Secure Shell (SSH) 是一种加密网络协议,专为客户端和服务器之间的安全连接而设计。
两种最流行的 SSH 身份验证机制是基于密码的身份验证和基于公钥的身份验证。使用 SSH 密钥通常比传统的密码身份验证更安全、更方便。
本教程介绍如何在 CentOS 7 系统上生成 SSH 密钥。我们还将向您展示如何设置基于 SSH 密钥的身份验证并在不输入密码的情况下连接到远程 Linux 服务器。
在 CentOS 上创建 SSH 密钥#
在生成新的 SSH 密钥对之前,最好检查 CentOS 客户端计算机上现有的 SSH 密钥。
为此,请运行以下命令ls 命令 列出所有公钥(如果有):
ls -l ~/.ssh/id_*.pub
如果命令的输出返回类似No such file or directory
or no matches found
这意味着您的客户端计算机上没有 SSH 密钥,您可以继续下一步并生成 SSH 密钥对。
如果存在现有密钥,您可以使用这些密钥并跳过下一步,也可以备份旧密钥并生成新密钥。
首先生成一个新的 4096 位 SSH 密钥对,并将您的电子邮件地址作为注释:
ssh-keygen -t rsa -b 4096 -C "your_email@domain.com"
系统将提示您指定文件名:
Enter file in which to save the key (/home/yourusername/.ssh/id_rsa):
Press Enter
接受默认文件位置和文件名。
接下来,系统会要求您输入安全密码。是否要使用密码取决于您。如果您选择使用密码,您将获得额外的安全保护。
Enter passphrase (empty for no passphrase):
如果您不想使用密码,只需按Enter
.
整个交互过程是这样的:
要验证新的 SSH 密钥对是否已生成,请键入:
ls ~/.ssh/id_*
/home/yourusername/.ssh/id_rsa /home/yourusername/.ssh/id_rsa.pub
将公钥复制到 CentOS 服务器#
现在 SSH 密钥对已生成,下一步是将公钥复制到您要管理的服务器。
将公钥复制到远程服务器的最简单且推荐的方法是使用名为的实用程序ssh-copy-id
。在本地机器终端上输入:
ssh-copy-id remote_username@server_ip_address
系统将提示您输入remote_username
密码:
remote_username@server_ip_address's password:
输入密码,一旦用户通过身份验证,公钥~/.ssh/id_rsa.pub
将附加到远程用户~/.ssh/authorized_keys
文件。连接将被关闭。
Number of key(s) added: 1
Now try logging into the machine, with: "ssh 'username@server_ip_address'"
and check to make sure that only the key(s) you wanted were added.
If the ssh-copy-id
您的本地计算机上没有实用程序,请使用以下命令复制公钥:
cat ~/.ssh/id_rsa.pub | ssh remote_username@server_ip_address "mkdir -p ~/.ssh && chmod 700 ~/.ssh && cat >> ~/.ssh/authorized_keys && chmod 600 ~/.ssh/authorized_keys"
使用 SSH 密钥登录到您的服务器#
完成上述步骤后,您应该能够登录远程服务器,而不会提示输入密码。
要验证它,请尝试通过以下方式登录到您的服务器SSH
:
ssh remote_username@server_ip_address
如果您尚未设置私钥密码,您将立即登录。否则,系统会要求您输入密码。
禁用 SSH 密码验证#
要为远程服务器添加额外的安全层,您可以禁用 SSH 密码身份验证。
在继续之前,请确保您可以在没有密码的情况下以用户身份登录到服务器须藤权限
.
请按照以下步骤禁用 SSH 密码验证:
登录到您的远程服务器:
ssh sudo_user@server_ip_address
打开SSH配置文件/etc/ssh/sshd_config
和你的文本编辑器
:
sudo nano /etc/ssh/sshd_config
搜索以下指令并修改如下:
/etc/ssh/sshd_config
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
完成后,保存文件并通过键入以下内容重新启动 SSH 服务:
sudo systemctl restart ssh
此时,基于密码的身份验证已禁用。
结论#
在本教程中,您学习了如何生成新的 SSH 密钥对并设置基于 SSH 密钥的身份验证。您可以将相同的密钥添加到多个远程服务器。
我们还向您展示了如何禁用 SSH 密码身份验证并为您的服务器添加额外的安全层。
默认情况下,SSH 侦听端口 22。更改默认 SSH 端口 降低自动攻击的风险。
如果您经常连接到多个系统,则可以通过在中定义所有连接来简化工作流程SSH 配置文件
.
如果您有任何问题或反馈,请随时发表评论。