配置 ssh 远程登陆 "非对称加密"

服务端

1. 新建用于远程登陆的用户 "zq"(因为之后会禁用root登陆,记得给"zq"所有命令的sudo权限!!!)
root@server:~# useradd -m -c "zq" -s /bin/bash zq

2. 设置用户 zq 的密码
root@server:~# passwd zq
2.1 输入新密码
Old Password: s123456
New Password: s123456

客户端

3. 生成ssh公钥认证所需的公钥和私钥文件(如果有就可以不用生成,在~/.ssh/ 下查看有没有, id_rsa是私钥、id_rsa.pub是公钥)
DylandeMacBook-Pro:~ dylan$ ssh-keygen

3.1 输入生成的密钥路径与名称(默认为/Users/dylan/.ssh/id_rsa,可以不用修改)
Enter file in which to save the key (/Users/dylan/.ssh/id_rsa): /Users/dylan/.ssh/zq_mac_rsa

3.2 给密钥加密,输入密码(可以为空,不设密码)
Enter passphrase (empty for no passphrase): c123456
Enter same passphrase again: c123456

4. 将私钥添加到本地ssh-agent的高速缓存中
(否则,使用ssh连接远程服务器也会提示“Permission denied (publickey) ”)

DylandeMacBook-Pro:~ dylan$ ssh-add ~/.ssh/zq_mac_rsa

5. 将公钥文件安装到远程主机对应的账户下的.ssh/authorized_keys文件中
DylandeMacBook-Pro:~ dylan$ ssh-copy-id -i .ssh/zq_mac_rsa.pub zq@server
zq@server's password: 输入zq用户的密码

服务端

6. 检查客户端用户的公钥是否安装成功(成功 ssh-rsa AAAAB3NzaC1yc2...... dylan@DylandeMacBook-Pro.local)
root@server:~# cat /home/zq/.ssh/authorized_keys

7. 编缉/etc/sudoers文件,准备给予zq用户sudo权限(因为后面会禁用root用户ssh登陆,为了方便zq用户管理系统)
root@server:~# visudo

添加这行内容后保存退出

  • control+o 保存,enter 确认
  • control+x 退出

8. 缉配置文件,准备禁用密码登陆,否则任何用户登陆还是需要密码
root@server:~# vi /etc/ssh/sshd_config

禁用密码登陆、禁止root用户通过ssh登陆

  • PasswordAuthentication no #将yes改为no,即禁用密码登陆
  • PermitRootLogin no #将yes改为no(如果 # 开头,则去掉 # ), 即禁止root用户通过ssh登陆
  • 注意:StrictModes如果设置为yes ,则会对.ssh .ssh/* 等文件做文件模式和权限验证,此时.ssh .ssh/权限一定要符合man中要求的权限一致,不能低于和超出,否则即使配置完成也无法利用密钥登陆!(权限的出入可能会导致其他用户更改了你的.ssh .ssh/ 信息,造成你无法登陆,在生产环境也许会造成严重后果!)

9. 重启sshd服务
root@server:~# sudo systemctl restart sshd.service或者sudo service ssh restart

客户端测试结果

DylandeMacBook-Pro:~ dylan$ ssh root@server #(失败,“root@server: Permission denied (publickey).” ,因为禁止 root 用户 ssh 登陆,也禁用密码登陆)

DylandeMacBook-Pro:~ dylan$ ssh zq@server #(无需密码,登陆成功)
zq@server:~$ sudo ls #(输入 zq 密码,ls执行完成代表成功sudo)


某一天,你的同事也要登陆服务器,如何在服务器上新增一个用户,并且仅许允SSH访问?

1、使用"zq"用户登陆服务器,创建新用户"ts"
2、visudo编缉/etc/sudoers文件,给"ts"所有命令sudo权限
3、在你同事的电脑上:使用"ssh-keygen"生成密钥,让同事把公钥发给你,将公钥文件打开,复制其中内容,然后在服务器上执行如下命令,切换到新用户环境,并将新用户的公钥内容写入authorized_keys文件
su - ts
echo '新用户公钥内容' >> /home/ts/.ssh/authorized_keys
4、以上操作完成之后新用户还是无法登陆服务器的话,建议重启ssh服务,若问题依旧那么检查注意项。

  • 注意1:若sshd_config中StrictModes如果设置为yes,.ssh 文件700权限,.ssh/* 文件必须是600权限,否则配置完成后依然无法登陆!
  • 注意2:OpenSSL版本差异生成的密钥也有可以造成配置完成后依然无法登陆,建议客户端与服务端使用相同的OpenSSL版本,并且版本>=1.1.1。
    https://www.openssl.org/policies/releasestrat.html

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,732评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 87,496评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,264评论 0 338
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,807评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,806评论 5 368
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,675评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,029评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,683评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 41,704评论 1 299
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,666评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,773评论 1 332
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,413评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,016评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,978评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,204评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,083评论 2 350
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,503评论 2 343