为了提高Linux服务器的安全性,可以使用证书登录代替传统的用户名和密码登录方式。证书登录的优点是可以避免密码泄漏,提高服务器的安全性。本文将介绍如何在Linux服务器上配置证书登录。
一、生成证书和私钥
在客户端电脑上使用ssh-keygen命令生成证书和私钥。在终端中输入以下命令:
$ ssh-keygen -t rsa -b 2048
复制
其中-t rsa表示使用RSA算法生成证书,-b 2048表示生成2048位长度的证书。生成证书时,需要输入文件名和密码等信息,可以直接按回车键使用默认值。
执行完以上命令后,会在~/.ssh目录下生成id_rsa和id_rsa.pub两个文件,其中id_rsa为私钥文件,id_rsa.pub为证书文件。将证书文件复制到服务器上。
二、配置服务器
在服务器上需要进行如下操作:
创建.ssh目录
在用户的主目录下创建.ssh目录,并设置其权限为700。
$ mkdir ~/.ssh
$ chmod 700 ~/.ssh
复制
添加证书
将客户端生成的证书文件id_rsa.pub的内容添加到服务器的authorized_keys文件中。
$ cat id_rsa.pub >> ~/.ssh/authorized_keys
复制
修改文件权限
设置authorized_keys文件的权限为600。
$ chmod 600 ~/.ssh/authorized_keys
复制
修改sshd配置
修改sshd_config文件,启用证书登录。
$ sudo vi /etc/ssh/sshd_config
复制
找到以下两行配置:
#RSAAuthentication yes
#PubkeyAuthentication yes
复制
将注释去掉,并将yes改为no,即修改为:
RSAAuthentication no
PubkeyAuthentication yes
复制
然后找到以下行配置:
#AuthorizedKeysFile .ssh/authorized_keys
复制
将注释去掉,并确保该行配置与以下相同:
AuthorizedKeysFile .ssh/authorized_keys
复制
保存并退出文件。
重启sshd服务
执行以下命令重启sshd服务。
$ sudo systemctl restart sshd
复制
三、使用证书登录
在客户端电脑上执行以下命令使用证书登录到服务器。
$ ssh -i ~/.ssh/id_rsa username@server_ip
复制
其中,-i选项指定使用的证书文件,username为服务器上的用户名,server_ip为服务器的IP地址或域名。
如果证书和私钥的文件名不是默认的id_rsa和id_rsa.pub,需要使用-i选项指定证书和私钥文件的路径。
$ ssh -i /path/to/private_key username@server_ip