Linux服务器之SSH 密钥创建及密钥登录设置】

已于 2022-06-28 14:10:59 修改
阅读量4.8k 收藏 23
点赞数 4
分类专栏: linux 文章标签: ssh
于 2022-06-27 15:51:23 首次发布
原文链接:https://blog.51cto.com/xdr630/2792133
版权

在我们平时使用Linux系统时候,通常使用的LinuxSSH登录方式是用户名加密码的登录方式,今天来探讨另外的一种相对安全的登录方式——密钥登录。

我们知道SSH登录是用的RSA非对称加密的,所以我们在SSH登录的时候就可以使用RSA密钥登录,SSH有专门创建SSH密钥的工具ssh-keygen,下面就来一睹风采。

我们一般使用 PuTTY 等 SSH 客户端来远程管理 Linux 服务器。但是,一般的密码方式登录,容易有密码被暴力破解的问题。所以,一般我们会将 SSH 的端口设置为默认的 22 以外的端口,或者禁用 root 账户登录。其实,有一个更好的办法来保证安全,而且让你可以放心地用 root 账户从远程登录——那就是通过密钥方式登录。

密钥形式登录的原理是:利用密钥生成器制作一对密钥——一只公钥和一只私钥。将公钥添加到服务器的某个账户上,然后在客户端利用私钥即可完成认证并登录。这样一来,没有私钥,任何人都无法通过 SSH 暴力破解你的密码来远程登录到系统。此外,如果将公钥复制到其他账户甚至主机,利用私钥也可以登录。

下面来讲解如何在 Linux 服务器上制作密钥对,将公钥添加给账户,设置 SSH,最后通过客户端登录。

  • 首先进入Linux系统的用户目录下的.ssh目录下,root用户是/root/.ssh,普通用户是/home/用户名/.ssh,这里以用户名为 xdr 为例:
mkdir /home/xdr/.ssh
cd /home/xdr/.ssh
  • 执行ssh-keygen命令创建密钥对
ssh-keygen -t rsa

执行密钥生成命令,基本上是一路回车既可以了,但是需要注意的是:执行命令的过程中是会提示。输入密钥的密码的(如下图中红色箭头处,输入两次相同的,即是又一次确认密码),不需要密码直接回车就行。

Enter file in which to save the key (/root/.ssh/id_rsa):
#输入key的保存位置,直接回车即可。
Enter passphrase (empty for no passphrase):
#私钥口令,不需要的话直接回车。


密钥生成后会在当前目录下多出两个文件,id_rsa和id_rsa.pub,其中id_rsa是私钥(敲黑板:这个很重要,不能外泄),id_rsa.pub这个是公钥,

  • 把公钥拷贝到需要登录的远程服务器或Linux系统上,这里可以使用ssh-copy-id自动完成,也可以手动追加秘钥到远程服务器。
  • 添加公钥到 authorized_keys 文件,如果没有 authorized_keys 文件创建个
cat /home/xdr/.ssh/id_rsa.pub >> /home/xdr/.ssh/authorized_keys
或
cp id_rsa.pub authorized_keys


这里的“>”表示覆盖,“>>”表示追加
注意目录和文件的权限
执行成功会创建空authorized_keys文件,授予600权限(注意:此处权限必须是600):

chmod 700 /home/xdr/.ssh
chmod 600 /home/xdr/.ssh/authorized_keys
  • 设置 SSH,打开密钥登录功能,以root用户来操作
    编辑 /etc/ssh/sshd_config 文件,进行如下设置:
RSAAuthentication yes
PubkeyAuthentication yes

另外,请留意 root 用户能否通过 SSH 登录:

PermitRootLogin yes

当你完成全部设置,并以密钥方式登录成功后,再禁用密码登录:

PasswordAuthentication no


最后,重启 SSH 服务:

本地Windows下私钥登录测试:

[root@host .ssh]$ service sshd restart
  • 将 下载到客户端,用xshell或putty工具通过私钥登录
ssh -i /home/xdr/.ssh/id_rsa xdr@IP地址


接着浏览文件至刚才下载的私钥,登录即可,如果创建私钥的时候设置了密码,就需在上面要输入密码了。

本地Windows cmd下登录时还是需要用到xdr用户的密码:


