本文标签:

现在有很多坏人,控制了不少肉鸡(肉鸡就是被黑客植入病毒的电脑/服务器,可以接受黑客的指令做任何事情),然后到处扫服务器密码,不断传播到新的服务器上,所以linux用户一般有这样的烦恼,那就是每天都有很多IP来猜密码(暴力破解),比如我在用的Centos系统,密码默认设置太长都没用,虽然可以改成可以支持更长密码的方式,但是始终没有密钥证书来的安全。而且设置只使用密钥登录,可以完全杜绝暴力破解(因为SSH服务器不再接受密码方式登录)。

说这么多只不过是强调一下密钥登录SSH的好处,网上也有不少教程,但是方法复杂,记录一下自己的过程,很简单很靠谱!

我用的是Bitvise SSH Client做客户端登录,因为不喜欢用vi,所以修改配置文件是在本地进行的,改好了上传给服务器。你也可以直接用vi修改,过程如下。

##先用密码登录服务器,新建/root/.ssh文件夹
[root@x2009_net .ssh]# mkdir /root/.ssh
##在服务器通过ssh-keygen -t rsa生成私钥和公钥,会有3个提示让你输入信息,不输入,直接按3次回车生成
[root@x2009_net .ssh]# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): ##直接回车
Enter passphrase (empty for no passphrase): ##先不输入密码
Enter same passphrase again: ##不输入密码
## 查看生成的文件
[root@x2009_net .ssh]# cd /root/.ssh
[root@x2009_net .ssh]# ls
id_rsa id_rsa.pub
## 把公钥的文件名修改成authorized_keys
[root@x2009_net .ssh]# mv id_rsa.pub authorized_keys
## 然后给密钥设置好权限,别让低权限账号偷了去(如果低权限的账号或程序被入侵,被偷走就麻烦了)
[root@x2009_net .ssh]# chmod 600 authorized_keys
[root@x2009_net .ssh]# chmod 600 id_rsa
## 然后修改SSH登录设置文件,禁止密码方式登录SSH,只允许使用密钥登录(确保以下4项都正确,文件其他部分不要修改,如果不会用vi,也可以下载到本机修改好再上传回去)
[root@x2009_net .ssh]# vi /etc/ssh/sshd_config
Protocol 2
PasswordAuthentication no
PubkeyAuthentication yes ##使用key登录
AuthorizedKeysFile .ssh/authorized_keys ##key的名字
## 接下来最重要的一步,下载id_rsa文件到自己电脑,SSH客户端登录的时候需要它才可以登录
## 嘿嘿,这一步我是用Bitvise SSH Client的New SFTP Window功能直接浏览文件下载的,看了下命令行传文件的方法,一时搞不定,建议大家也学我这样用吧,很方便
## 最后一步就是重启SSH服务了,记住在执行这一步之前,一定要下载到密钥文件,否则这个SSH断开后,你就再也连不上去了(不断开之前可以一直操作,包括重启SSH服务之后也不会断开)
[root@x2009_net .ssh]# /sbin/service sshd restart

做完以上操作之后,就要设置SSH客户端了,因为登录都靠它啊!我的是Bitvise SSH Client,登录方式直接选择NONE即可,用户名还是root,点击user keypair manager,点击import导入刚才下载到本机来的id_rsa文件,导入后看下这个密钥的solt(如果只有一个,默认就是1),登录的时候要选择的。然后回到登录界面在Initial method选择publickey - slot 1,点login登录就OK了!

用putty的朋友应该也是差不多操作过程的,导入密钥,登录的选择这种方式就好了,以后用putty再补充……

 » 订阅本站:http://feed.x2009.net