【开发记录】ssh密钥登陆
首先要先建立密钥对,不管是服务器创建还是客户端创建都可以,但是权限必须给对(这个稍后说明),以下为CSDN某篇关于密钥登录的文章
我们一般使用 PuTTY 等 SSH 客户端来远程管理 Linux 服务器。但是,一般的密码方式登录,容易有密码被暴力破解的问题。所以,一般我们会将 SSH 的端口设置为默认的 22 以外的端口,或者禁用 root 账户登录。其实,有一个更好的办法来保证安全,而且让你可以放心地用 root 账户从远程登录——那就是通过密钥方式登录。
密钥形式登录的原理是:利用密钥生成器制作一对密钥——一只公钥和一只私钥。将公钥添加到服务器的某个账户上,然后在客户端利用私钥即可完成认证并登录。这样一来,没有私钥,任何人都无法通过 SSH 暴力破解你的密码来远程登录到系统。此外,如果将公钥复制到其他账户甚至主机,利用私钥也可以登录。
下面来讲解如何在 Linux 服务器上制作密钥对,将公钥添加给账户,设置 SSH,最后通过客户端登录。
1. 制作密钥对
首先在服务器上制作密钥对。首先用密码登录到你**打算使用密钥登录的账户**,然后执行以下命令(以root为例):
[root@host ~]$ ssh-keygen <== 建立密钥对
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): <== 按 Enter (建议增加参数-t选择其他类型密钥如-t ed25519)
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase): <== 输入密钥锁码,或直接按 Enter 留空
Enter same passphrase again: <== 再输入一遍密钥锁码
Your identification has been saved in /root/.ssh/id_(密钥类型). <== 私钥
Your public key has been saved in /root/.ssh/id_(密钥类型).pub. <== 公钥
The key fingerprint is:
0f:d3:e7:1a:1c:bd:5c:03:f1:19:f1:22:df:9b:cc:08 root@host
密钥锁码在使用私钥时必须输入,这样就可以保护私钥不被盗用。当然,也可以留空,实现无密码登录。
现在,在 root 用户的家目录中生成了一个 .ssh 的隐藏目录,内含两个密钥文件。id_rsa 为私钥,id_rsa.pub 为公钥。
2. 在服务器上安装公钥
键入以下命令,在服务器上安装公钥:
[root@host ~]$ cd .ssh
[root@host .ssh]$ cat id_rsa.pub >> authorized_keys
如此便完成了公钥的安装。为了确保连接成功,请保证以下文件权限正确:
[root@host .ssh]$ chmod 600 authorized_keys (此处权限有误,后面会说明)
[root@host .ssh]$ chmod 700 ~/.ssh (此处权限有误,后面会说明)
3. 设置 SSH,打开密钥登录功能
编辑 /etc/ssh/sshd_config 文件,进行如下设置:
RSAAuthentication yes
PubkeyAuthentication yes
另外,请留意 root 用户能否通过 SSH 登录:
PermitRootLogin yes
当你完成全部设置,并以密钥方式登录成功后,再禁用密码登录:
PasswordAuthentication no
最后,重启 SSH 服务:
[root@host .ssh]$ service sshd restart
4. 将私钥下载到客户端,然后转换为 PuTTY 能使用的格式
使用 WinSCP、SFTP 等工具将私钥文件 id_rsa 下载到客户端机器上。然后打开 PuTTYGen,单击 Actions 中的 Load 按钮,载入你刚才下载到的私钥文件。如果你刚才设置了密钥锁码,这时则需要输入。
载入成功后,PuTTYGen 会显示密钥相关的信息。在 Key comment 中键入对密钥的说明信息,然后单击 Save private key 按钮即可将私钥文件存放为 PuTTY 能使用的格式。
今后,当你使用 PuTTY 登录时,可以在左侧的 Connection -> SSH -> Auth 中的 Private key file for authentication: 处选择你的私钥文件,然后即可登录了,过程中只需输入密钥锁码即可。
————————————————
版权声明:本文为CSDN博主「permike」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/permike/article/details/52386868
上面这篇文章中主要讲怎么创建密钥对,但有时候因为用户权限问题或者openssh版本等等各种各样的原因导致密钥对的权限给的不对,然而密钥登录对权限限制非常严格,导致密钥登录失败
所以,以下这篇CSDN的文章便解决了文件权限给予问题:
ssh免密登陆配置好后不成功
素质教育的漏网之
于 2019-02-27 20:01:20 发布
●出现问题
将每台机器的id_rsa.pub 追加到其他机器的authorized_keys时,怎么ssh 每一个主机都不成功,查了其他博客,一是权限问题
二是防火墙问题
首先查看安全日志
Feb 27 19:23:14 second sshd[9913]: Authentication refused: bad ownership or modes for file /home/wdz/.ssh/authorized_keys
上网查阅后发现这个问题是权限导致的问题,也就是说authorized_keys的权限不对,需要改变!
●解决问题
sshd为了安全,对属主的目录和文件权限有所要求。如果权限不对,则ssh的免密码登陆不生效。
用户目录权限为 755 或者 700,就是不能是77x。
.ssh目录权限一般为755或者700。
rsa_id.pub 及authorized_keys权限一般为644(直接touch创建的文件权限是664,需要改成644)
rsa_id权限必须为600
————————————————
版权声明:本文为CSDN博主「素质教育的漏网之」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_37036963/article/details/87987959
若依旧登录失败可以用ssh调试模式登录查看问题(一个连接只能连接一次)
/usr/sbin/sshd -p 10022 -d
-p 10022为设定的调试端口,-d为调试模式
