一、修改/etc/ssh/sshd_config文件
(1)、修改禁止root用户直接登录
将PermitRootLogin参数"yes"修改为"no"
(2)、设置基于密钥登录方式
将#AuthorizedKeysFile .ssh/authorized_keys的#注释去掉,用于设置用户公钥文件存储位置,系统默认位置在用户目录下的.ssh/authorized_keys
(3)、取消密码验证方式
将#PasswordAuthentication yes 的#去掉,并将"yes"改成"no"
系统默认使用基于密码的验证方式,现改为基于密钥的验证方式,从而提高了系统的安全性。
二、密钥制作的方法:
密钥生成有2种方法,1是通过命令行方式实现;2是通过SecureCRT生成;这讲第一种方法。
(1)、生成密钥
假设我们为普通用户forever生成KEY,执行下面的命令:
# su –l forever
# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/forever/.ssh/id_rsa): //密钥保存的路径
Created directory '/home/forever/.ssh'. //注意:.ssh目录为隐藏目录
Enter passphrase (empty for no passphrase): //输入密钥密码,在此我设为123456
Enter same passphrase again:
Your identification has been saved in /home/forever/.ssh/id_rsa. //私钥密码保存径
Your public key has been saved in /home/forever/.ssh/id_rsa.pub. //公钥密码保存路径
The key fingerprint is:
f1:80:a6:95:5d:43:1b:96:21:e2:f1:8c:7b:ca:95:e8 forever@bjf 密码指纹
(2)、重命名公钥
进入/home/forever/目录下的.ssh目录,.ssh为隐藏目录
# cd /home/forever/.ssh
# mv id_rsa.pub authorized_keys //将其名修改为/etc/ssh/sshd_config配置的AuthorizedKeysFile文件名相同
(3)、客户端配置并登录
将forever的私有密钥文件id_rsa下载到本地。步骤如下:
1、在SecureCRT建立连新connect,选择连接协议为ssh1;输入远程LINUX的IP地址和ssh监听端口(默认22);
2、设置认证方式(Authentication)->RSA,注意只选择此种方式。
3、选择"Use session indentity",并选择下载的密钥文件;
配置完毕后,可使用foerver用户登录。
