Centos7下-使用密钥认证方式登入服务器

背景:

ssh服务支持之中安全认证机制,就是密钥登录,这种方式是比较安全的登入方式。
因为一般的密码方式登录容易被密码暴力破解,使用密钥方式登入主机也是首推一种登入方式,比使用密码的方式登录更佳!

对于密钥认证的说明,大家可以上网去了解,这里我只是记录一下具体操作步骤。

另外:因使用后续学习使用Ansible来实现自动化运维的时候需要再主控机登录到其他控制端主机上,需要实现免密登录主机的方式,所以再这里学习一下如何上传对应的私钥和公钥。

主要步骤说明:

1:使用系统自带或工具利用密钥生成器制作一对密钥——一只公钥(id_rsa.pub)和一只私钥(id_rsa)
2:把公钥添加到服务器 /root/.ssh/authorized_keys
3:客户端(服务器、或SecureCRT 或 putty 或 xShell)利用私钥即可完成认证并登录

注意事项

PS:在还没有验证使用私钥可以登入系统之前,建议开启密码登入和密钥登入两种方式,等验证使用密钥登入成功后,再关闭对应的禁止root登入和使用密码登录系统的方式。
避免使用密钥无法登入,但是又关闭了密码登入的方式!这个时候怎么解决,如果出现这种情况,暂时我还不知道怎么处理?如有知道的朋友,不知道你是否可以告知一下滴呢?

具体的操作步骤:

前提:

首先准备好1台主机(虚拟主机)
192.168.74.128

图示:

第1步:(192.168.74.128)在root登入的情况下执行命令:

ssh-keygen -t rsa

[root@bogon ~]# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): (回车)

按提示说选择保存到哪个路径,直接按下回家即可

第2步:(192.168.74.128)直接三次回车,默认保存在当前路径下

[root@bogon ~]# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): (回车)
Enter passphrase (empty for no passphrase): (回车)
Enter same passphrase again: (回车)
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
c5:7e:44:73:4c:1a:db:67:a8:60:f6:de:bc:58:4a:2c root@bogon
The key's randomart image is:
+--[ RSA 2048]----+
|            +oo  |
|         . . B.. |
|          * + o o|
|         = + . o |
|        S . +    |
|           + o   |
|          E + +  |
|           o + . |
|            o .  |
+-----------------+

PS:

Enter file in which to save the key (/root/.ssh/id_rsa):
该命令提示的意思是:让我们定义私钥的存放路径,默认存在的路径是在/root/.ssh/id_rsa的下面

Enter passphrase (empty for no passphrase):
该命令提示的意思是:定义私钥的密码,一般为了免密默认的留空,直接的回车

Enter same passphrase again:
该命令提示的意思是:确认密码设置

经过上面三次回车后,最后在/root/.ssh/id_rsa下面生成了公钥和私钥

[root@bogon ~]# cd /root/.ssh/
[root@bogon .ssh]# ll
total 12
-rw-------. 1 root root 1675 Mar  2 11:02 id_rsa(私钥)
-rw-r--r--. 1 root root  392 Mar  2 11:02 id_rsa.pub (公钥)
-rw-r--r--. 1 root root  176 Feb 28 07:48 known_hosts
[root@bogon .ssh]# 

关于是否设置密钥的密码信息:一般也是建议你设置,如果不设置的话,后续别人拿到你的密钥,不输入密码的方式下就可以直接的使用密钥登入了!当然,也可以留空,实现无密码登录。

如果设置可密码的话,密钥锁码在使用私钥时必须输入,这样就可以保护私钥不被盗用。

第3步: 在(192.168.74.128)服务器上安装公钥

主要操作是:
复制公钥内容到/root/.ssh/authorized_keys

PS:因为我们是使用ssh-keygen -t rsa方式生成相关密匙信息,所以此时默认的会有对应的:/root/.ssh/这个目录存在,如果没有的话(即使用其他ssh工具生成密钥的时候)就需要收的创建此目录.。

另外:/root/.ssh/authorized_keys这个文件的名称是固定不变的哟,不要写错了!

