有关文书就能够。

温馨提醒:证书验证登入对于服务器客商授权,有着很好的安全性,希望我们多多使用ssh证书。