如何在Debian 9上设置SSH密钥

安全外壳（SSH）是用于客户端和服务器之间安全连接的加密网络协议，并支持各种身份验证机制。

两种最流行的机制是基于密码和基于公钥的身份验证。 与传统的密码验证相比，使用SSH密钥更安全，更方便。

在本教程中，我们将描述如何在Debian 9系统上生成SSH密钥。 我们还将向您展示如何设置基于SSH密钥的身份验证以及如何在不输入密码的情况下连接到远程Linux服务器。

在Debian上创建SSH密钥

在首先生成新的SSH密钥对之前，请检查Debian客户端计算机上是否存在现有的SSH密钥。 您可以通过运行以下ls命令来做到这一点：

ls -l ~/.ssh/id_*.pub

如果以上命令的输出包含类似以下内容 No such file or directory 要么 no matches found 这意味着您没有SSH密钥，可以继续下一步并生成新的SSH密钥对。

如果存在现有密钥，则可以使用这些密钥并跳过下一步，或者备份旧密钥并生成新密钥。

首先使用以下命令生成一个新的4096位SSH密钥对，并将您的电子邮件地址作为注释：

ssh-keygen -t rsa -b 4096 -C "[email protected]"

输出将类似于以下内容：

Enter file in which to save the key (/home/yourusername/.ssh/id_rsa):

按 Enter 接受默认文件位置和文件名。

接下来，系统将提示您输入安全密码。 是否要使用密码，由您决定。 使用密码短语，可以在密钥中增加一层额外的安全保护。

Enter passphrase (empty for no passphrase):

如果您不想使用密码短语，只需按 Enter。

整个交互如下所示：

要验证是否生成了SSH密钥对，请输入：

ls ~/.ssh/id_*

输出应如下所示：

/home/yourusername/.ssh/id_rsa /home/yourusername/.ssh/id_rsa.pub

将公钥复制到服务器上

现在您有了SSH密钥对，下一步是将公用密钥复制到要管理的服务器。

将公钥复制到远程服务器的最简单和建议的方法是使用 ssh-copy-id 工具。

在本地计算机终端上，运行以下命令：

ssh-copy-id [email protected]_ip_address

系统将提示您输入 remote_username 密码：

[email protected]_ip_address's password:

用户通过身份验证后，就可以使用公钥 ~/.ssh/id_rsa.pub 将被附加到远程用户 ~/.ssh/authorized_keys 文件，连接将被关闭。

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh '[email protected]_ip_address'"
and check to make sure that only the key(s) you wanted were added.

如果 ssh-copy-id 实用程序在本地计算机上不可用，您可以使用以下命令来复制公钥：

cat ~/.ssh/id_rsa.pub | ssh [email protected]_ip_address "mkdir -p ~/.ssh && chmod 700 ~/.ssh && cat >> ~/.ssh/authorized_keys && chmod 600 ~/.ssh/authorized_keys"

使用SSH密钥登录服务器

此时，您应该能够登录到远程服务器而无需提示输入密码。

要对其进行测试，请尝试通过SSH连接到服务器：

ssh [email protected]_ip_address

如果您尚未设置密码，您将立即登录。 否则，将提示您输入密码。

禁用SSH密码验证＃

要为服务器添加额外的安全性，您可以禁用SSH的密码身份验证。

在禁用SSH密码认证之前，请确保您可以不使用密码登录服务器，并且使用sudo特权登录的用户。

登录到您的远程服务器：

ssh [email protected]_ip_address

打开SSH配置文件 /etc/ssh/sshd_config：

sudo vim /etc/ssh/sshd_config

搜索以下指令并进行如下修改：

/ etc / ssh / sshd_config

PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no

完成后，保存文件并使用以下命令重新启动SSH服务：

sudo systemctl restart ssh

此时，将禁用基于密码的身份验证。

结论＃

在本教程中，您学习了如何生成新的SSH密钥对并设置基于SSH密钥的身份验证。 您可以将同一密钥添加到多个远程服务器。

我们还向您展示了如何禁用SSH密码身份验证以及如何为服务器添加额外的安全性。

默认情况下，SSH侦听端口22。更改默认SSH端口可减少自动攻击的风险。

如果您定期连接到多个系统，则可以通过在SSH配置文件中定义所有连接来简化工作流程。

如果您有任何疑问或反馈，请随时发表评论。

Debian SSH安全