背景:

  • ssh服务支持之中安全认证机制,就是密钥登录,这种方式是比较安全的登入方式。
  • 一般的密码方式登录容易被密码暴力破解,使用密钥方式登入主机也是首推一种登入方式,比使用密码的方式登录更佳!

主要步骤说明:

  1. 使用系统自带或工具利用密钥生成器制作一对密钥:一只公钥(id_rsa.pub)和一只私钥(id_rsa)
  2. 把公钥添加到服务器 /root/.ssh/authorized_keys
  3. 客户端(服务器、或SecureCRT 或 putty 或 xShell)利用私钥即可完成认证并登录

注意事项

    在还没有验证使用私钥可以登入系统之前,建议开启密码登入和密钥登入两种方式,等验证使用密钥登入成功后,再关闭对应的禁止root登入和使用密码登录系统的方式。

具体的操作步骤:

第1步:在root登入的情况下执行命令:

ssh-keygen -t rsa

[root@bogon ~]# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): (回车)

按提示说选择保存到哪个路径,直接按下回家即可

第2步:直接三次回车,默认保存在当前路径下

[root@bogon ~]# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): (回车)
Enter passphrase (empty for no passphrase): (回车)
Enter same passphrase again: (回车)
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
c5:7e:44:73:4c:1a:db:67:a8:60:f6:de:bc:58:4a:2c root@bogon
The key's randomart image is:
+--[ RSA 2048]----+
|            +oo  |
|         . . B.. |
|          * + o o|
|         = + . o |
|        S . +    |
|           + o   |
|          E + +  |
|           o + . |
|            o .  |
+-----------------+

Enter file in which to save the key (/root/.ssh/id_rsa):
该命令提示的意思是:让我们定义私钥的存放路径,默认存在的路径是在/root/.ssh/id_rsa的下面

Enter passphrase (empty for no passphrase):
该命令提示的意思是:定义私钥的密码,一般为了免密默认的留空,直接的回车

Enter same passphrase again:
该命令提示的意思是:确认密码设置

经过上面三次回车后,最后在/root/.ssh/id_rsa下面生成了公钥和私钥

[root@bogon ~]# cd /root/.ssh/
[root@bogon .ssh]# ll
total 12
-rw-------. 1 root root 1675 Mar  2 11:02 id_rsa(私钥)
-rw-r--r--. 1 root root  392 Mar  2 11:02 id_rsa.pub (公钥)
-rw-r--r--. 1 root root  176 Feb 28 07:48 known_hosts

关于是否设置密钥的密码信息:一般也是建议你设置,如果不设置的话,后续别人拿到你的密钥,不输入密码的方式下就可以直接的使用密钥登入了!当然,也可以留空,实现无密码登录。

如果设置可密码的话,密钥锁码在使用私钥时必须输入,这样就可以保护私钥不被盗用。

第3步: 服务器上安装公钥

主要操作是:复制公钥内容到/root/.ssh/authorized_keys

因为我们是使用ssh-keygen -t rsa方式生成相关密匙信息,所以此时默认的会有对应的:/root/.ssh/这个目录存在,如果没有的话(即使用其他ssh工具生成密钥的时候)就需要收的创建此目录.。另外:/root/.ssh/authorized_keys这个文件的名称是固定不变的哟,不要写错了!

[root@bogon ~]# mkdir -p /root/.ssh 创建目录
[root@bogon ~]# chmod 700 /root/.ssh 更改目录权限
[root@bogon ~]# cat /root/.ssh/id_rsa.pub 
XXXXXXX内容信息的信息
[root@bogon ~]# nano /root/.ssh/authorized_keys ( 编辑保存退出)

或者直接的:
 [root@bogon ~]# cat id_rsa.pub >> /root/.ssh/authorized_keys
 [root@bogon ~]$ chmod 600  /root/.ssh/authorized_keys
 [root@bogon ~]$ chmod 700  /root/.ssh

或者其他方式复制到对应的服务器下:
 [root@bogon ~]$.ssh-copy-id -i ~/.ssh/id_rsa.pub "-p 10022 user@server"
 [root@bogon ~]$.ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.15.241

 再次查看生成的文件信息

[root@bogon .ssh]# ll
total 16
-rw-r--r--. 1 root root  392 Mar  2 11:37 authorized_keys
-rw-------. 1 root root 1675 Mar  2 11:02 id_rsa
-rw-r--r--. 1 root root  392 Mar  2 11:02 id_rsa.pub
-rw-r--r--. 1 root root  176 Feb 28 07:48 known_hosts
[root@bogon .ssh]#

 第4步:把私钥提取出来保存到本地,方便后面使用此密钥进行登入

[root@bogon .ssh]# sz id_rsa
rz
 zmodem trl+C ȡ
  100%       1 KB    0 KB/s 00:00:21       0 Errors

关于lrzsz的一些知识点,root 账号登陆后执行以下命令:
    1:安装:yum install -y lrzsz
    2:使用说明
        sz命令发送文件到本地:
        # sz filename
        rz命令本地上传文件到服务器(执行该命令后,在弹出框中选择要上传的文件即可):
        # rz

 第5步:关闭SELinux(线上是否一定要关闭呢?)

PS:因为咋们这里是虚拟机注意!!!!注意!!!!
注意!!!! 如果是线上生产服务器的话,要注意根据实际情况进行选择关闭哟!

因为咋们这里是虚拟机,而且SELinux是Centos系统自带一种安全机制。如果我们这里不关掉这个安全机制的话,可能会出错。

临时关闭:SELinux(下次重启后还是会开启)

[root@bogon .ssh]# setenforce 0

 彻底关闭需要:SELINUX=disabled

1:编辑
vi /etc/selinux/config  # 编辑防火墙配置文件
#SELINUX=enforcing      # 注释掉
#SELINUXTYPE=targeted   # 注释掉
SELINUX=disabled        # 增加
:wq!                    # 保存退出
2:让修改生效
[root@bogon .ssh]# setenforce 0

第6步:修改SSH配置,打开密钥登录功能:

编辑修改 /etc/ssh/sshd_config 文件,进行如下设置:

RSAAuthentication yes # 开启密钥登入的认证方式
PubkeyAuthentication yes # 开启密钥登入的认证方式
PermitRootLogin yes #此处请留意 root 用户能否通过 SSH 登录,默认为yes:
PasswordAuthentication yes #当我们完成全部设置并以密钥方式登录成功后,可以禁用密码登录。这里我们先不禁用,先允许密码登陆
[root@bogon .ssh]# service sshd restart  #最后,重启 SSH 服务:

PS:关键修改参数一些说明(安全等级更高):

    #禁用root账户登录,非必要,但为了安全性,请配置
    PermitRootLogin no

    # 是否让 sshd 去检查用户家目录或相关档案的权限数据,
    # 这是为了担心使用者将某些重要档案的权限设错,可能会导致一些问题所致。
    # 例如使用者的 ~.ssh/ 权限设错时,某些特殊情况下会不许用户登入
    StrictModes no

    # 是否允许用户自行使用成对的密钥系统进行登入行为,仅针对 version 2。
    # 至于自制的公钥数据就放置于用户家目录下的 .ssh/authorized_keys 内
    RSAAuthentication yes
    PubkeyAuthentication yes
    AuthorizedKeysFile      .ssh/authorized_keys

    #有了证书登录了,就禁用密码登录吧,安全要紧
    PasswordAuthentication no

第7步:然后使用SecureCRTPortable进行登入测试:

[root@bogon .ssh]# logout

退出使用其他方式登入:

centos7尝试登录的日志 centos7 登录_安全机制

使用SecureCRTPortable进行