Secure shell(SSH)是一种加密网络协议,旨在用于客户端和服务器之间的安全连接。
两种最流行的SSH身份验证机制是基于密码的身份验证和基于公钥的身份验证。 与传统的密码身份验证相比,使用SSH密钥通常更安全,更方便。
本文介绍了如何在CentOS 8系统上生成SSH密钥。 我们还将向您展示如何设置基于SSH密钥的身份验证以及如何在不输入密码的情况下连接到远程Linux服务器。
在CentOS上创建SSH密钥
您的CentOS客户端计算机上也许已经有一个SSH密钥对。 如果您要生成新的密钥对,则旧的密钥对将被覆盖。
运行以下 ls
命令检查密钥文件是否存在:
ls -l ~/.ssh/id_*.pub
如果命令的输出返回类似No such file or directory
或no matches found
的信息,则表示用户没有SSH密钥,您可以继续下一步并生成SSH密钥对。
否则,如果您拥有SSH密钥对,则可以使用这些密钥或备份旧密钥并生成新密钥。
要使用您的电子邮件地址作为注释来生成新的4096位SSH密钥对,请运行:
ssh-keygen -t rsa -b 4096 -C "your_email@domain.com"
系统将提示您指定文件名:
Enter file in which to save the key (/home/yourusername/.ssh/id_rsa):
按Enter
接受默认文件位置和文件名。
接下来,系统会要求您输入安全密码。 是否要使用密码,由您自己决定。 密码短语将增加额外的安全性。 如果您不想使用密码短语,请按Enter
。
Enter passphrase (empty for no passphrase):
整个互动看起来像这样:
要验证是否生成了新的SSH密钥对,请输入:
ls ~/.ssh/id_*
/home/yourusername/.ssh/id_rsa /home/yourusername/.ssh/id_rsa.pub
您已在CentOS客户端计算机上成功生成SSH密钥对。
将公钥复制到服务器
现在你已生成SSH密钥对,下一步是将公钥复制到要管理的服务器。
将公钥复制到远程服务器的最简单和建议的方法是使用ssh-copy-id
命令。 在本地计算机终端上,输入:
ssh-copy-id remote_username@server_ip_address
该命令将要求您输入远程服务器的用户名 remote_username
和密码:
remote_username@server_ip_address's password:
用户通过身份验证后,公钥文件(~/.ssh/id_rsa.pub
)的内容将附加到远程用户~/.ssh/authorized_keys
文件中,并且连接将关闭。
Number of key(s) added: 1
Now try logging into the machine, with: "ssh 'username@server_ip_address'"
and check to make sure that only the key(s) you wanted were added.
如果本地计算机上没有ssh-copy-id
,请使用以下命令复制公钥:
cat ~/.ssh/id_rsa.pub | ssh remote_username@server_ip_address "mkdir -p ~/.ssh && chmod 700 ~/.ssh && cat >> ~/.ssh/authorized_keys && chmod 600 ~/.ssh/authorized_keys"
使用SSH密钥登录到服务器
完成上述步骤后,您应该能够登录到远程服务器而无需提示输入密码。
要进行验证,请尝试通过 SSH 登录到服务器
ssh remote_username@server_ip_address
如果您尚未设置私钥的密码短语,则会立即登录。 否则,将要求您输入密码。
禁用SSH密码身份验证
要为远程服务器添加额外的安全层,您可以禁用SSH密码身份验证。
继续之前,请确保您可以使用 sudo权限来以没有密码的身份登录服务器。
按照以下步骤禁用SSH密码身份验证:
登录到远程服务器:
ssh sudo_user@server_ip_address
用文本打开SSH配置文件/etc/ssh/sshd_config
编辑器:
sudo nano /etc/ssh/sshd_config
搜索以下指令并进行如下修改: / etc / ssh / sshd_config
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
完成操作后,保存文件并通过键入以下内容重新启动SSH服务:
sudo systemctl restart ssh
此时,基于密码的身份验证已禁用。
结论
我们向您展示了如何生成新的SSH密钥对以及如何设置基于SSH密钥的身份验证。 您可以使用同一密钥来管理多个远程服务器。 您还了解了如何禁用SSH密码身份验证以及如何为服务器添加额外的安全性。
默认情况下,SSH侦听端口22。更改默认SSH端口可降低自动攻击的风险。 为了简化您的工作流程,请使用 SSH配置文件定义您的所有SSH连接。
如果您有任何问题或反馈,请随时发表评论。