有关资料: 设置 SSH 通过密钥登录
科普:

ssh-keygen可用的参数选项有:
-a trials
在使用 -T 对 DH-GEX 候选素数进行安全筛选时需要执行的基本测试数量。
-B 显示指定的公钥/私钥文件的 bubblebabble 摘要。
-b bits
指定密钥长度。对于RSA密钥,最小要求768位,默认是2048位。DSA密钥必须恰好是1024位(FIPS 186-2 标准的要求)。
-C comment
提供一个新注释
-c 要求修改私钥和公钥文件中的注释。本选项只支持 RSA1 密钥。
程序将提示输入私钥文件名、密语(如果存在)、新注释。
-D reader
下载存储在智能卡 reader 里的 RSA 公钥。
-e 读取OpenSSH的私钥或公钥文件,并以 RFC 4716 SSH 公钥文件格式在 stdout 上显示出来。
该选项能够为多种商业版本的 SSH 输出密钥。
-F hostname
在 known_hosts 文件中搜索指定的 hostname ,并列出所有的匹配项。
这个选项主要用于查找散列过的主机名/ip地址,还可以和 -H 选项联用打印找到的公钥的散列值。
-f filename
指定密钥文件名。
-G output_file
为 DH-GEX 产生候选素数。这些素数必须在使用之前使用 -T 选项进行安全筛选。
-g 在使用 -r 打印指纹资源记录的时候使用通用的 DNS 格式。
-H 对 known_hosts 文件进行散列计算。这将把文件中的所有主机名/ip地址替换为相应的散列值。
原来文件的内容将会添加一个".old"后缀后保存。这些散列值只能被 ssh 和 sshd 使用。
这个选项不会修改已经经过散列的主机名/ip地址,因此可以在部分公钥已经散列过的文件上安全使用。
-i 读取未加密的SSH-2兼容的私钥/公钥文件,然后在 stdout 显示OpenSSH兼容的私钥/公钥。
该选项主要用于从多种商业版本的SSH中导入密钥。
-l 显示公钥文件的指纹数据。它也支持 RSA1 的私钥。
对于RSA和DSA密钥,将会寻找对应的公钥文件,然后显示其指纹数据。
-M memory
指定在生成 DH-GEXS 候选素数的时候最大内存用量(MB)。
-N new_passphrase
提供一个新的密语。
-P passphrase
提供(旧)密语。
-p 要求改变某私钥文件的密语而不重建私钥。程序将提示输入私钥文件名、原来的密语、以及两次输入新密语。
-q 安静模式。用于在 /etc/rc 中创建新密钥的时候。
-R hostname
从 known_hosts 文件中删除所有属于 hostname 的密钥。
这个选项主要用于删除经过散列的主机(参见 -H 选项)的密钥。
-r hostname
打印名为 hostname 的公钥文件的 SSHFP 指纹资源记录。
-S start
指定在生成 DH-GEX 候选模数时的起始点(16进制)。
-T output_file
测试 Diffie-Hellman group exchange 候选素数(由 -G 选项生成)的安全性。
-t type
指定要创建的密钥类型。可以使用:"rsa1"(SSH-1) "rsa"(SSH-2) "dsa"(SSH-2)
-U reader
把现存的RSA私钥上传到智能卡 reader
-v 详细模式。ssh-keygen 将会输出处理过程的详细调试信息。常用于调试模数的产生过程。
重复使用多个 -v 选项将会增加信息的详细程度(最大3次)。
-W generator
指定在为 DH-GEX 测试候选模数时想要使用的 generator
-y 读取OpenSSH专有格式的公钥文件,并将OpenSSH公钥显示在 stdout 上。

ssh-copy-id的参数有:
-i #指定密钥文件
-p #指定端口,默认端口号是22
-o <ssh -o options>
user@]hostname #用户名@主机名
-f: force mode -- copy keys without trying to check if they are already installed
-n: dry run -- no keys are actually copied
-h|-?: 显示帮助
  • mac登录服务器
  • 在win上面可以使用XSHELL来登录类似于亚马逊这样的安全服务器,在mac上面就可以使用系统自带的命令工具来连接

    1、使用命令
    1. ssh -i key.pem [server]  

    如下:
    1. ssh -i key.pem root@192.168.1.1  


    2、在执行上面的命令后会提示让你确认是否继续,输入yes继续,然后可能会提示一个错误
    1. @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@  
    2. @         WARNING: UNPROTECTED PRIVATE KEY FILE!          @  
    3. @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@  
    4. Permissions 0770 for '/Users/**/workspace/key.pem' are too open.  
    5. It is required that your private key files are NOT accessible by others.  
    6. This private key will be ignored.  
    7. bad permissions: ignore key: '/Users/**/workspace/key.pem'  
    8. Permission denied (publickey).  


