SSH config file and key file analysis

使用SSH方式登录

登录一台 Linux服务器可以有多种方式,SSH方式是最常用的,它由客户端和服务端共同组
成,主配置文件为/etc/ssh/ sshd_config。
基于安全的考虑,一般来说服务器(特别是生产环境)是不允许通过超级用户root直接进行远程登录的。如果需要禁止超级用户直接进行远程登录,可以将SSH服务的主配置文件中的参数“PermitRootLogin”开启并设置其值为“no”(若值为“without- password”,则表示root用户不能使用密码登录,但可以使用密钥对登录)并重启服务;如果需要禁止使用密码登录,则需要将主配置文件中的参数“ PasswordAuthentication”的值修为“no”并重启服务。

除了上述最常用的两个设置,如修改SSH服务端口、长连接保活等,也同样可以通过修改主配置文件完成。

更多的时候,SSH服务禁止密码登录的设置会配合密钥对使用,关于如何配置密钥对,将在后面进行说明。若禁止了超级用户root登录,请确保有其他用户能登录到服务器中且拥有一定的权限。

密码与密钥对

Linux系统中的用户登录时,一般会使用密码或密钥对的方式来进行验证。密码认证即直接通过创建用户时设置的密码(进入系统后可随意修改)进行登录验证,属于传统的安全策略,同时所使用的密码也必须符合一定的复杂度;密钥对认证则是通过公私钥配对来进行登录验证,公钥会上传到服务器,私钥则由个人保存。密钥对认证的方式实现了多种加密算法,使用不同的配置可以生成不同加密方式及强度的密钥对。相对传统的密码认证方式,密钥对认证方式的安全性较高。在生产环境中建议使用密钥对认证的方式进行登录,同时禁用密码登录。

(1)生成密钥对(“-b”参数的值不同,生成的密钥对长度也不同),密钥对生成后,可以在~/.ssh目录下查看。
(2)将公钥上传到指定的服务器(过程中需要输入登录密码),私钥请妥善保存。

如果使用密码认证,则可以通过设置密码的有效期等相关策略来提升安全性,实现方式有多种。
●修改文件/etc/login.defs中的“ PASS_MAX _DAYS”,可以对之后创建的所有新用户应用
统一密码过期时间。
●使用命令“ passwd-x 30 <user>”,则可以对已经存在的用户修改密码过期时间,其中30为有效期天数。