为了保证生产服务器的安全,我们会做一些安全的登录验证措施!不允许使用root账号直接登录服务器!下面是通过secureCRT 设置RSA登录配置。
1、RSA公钥配置方法
(1)打开secureCRT选择一个连接然后点属性再如图所示
(2)一直点下去 点击下一步
要选RSA,然后下一步
输入密码(公钥密码可以简单一些),继续下一步
[root@localhost /]# useradd test
[root@localhost /]#passwd test
@注:如果不为test用户设置密码,后果就是系统默认test用户是锁死的!所以就不会成功了
(2)在用户目录(/home/test)下建立.ssh目录
[root@localhost /]# mkdir /home/test/.ssh
3)将secureCrt生成的公钥(fileName.pub)上传到/home/test/.ssh目录下
文件是相同名字的两个都要上传
.ssh是隐藏的,ls下看不到,cd .ssh可以进去
(4)修改用户目录属性
[root@localhost /]# chown –R test:test /home/test
[root@localhost /]# chmod –R 755 /home/test
chown –R test:test /home/test
这一句话的意思是说把/home/test这个目录权限给test这个用户组的test用户
(5)将/etc/ssh/sshd_config备份到/etc/ssh/sshd_config.bak
[root@localhost /]#cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
(6)修改/etc/ssh/sshd_config,修改参数如下
a) RSAAuthentication yes
b) AuthorizedKeysFile.ssh/fileName.pub
c) PermitRootLogin no(不允许Root直接远程登入)
d) PasswordAuthentication no(不允许密码验证方式登入)
e) UsePAM no(所有用户都不能用密码方式登入,如果此选择为yes,则非Root用户可以用密码验证的方式登入)
(7)在/home下写名为ssh.sh的脚本,写此脚本的目的是为了防止更新配置后无法连接服务器。内容如下(注:此自动执行脚本要在所有配置完成后再放到自动执行内,时间可能适当延长)
#!/bin/sh
cd /etc/ssh/
cat sshd_config.bak > sshd_config
/etc/init.d/sshd restart
写完后将此脚本权限改成可执行权限。
[root@localhost /]# chmod +x /home/ssh.sh
ps -efww|grep /usr/sbin/sshd |grep -v grep|cut -c 9-15|xargs kill -9
(8)在crontab里写入一条五分钟后自动执行的语句(*/5* * * * /home/ssh.sh)
(9)重新启动sshd
[root@localhost /]# /etc/init.d/sshd restart
服务器端配置完成。