[root@bogon ~]# mkdir -p /root/.ssh 创建目录
[root@bogon ~]# chmod 700 /root/.ssh 更改目录权限
[root@bogon ~]# cat /root/.ssh/id_rsa.pub 
XXXXXXX内容信息的信息
[root@bogon ~]# nano /root/.ssh/authorized_keys ( 编辑保存退出)

或者直接的:
 [root@bogon ~]# cat id_rsa.pub >> /root/.ssh/authorized_keys
 [root@bogon ~]$ chmod 600  /root/.ssh/authorized_keys
 [root@bogon ~]$ chmod 700  /root/.ssh

或者其他方式复制到对应的服务器下:
 [root@bogon ~]$.ssh-copy-id -i ~/.ssh/id_rsa.pub "-p 10022 user@server"
 [root@bogon ~]$.ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.15.241

再次查看生成的文件信息

[root@bogon .ssh]# ll
total 16
-rw-r--r--. 1 root root  392 Mar  2 11:37 authorized_keys
-rw-------. 1 root root 1675 Mar  2 11:02 id_rsa
-rw-r--r--. 1 root root  392 Mar  2 11:02 id_rsa.pub
-rw-r--r--. 1 root root  176 Feb 28 07:48 known_hosts
[root@bogon .ssh]# 

第4步:(192.168.74.128)把私钥提取出来保存到本地,方便后面使用此密钥进行登入

[root@bogon .ssh]# sz id_rsa
rz
 zmodem trl+C ȡ

  100%       1 KB    0 KB/s 00:00:21       0 Errors

[root@bogon .ssh]# 

关于lrzsz的一些知识点:

root 账号登陆后执行以下命令:
1:安装:yum install -y lrzsz
2:用说明
sz命令发送文件到本地:
# sz filename
rz命令本地上传文件到服务器:
# rz
执行该命令后,在弹出框中选择要上传的文件即可。

第5步:(192.168.74.128)关闭SELinux(线上是否一定要关闭呢?)

PS:因为咋们这里是虚拟机注意!!!!注意!!!!
注意!!!! 如果是线上生产服务器的话,要注意根据实际情况进行选择关闭哟!

因为咋们这里是虚拟机,而且SELinux是Centos系统自带一种安全机制。如果我们这里不关掉这个安全机制的话,可能会出错。

临时关闭:SELinux(下次重启后还是会开启)

[root@bogon .ssh]# setenforce 0
[root@bogon .ssh]# 

彻底关闭需要:

[root@bogon .ssh]# nano /etc/selinux/config 

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of three two values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected.
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

#把SELINUXTYPE 修改成为-disabled,然后保存,并且重启系统!

PS:经过网友的提示 这个地方可能有问题注意!!!!!注意!!!!!
应该是把:
SELINUX=disabled
不要 误将“SELINUXTYPE”看成“SELINUX”,设置了SELINUXTYPE参数:

正确姿势:

1:编辑
vi /etc/selinux/config#编辑防火墙配置文件
#SELINUX=enforcing#注释掉
#SELINUXTYPE=targeted#注释掉
SELINUX=disabled#增加
:wq!#保存退出,
2:让修改生效
[root@bogon .ssh]# setenforce 0
[root@bogon .ssh]# 

第6步:(192.168.74.128)修改SSH配置,打开密钥登录功能:

编辑修改 /etc/ssh/sshd_config 文件,进行如下设置:

RSAAuthentication yes # 开启密钥登入的认证方式

PubkeyAuthentication yes # 开启密钥登入的认证方式

PermitRootLogin yes #此处请留意 root 用户能否通过 SSH 登录,默认为yes:

PasswordAuthentication yes #当我们完成全部设置并以密钥方式登录成功后,可以禁用密码登录。这里我们先不禁用,先允许密码登陆


[root@bogon .ssh]# service sshd restart  #最后,重启 SSH 服务:

PS:关键修改参数一些说明:

    #禁用root账户登录,非必要,但为了安全性,请配置
    PermitRootLogin no

    # 是否让 sshd 去检查用户家目录或相关档案的权限数据,
    # 这是为了担心使用者将某些重要档案的权限设错,可能会导致一些问题所致。
    # 例如使用者的 ~.ssh/ 权限设错时,某些特殊情况下会不许用户登入
    StrictModes no

    # 是否允许用户自行使用成对的密钥系统进行登入行为,仅针对 version 2。
    # 至于自制的公钥数据就放置于用户家目录下的 .ssh/authorized_keys 内
    RSAAuthentication yes
    PubkeyAuthentication yes
    AuthorizedKeysFile      %h/.ssh/authorized_keys

    #有了证书登录了,就禁用密码登录吧,安全要紧
    PasswordAuthentication no

第7步:(192.168.74.128)然后使用SecureCRTPortable进行登入测试:

[root@bogon .ssh]# logout 

退出使用其他方式登入:

未经允许不得转载:图摄派 » Centos7下-使用密钥认证方式登入服务器

分享到: 更多 (0)
avatar

热门文章

  • 评论 抢沙发

    评论前必须登录!

    立即登录   注册

    登录

    忘记密码 ?

    切换登录

    注册

    我们将发送一封验证邮件至你的邮箱, 请正确填写以完成账号注册和激活