    这个问题是说这个文件的权限太大了,需要给小点
    所以就执行:
    1. sudo chmod 600 key.pem  


    然后再执行ssh -i key.pem root@192.168.1.1就可以了

    3、最方便的还是使用ssh-add 添加一下键文件,以后访问方便点
    1. ssh-add -k key.pem   


    4、执行完上面的命令后下次就只需要像普通ssh那样访问就可以了,如下:
    1. ssh root@192.168.1.1  

 

fighting_tl
关注
  • 4
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux CentOS 8.x 生成rsa公私密钥
hkl_Forever的博客
10-20 6528
1、.ssh文件夹、id_rsa、id_rsa.pub 权限为700。有时候我们在远程访问服务器或者使用Jenkins连接远程服务器时候,需要配置rsa私钥。对于RSA密钥,最小要求768位,默认是2048位。生成 id_rsa(私钥)、id_rsa.pub(公钥) 两个文件。-m 参数指定密钥的格式,PEM是rsa之前使用的旧格式。2、然后在第三方平台连接中就可以配置使用公(私)钥了。(1):默认生成在 //root/.ssh 目录下。1、生成新版格式 rsa 密钥。2、生成旧版格式 rsa 密钥
SSH命令详解
热门推荐
m0_60873746的博客
05-25 3万+
SSH 是一种用于远程管理和操作服务器的协议,可确保数据传输安全和可靠性。本篇博客介绍了 SSH 的基础知识,包括连接远程主机、指定登录用户和端口号、使用身份验证文件、执行远程命令等操作。同时,也介绍了如何使用密钥登录远程主机,提高了系统的安全性。
ssh使用介绍
goodparty的专栏
10-26 5184
开启端口转发ssh -fN root@172.18.18.18 -L 13306 :172.18.18.19:3306 # -fN:后台运行;不执行命令,只负责转发。# root:跳板机B的用户名。# 172.18.18.18:跳板机B的ip地址。# -L:本地端口转发。# 13306:监听的本地端口。# 172.18.18.19:mysql服务器地址。修改连接mysql方式SecureCRT也支持这个功能。链接内网数据库使用 navicat 的 ssh 通道也是可以的。
Linux生成密钥对并配置免密访问
最新发布
u014516208的博客
05-07 435
先生成私钥,再生成公钥。
ssh命令详解
a807719447的专栏
03-31 770
windows中命令帮助如下 - 直接连接远程端口: ssh username@remote_host - 通过密钥连接: ssh -i path/to/key_file username@remote_host -指定端口连接: ssh username@remote_host -p 2222 - 执行一个命令: ssh remote_host command -with -flags - ssh隧道:动态端口转发 (SOCKS proxy on l
SSH秘钥生成和使用
疾风行的博客
10-27 466
1.linux下生成ssh秘钥 [root@localhost ~]# ssh-keygen -t rsa #生成密钥对,-t代表类型,有RSA和DSA两种 Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): #密钥文件默认存放位置,按Enter即可 Created directory ‘/root/.ssh’. Enter passphrase (e
Linux VPS及服务器更加安全之设置Putty SSH使用密钥登录
01-10
在上一篇的确保Linux VPS及服务器更加安全之Xshell设置密钥登录文章中已经分享到XSHELL使用密钥登陆我们的VPS服务器确保机器的安全,但是很多同学们并不是都像老左一样用XSHELL,而还是有很多使用PUTTY登陆SSH,所以...
windows安装openssh并通过生成SSH密钥登录Linux服务器
01-11
SSH的英文全称是Secure SHell。通过使用SSH,你可以把所有传输的数据进行加密,这样“中间人”这种攻击方式就不可能实现了,而且也能够防止DNS和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的,所以可以...
实现一台或者多台Linux实例解绑SSH密钥
01-20
为一台或者多台 Linux 实例解绑 SSH 密钥对。 描述 使用该接口时,请注意: 解绑 SSH 密钥对后,您需要重启实例(RebootInstance)使更改生效。 解绑 SSH 密钥对后,实例默认使用用户名和密码的验证方式。 请求参数 ...
windows系统 生成RSA密钥
keyboard专栏
11-03 1529
PuTTYgen是PuTTY套件的一部分,是在Windows上生成SSH密钥对的一个流行工具。如果你的目的是生成SSL/TLS密钥对或其他类型的通用密钥对,你可以使用OpenSSL,这是一个强大的安全工具。现在,你已经有了一个SSH密钥对,私钥应该安全地保存,而公钥可以导入到SSH服务器。根据你需要的密钥对类型和用途,这两种方法中的一种应该能满足你的要求。
Linux ssh/sftp/scp免密登录
延宝小白马的博客
08-16 828
Linux上实现SSH、SFTP和SCP免密登录
算法工程师必备(背)基础知识——SSH篇(一)
qq_38334677的博客
11-28 1218
