Centos5.5架设SSH服务器

【实现目的】： Windows客户端Putty远程SSh的方式ROOT+密钥验证登录Centos 5.5服务器。

在Windows管理Linux服务器时，常使用putty登陆ssh进行远程管理。默认登陆验证方式为密码认证，该方式虽然简单，但每次登陆都要输入一长串的密码，相当麻烦。而且，假如万一把root允许登陆打开，更有可能被强力破解，导致严重的后果。 下一篇文章有别人***的日志记录；

   所以，通常建议用密钥登陆验证代替密码方式，即简单，又可靠。

Protocol 2 (仅使用SSH2)

PermitRootLogin yes (允许root用户使用SSH登陆)

ServerKeyBits 1024 (将serverkey的强度改为1024)

PasswordAuthentication no (不允许使用密码方式登陆)

PermitEmptyPasswords no   (禁止空密码进行登陆)

说明：上面的设置是sshd_config里面的几个关键配置，合成的意思是允许Root登录，但是不能用密码登录，用密钥认证的方式登录，登录的时候需要imported-openssh-key的密码，不需要输入root本身的密码

1 、Linux 下生成密钥

运行：

# ssh-keygen -t rsa

Generating public/private rsa key pair.

Enter file in which to save the key (/root/.ssh/id_rsa):  

2 、把公钥信息写入authorized_keys 文档中

运行：

# cd ~/.ssh

# cat id_rsa.pub >> authorized_keys

#chmod 400 authorized_keys(将authorized_keys文件的权限设置为400)

3 、生成putty 的私钥

由于SSH的标准中，并没有固定密钥文档的格式。而Putty使用的私钥格式和OpenSSH生成的有点不同，需要转换一下。

a）把id_rsa传到Windows机器上

b）使用puttygen的“Load”读取id_rsa文档

 

c）点击“Save private key”保留私钥。

d）putty使用该新的私钥登陆服务器即可。

[root@NTP .ssh]# rm -rf id_*    ( 为安全起见, 删除Root 的密钥对)

引用

OpenSSH的配置通常保存在：/etc/ssh/sshd_config

PermitRootLogin yes  #允许root用户登陆

StrictModes yes  # 检查密钥的用户和权限是否正确，默认打开的

RSAAuthentication yes        # 启用 RSA 认证

AuthorizedKeysFile     .ssh/authorized_keys   # 验证公钥的存放路径

PubkeyAuthentication yes     # 启用公钥认证

PasswordAuthentication no    # 禁止密码认证，默认是打开的。

说明：

假如StrictModes为yes，而authorized_keys的权限为664等的情况，则验证密钥的时候，会报错：

引用

bad ownership or modes for file /home/linuxing/.ssh/authorized_keys

b）若PasswordAuthentication配置为no，则禁用密码认证，配合启动公钥认证，是更安全的方式。

2 、公钥存放的路径

Putty作为客户端是无需使用公钥的，而Linux服务端的公钥是存放在：~/.ssh/authorized_keys中。

也就是讲，假如登陆用户的主目录不同，存放的路径是不相同的。

例如某用户：

$ echo ~

/home/linuxing

则密钥在：/home/linuxing/.ssh/authorized_keys

若您想使用同一私钥，但不同用户登陆服务器，则请确保公钥信息已写入每个用户的验证文档中咯。并且一定要注意验证文档的用户和权限不能搞错哦。

3 、Key passphrase 密码

假如您在保存私钥的时候，输入了Key passphrase密码。其就会使用该信息对私钥加密。这会带来一个好处：就是万一您的私钥给盗走了，但假如小偷不知道该密码，他也无法使用该私钥登陆服务器的。简单来说，就是加强了安全性。在putty使用这种私钥登陆服务器的时候，就会有提示：

 

如果没有密钥验证就会弹出如下的错误：

 

综上：实现了，允许ROOT账户登录，但是需要密钥+密钥密码一起验证的效果。

我修改了默认的端口22为179，同时需要在iptables里面修改。效果图如下：

 

附件里面的，<<Centos 5.5 新建SSH服务器.docx >> 压缩成RAR格式。

转载于:https://blog.51cto.com/287049522/430674