前言
使用sshd免密认证。
简介
俗话说:"公钥加密,私钥解密!"说的就是sshd免密认证,举个例子,公钥就是锁,私钥就是钥匙,免密认证的原理就是使用钥匙去开锁。
sshd免密认证
1.生成公钥私钥文件
ssh-keygen回车即可。
注:
生成的文件在/root/.ssh/下,其中id_rsa是私钥,id_rsa.pub是公钥,known_hosts是连接ssh的记录信息。
2.将公钥传输至目标服务器
即将锁发送到目标服务器,ssh-copy-id -i 目标服务器ip地址
3.使用ssh 目标服务器ip地址即可实现免密登陆。
登陆到目标服务器,查看/root/.ssh,看到发送过来的公钥id_rsa.pub被重命名为authorized_keys。
ssh安全调优
其sshd的配置文件路径/etc/ssh/sshd_config
一、可优化的参数:
1.LoginGraceTime 2m
系统给与多少秒来进行登录
2.PermitRootLogin yes
是否允许 root 登入,默认是允许的,但是建议设定成 no,真实的生产环境服务器,是不允许 root
账号直接登陆的,仅允许普通用户登录,需要用到 root 用户再切换到 root 用户。
3.PasswordAuthentication yes
密码验证当然是需要的!所以这里写 yes(即允许密码和密钥验证),也可以设置为 no(no 只允许
密钥验证不允许密码验证),在真实的生产服务器上,根据不同安全级别要求,有的是设置不需要密码登陆
的,通过认证的秘钥来登陆。
4.PermitEmptyPasswords no
是否允许空密码的用户登录,默认为 no,不允许空密码登录。
5.PrintLastLog yes
显示上次登入的信息!默认为 yes 。
6.给 sshd 服务添加一些警告信息。其配置文件是/etc/motd
7.UseDNS yes
一般来说,为了要判断客户端来源是正常合法的,因此会使用 DNS 去反查客户端的主机名,但通常
在内网互连时,一般设置为 no,因此使联机速度会快些。
二、 安全调优办法:
1.密码足够的复杂:密码的长度要大于 8 位不大于 20 位。密码的复杂度是密码要尽可能有数字、大小
写字母和特殊符号混合组成。
2.修改默认端口号。
3.禁止 root 登录:不允许 root 账号直接登陆到系统,添加普通账号,使用普通账号登录系统,授予 root
的权限,必要时再从普通用户切换到 root 用户。
4.不允许密码登陆,只能通过认证的密钥来登陆系统。
su和su -的区别
示例:
su root只是拥有了root的权限,家目录,登陆用户,shell,环境变量都未改变。
su - root不只是拥有了root的权限,家目录,登陆用户,shell,环境变量都改为root。
总结
ssh免密认证很实用的功能,只要把我们的公钥(锁)发送到任意目标服务器中即可实现免密登陆(即使用钥匙开锁)。
1938
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