SSH(Secure Shell)是一种网络协议,用于在不安全的网络中安全地进行远程登录和其他网络服务。它为网络服务提供了一种安全的通道,特别是在不安全的网络环境中。加密:SSH使用公钥加密来确保两台计算机之间的通信安全。这意味着即使数据被拦截,也无法被未经授权的第三方读取。身份验证:SSH支持多种身份验证机制。最常见的是使用密码和基于密钥的身份验证。基于密钥的身份验证被认为比传统密码更安全。端口转发:SSH允许通过所谓的SSH隧道将网络端口从一个网络节点转发到另一个。
SSH密钥对生成和使用(putty)
WilliamEvano的博客
08-08 6496
SSH密钥对生成和使用(putty) 1.打开生成密钥工具puttygen(如果没有请去此处下载 ) 点击Generate然后晃动鼠标生成密钥key 私钥:保存在本地后续登录服务器的时候使用 注意:会提示输入密码,此密码是私钥保护密码,我这为了实现免密登录就不设置密码 公钥:将内容.ssh/目录下 authorized_keys 如果没有请新建 authorized_keys文件 [root@Docker ~]# vim .ssh/authorized_keys #将生成的密钥key放在此文件内 [
LinuxSSH密钥认证登录
qq_52302132的博客
10-30 1896
【代码】SSH密钥认证登录
linux创建ssh用户名和密码,Linux SSH使用密钥实现免密码登录
weixin_33474104的博客
04-28 3244
1.在客户端生成公钥和私钥ssh-keygen -f ~/.ssh/filenamefilename替换为实际的文件名。该命令会提示输入口令用来加密私钥,如果不需要直接回车。命令执行完毕后会在~/.ssh/下生成两个文件,一个filename,这个是私钥;一个是filename.pub,这个是公钥。2.将生成的公钥添加到远程SSH服务器将生成的公钥filename.pub文件,复制到ssh服务器对...
linux ssh 密钥配置
limonero
07-20 7968
若’~/.ssh/authorized_keys’不存在,则建立.ssh文件夹和authorized_keys文件.将上文中客户机id_rsa.pub的内容拷贝到authorized_keys中.注意1).ssh目录的权限必须是7002).ssh/authorized_keys文件权限必须是600。1、修改sshd配置文件(/etc/ssh/sshd_config)可以使用密钥免密登录配置。7、在~/.ssh/目录下生成id_rsa私钥文件和is_ras.pub公钥文件。...
项目管理 之七 SSH、GPG 密钥生成步骤、部署 Github、Gitee 及使用效果
技术干货
07-01 6439
SSH、GPG 密钥生成步骤、部署 Github、Gitee 及使用效果
ssh简介及两种远程登录
小豆角的博客
05-28 661
https://blog.csdn.net/li528405176/article/details/82810342 Secure Shell(SSH) 是由 IETF(The Internet Engineering Task Force) 制定的建立在应用层基础上的安全网络协议。它是专为远程登录会话(甚至可以用Windows远程登录Linux服务器进行文件互传)和其他网络服务提供安全性...
ssh-密钥生成
simpleness
03-02 394
ssh密钥生成操作
windows安装openssh并通过生成ssh密钥登录linux服务器
09-08
Windows环境下安装OpenSSH并通过生成SSH密钥登录Linux服务器的步骤如下: 1. 首先,在Windows系统上下载OpenSSH软件包。最常用的是从OpenSSH官方网站下载最新版本的安装程序。 2. 下载完成后,运行安装程序。选择所需的安装选项,如安装路径和组件。 3. 在安装过程中,选择将OpenSSH添加到系统环境变量中。这将使得SSH命令在任意位置都可以被识别。 4. 安装完成后,打开PowerShell或命令提示符,输入“ssh”命令来验证OpenSSH是否成功安装。 5. 安装完成后,需要生成SSH密钥对。在PowerShell或命令提示符中输入“ssh-keygen”命令。 6. 接下来,按照提示输入密钥生成过程中需要的信息,如保存密钥的文件名和密码(可选项)。 7. 生成密钥过程完成后,会在默认的.ssh目录中生成公钥(id_rsa.pub)和私钥(id_rsa)。 8. 将公钥(id_rsa.pub)复制到要登录Linux服务器上的用户主目录下的.ssh目录中。 9. 在Linux服务器上,使用root权限登录,并使用“mkdir .ssh”命令创建.ssh目录(如果目录不存在)。 10. 然后使用“chmod 700 .ssh”命令将.ssh目录权限设置为仅限所有者读写执行。 11. 使用“cd .ssh”命令进入.ssh目录,并使用“touch authorized_keys”命令创建authorized_keys文件。 12. 运行“chmod 600 authorized_keys”命令将authorized_keys文件权限设置为仅限所有者读写。 13. 通过“cat id_rsa.pub >> authorized_keys”命令将公钥添加到authorized_keys文件末尾。 14. 退出Linux服务器,并回到Windows系统。 15. 在Windows系统上打开PowerShell或命令提示符,输入“ssh username@ip_address”命令来通过SSH密钥登录Linux服务器。 通过以上步骤,您就可以成功安装OpenSSH,并通过生成SSH密钥登录Linux服务器

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值