文章目录

  • 为什么要使用密钥认证
  • 密钥认证的原理
  • 密钥认证的步骤
  • 想要取消密钥认证怎么办
  • 普通用户想要设置密钥登录怎么办
  • 想要设置免密登录怎么办
  • sshd的安全设置


为什么要使用密钥认证

我们已经知道,sshd服务可以通过密码来登录,分别输入用户名和密码,两者密码相匹配时就可以登录。但是密码认证有以下的缺点:

  1. 用户无法设置空密码,即使系统允许空密码,也会十分危险。
  2. 保管不当时,密码或许会被泄露。
  3. 服务器上的密码也许会给很多人使用,当修改密码时,要逐一通知,费事费力。

但是, 密钥认证却可以避免上述所有的问题。
公钥认证允许使用空密码,省去每次登录都需要输入密码的麻烦。
多个使用者可以通过各自的密钥登录到系统上的同一个用户。

密钥认证的原理

所谓的密钥认证,实际上是使用一对加密字符串,一个称为公钥(public key),任何人都可以看到其内容,用于加密;

另一个称为密钥(private key),只有拥有者才能看到,用于解密。通过公钥加密过的密文使用密钥可以轻松解密,但根据公钥来猜测密钥却十分困难。

密钥认证的步骤

1.在服务端生成锁和钥匙

(做实验之前,应该对server和desktop进行 rm -fr /root/.ssh 操作)

怎么ping gpg公钥服务器 公钥认证服务器_密钥登录

(图示中服务器ip为172.25.254.110)

ssh-keygen      #生成密钥

怎么ping gpg公钥服务器 公钥认证服务器_linux_02

或者使用参数指定密钥文件的储存位置,和密码。一般默认就好了。

ssh-keygen    -f   /root/.ssh/id_rsa     -P  ""

2.加密ssh用户的认证

ssh-copy-id  -i  /root/.ssh/id_rsa.pub  root@服务器端ip

怎么ping gpg公钥服务器 公钥认证服务器_怎么ping gpg公钥服务器_03

怎么ping gpg公钥服务器 公钥认证服务器_密钥登录_04


当查看.ssh目录下的文件,发现出现authorized_keys文件时,表示加密成功。

rsa.pub 是公钥的模板 ,这个文件的内容authencation_keys完全一样。

3.发送钥匙给客户端

(在图示中,客户机ip地址为172.25.254.110)

scp /root/.ssh/id_rsa  客户端用户名称@客户端ip   /root/.ssh/

怎么ping gpg公钥服务器 公钥认证服务器_sshd_05

4.测试设置是否成功

在客户机测试发现登陆时,不再询问密码。

怎么ping gpg公钥服务器 公钥认证服务器_怎么ping gpg公钥服务器_06

想要取消密钥认证怎么办

方法一:

服务器端可以

rm -fr /root/.ssh/authorized_keys

此时客户机需要输入密码才能连接上服务端主机

方法二:

mv   /root/.ssh/authorized_keys   /root/.ssh/authorized_bak

(1)

怎么ping gpg公钥服务器 公钥认证服务器_sshd_07


即给文件重命名即可(2)当想让密钥重新生效时,改回名称即可

怎么ping gpg公钥服务器 公钥认证服务器_sshd_08

普通用户想要设置密钥登录怎么办

对于密钥服务来说,不一定只能对服务器主机上的root用户生成密钥登录的认证方式,普通用户也可以,且思路完全一样。
这里以对westos实现密钥登录为例:
在服务器:

mkdir /home/westos/.ssh    #.ssh目录默认清空下不存在
cd /home/westos/.ssh  
ssh-keygen -f  /home/westos/.ssh/id_rsa  -P "" #生成密钥
ssh-copy-id -i ./id_rsa.pub westos@服务器ip    # 对本机上锁,生成authorized_keys文件
scp ./id_rsa  客户机用户@客户机ip  家目录下的/.ssh/  将钥匙分发给客户机

想要设置免密登录怎么办

cp /root/.ssh/id_rsa.pub  /root/.ssh/autherized_keys

怎么ping gpg公钥服务器 公钥认证服务器_密钥登录_09


怎么ping gpg公钥服务器 公钥认证服务器_linux_10

sshd的安全设置

位置:

/etc/ssh/sshd_config

方式:

1.当没有密钥的时候可以是否可以用密码登陆服务端主机

怎么ping gpg公钥服务器 公钥认证服务器_怎么ping gpg公钥服务器_11

出现下列错误的原因是,密码验证功能没有向没有密钥的用户开放。

怎么ping gpg公钥服务器 公钥认证服务器_怎么ping gpg公钥服务器_12

2.开启或关闭root用户的登陆权限

怎么ping gpg公钥服务器 公钥认证服务器_sshd_13

注意:

当此项设置为yes ,但是设置了白名单,且白名单里却没有root时,root也不能登录。即root用户受白名单限制。

当此项设置为no,即使白名单里有root,root用户也不能登录。

3.黑名单用户,即不能登陆的用户,即使有密码,也无权登录

怎么ping gpg公钥服务器 公钥认证服务器_sshd_14

4.白名单用户,除了白名单的用户,其他都不能登录。(用户之间用空格隔开)白名单的权限最大.

怎么ping gpg公钥服务器 公钥认证服务器_linux_15

百分之二百注意!!!

(1)

密钥登录和白名单是两回事,你在root下生成密钥,发放密钥,那么你在/etc/ssh/sshd_config里,设置了westos为白名单,那除了westos用户,其他用户都不能登录,而且,westos也只能通过正确的密码登录。westos不能通过密钥登录,因为你所有生成密钥,发放密钥的过程都是给root,一个系统里只有一个sshd_config文件,但是有多个用户。

(2)
这里的白名单用户说的是服务器上的用户,不是客户机上的用户,即如果设置westos为白名单,则客户机应该使用当时服务器分发给它密钥的用户去执行 ssh westos@xxxxxxxxx
而不是在客户机里切换成westos用户去执行。

5.设置端口号

怎么ping gpg公钥服务器 公钥认证服务器_linux_16

当更改端口号之后,服务器端和客户端分别需要进行如下操作。

服务器端:

怎么ping gpg公钥服务器 公钥认证服务器_密钥登录_17

客户端:

怎么ping gpg公钥服务器 公钥认证服务器_密钥登录_18

6.指定提供sshd服务的ip

怎么ping gpg公钥服务器 公钥认证服务器_怎么ping gpg公钥服务器_19

当更改文件里提供服务的ip之后,原有的命令不再能连接上172.25.254.210主机

怎么ping gpg公钥服务器 公钥认证服务器_密钥登录_20

注意:
每次修改配置文件后需要 systemctl restart ssh 重新读取文件才能使修改生效