本文详细介绍了SSH免密登录的原理,强调了其在提高效率和安全性方面的优势,并提供了在MobaXterm上为普通用户和root用户配置免密登录的步骤,包括公钥生成、权限设置和安全注意事项。
目录
免密登录的原理:
SSH免密登录的原理主要基于非对称加密算法,公钥认证机制和身份验证机制,主要步骤:生成密钥对,分发公钥,建立连接,服务器验证公钥,客户端解密并回应,服务器验证响应。通俗的来说就是同时生成公钥和私钥,私钥自己保存,公钥发给其他人。
为什么要免密登录:
SSH免密登录对于需要频繁登录到多台服务器或系统的用户来说,免密登录极大地简化了登录过程,大大提高工作效率;传统的密码登录方式中,每次登录都需要输入密码,这增加了密码被键盘记录器或其他恶意软件截获的风险,而免密登录系统通过使用公钥加密技术,可以避免密码在网络传输中被截获,从而提供更高的安全性。在自动化任务或脚本中,免密登录可以确保在没有人工干预的情况下,系统能够顺利地访问其他服务器或资源。这对于需要跨多个系统执行任务的场景,如大数据处理、云计算等,是非常有益的,简化了自动化流程。
下面以远程连接工具MobaXterm为例,进行ssh免密登录的基础配置:
普通用户的免密登录配置:
1.打开远程连接工具MobaXterm,点开Tools,双击SSH key generator。
2.首先点击Generate,生成密钥对,然后将上面公钥(蓝色部分)复制下来。
| 密钥对 | 包括 | 关系 |
|---|---|---|
| 公钥和私钥 | 公钥是公开的,可以分享给任何人,用于加密信息或验证数字签名。私钥则是私密的,必须妥善保管,只有私钥的持有者才能解密用公钥加密的信息或创建有效的数字签名,总之,密钥对在加密通信和身份验证中发挥着至关重要的作用,提供了更高的安全性和灵活性。在使用时,应确保私钥的安全存储,避免泄露给未经授权的人员。 |
3.在个人电脑的硬盘中创建一个文件夹给其命名(任意)为ProLinux,进去文件中,新建一个文本文档。
4.按F2键重命名(任意)为gy.pub,会弹出下面图片的这个警告,点击确定就好。点击文档,然后点击鼠标右键,以记事本的形式编辑文档,将第2步复制的公钥内容粘贴进去并保存。
5.返回到这个界面,点击Sava private key保存私钥。
6.文件名输入(任意)sy,下一步点击保存就会自动产生一个名为sy.ppk的文本文档,会弹出一个警告,点击是。此刻打开ProLinux文件夹可以看到多了个名字为sy.ppk的文档。
7.点击文档gy.pub,复制并粘贴,出现一个副本文档。然后按F2重命名(不能任意)为authorized_keys,弹出警告点击是。
8.返回到MobaXterm界面,点击新建目录,建立.ssh文件
9.在右边找.ssh文件,点击进去里面一开始是空的,点击红色方框里的箭头上传文本文档,将authorized_keys文本文档上传
10.首先先对10.0.0.188进行编辑,进入远程连接的设置,勾选使用私钥,将ProLinux里面的sy.pkk路径保存下来。
普通用户免密登录配置完成!将MobaXterm重新启动,输入自己的用户名看是否免密成功。
免密失败的几种原因:
密钥文件权限不正确,SSH服务配置错误,密钥不匹配,客户端和服务器之间的网络连接问题,SSH版本不兼容,服务器上的用户账户问题。一般出错的原为前面三个。
权限问题:
- 使用chmod命令修改相应的文件权限,将.ssh权限修改为700,将.ssh文件的文本文档权限修改为600
- 如若不行将.ssh权限修改为755,将.ssh文件的文本文档权限修改为644。
SSH服务配置错误:检查SSH服务的配置文件(如/etc/ssh/sshd_config),确保相关设置正确,并重新启动SSH服务。
密钥不匹配:你提供的私钥与服务器上的公钥不匹配。确保你使用的是正确的密钥对,并且公钥已经正确添加到服务器的~/.ssh/authorized_keys文件中。
服务器的SSH配置可能存在问题,例如sshd_config文件中的某些设置不允许使用密钥认证。
客户端和服务器之间的网络连接问题:
- 网络连接不稳定、防火墙配置错误或端口未正确打开都可能导致免密登录失败。
- 解决方法:检查网络连接,确保客户端和服务器之间的通信畅通无阻。
root用户的免密登录配置:
解决root不能使用密码登录的问题:
可能有些人root不能使用密码远程连接,会出现以下提示:
(1)使用sudo vim /etc/ssh/sshd_config命令修改配置.
在配置文件中找到PermitRootLogin这一行。这个选项决定了是否允许root用户通过SSH登录。将其值设置为yes以允许root用户远程密码登录,命令前面的#要去除。
PermitRootLogin | 参数 | 含义 |
| yes | 允许root用户通过SSH登录 | |
| no | 禁止root用户通过SSH登录 | |
| prohibit-password或without-password | 只允许使用公钥进行身份验证的root用户通过SSH登录 |
(2)为了使配置生效用命令systemctl restart sshd重启sshd.
接下来进行root用户免密登录的配置:
1.在root用户家目录(输入cd 命令再点Enter)下创建.ssh文件。
2.进入到.ssh目录中,创建文件authorized_keys,进入文件将gy.pub里面的公钥复制进文件中。
root用户免密登录配置完成!重启MobaXterm。输入root,免密登录成功!
root远程连接只能密码登录,不能免密登录的配置
因为root用户是管理员使用的,为了系统的安全,一般不建议直接使用远程连接root用户登录,远程连接时,允许root用户登录存在安全风险,因为任何成功获取root登录凭证的攻击者都将拥有对系统的完全控制权。因此,最佳实践是限制或禁止root用户的远程登录,而使用具有sudo权限的非root用户进行远程连接,并在需要时提升权限。
(1)使用sudo vim /etc/ssh/sshd_config命令修改配置,将以下内容新增在后面。
# 禁用 root 用户的公钥认证
Match User root
PasswordAuthentication yes
PubkeyAuthentication no
AuthorizedKeysFile no
为了使配置生效用命令systemctl restart sshd重启sshd.
这样就root用户只能使用密码认证登录啦!
Linux远程连接ssh免密登录配置完成啦!希望对大家有所帮助!希望各位看官给一个免费的小红心吧!
240
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
