如何在CentOS 7上设置SSH密钥

安全外壳(SSH)是一种加密网络协议,旨在用于客户端和服务器之间的安全连接。

两种最流行的SSH身份验证机制是基于密码的身份验证和基于公钥的身份验证。 与传统的密码身份验证相比,使用SSH密钥通常更安全,更方便。

本教程说明了如何在CentOS 7系统上生成SSH密钥。 我们还将向您展示如何设置基于SSH密钥的身份验证以及如何在不输入密码的情况下连接到远程Linux服务器。

在CentOS上创建SSH密钥

在生成新的SSH密钥对之前,最好检查CentOS客户端计算机上是否存在现有的SSH密钥。

为此,请运行以下ls命令,该命令列出所有公共密钥(如果有):

ls -l ~/.ssh/id_*.pub

如果命令的输出返回类似 No such file or directory 要么 no matches found 这表示您的客户端计算机上没有SSH密钥,可以继续下一步并生成SSH密钥对。

如果存在现有密钥,则可以使用这些密钥并跳过下一步,或者备份旧密钥并生成新密钥。

首先生成一个新的4096位SSH密钥对,并将您的电子邮件地址作为注释:

ssh-keygen -t rsa -b 4096 -C "[email protected]"

系统将提示您指定文件名:

Enter file in which to save the key (/home/yourusername/.ssh/id_rsa):

Enter 接受默认文件位置和文件名。

接下来,系统将要求您输入安全密码。 是否要使用密码,由您决定。 如果选择使用密码短语,则将获得额外的安全保护。

Enter passphrase (empty for no passphrase):

如果您不想使用密码短语,只需按 Enter

整个交互如下所示:

要验证是否生成了新的SSH密钥对,请输入:

ls ~/.ssh/id_*
/home/yourusername/.ssh/id_rsa /home/yourusername/.ssh/id_rsa.pub

将公钥复制到CentOS服务器#

现在已经生成了SSH密钥对,下一步是将公用密钥复制到要管理的服务器上。

将公用密钥复制到远程服务器的最简单和推荐的方法是使用名为 ssh-copy-id。 在本地计算机终端上,输入:

ssh-copy-id [email protected]_ip_address

系统将提示您输入 remote_username 密码:

[email protected]_ip_address's password:

输入密码,并在验证用户身份后输入公用密钥 ~/.ssh/id_rsa.pub 将被附加到远程用户 ~/.ssh/authorized_keys 文件。 连接将关闭。

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh '[email protected]_ip_address'"
and check to make sure that only the key(s) you wanted were added.

如果 ssh-copy-id 实用程序在本地计算机上不可用,请使用以下命令复制公用密钥:

cat ~/.ssh/id_rsa.pub | ssh [email protected]_ip_address "mkdir -p ~/.ssh && chmod 700 ~/.ssh && cat >> ~/.ssh/authorized_keys && chmod 600 ~/.ssh/authorized_keys"

使用SSH密钥登录到服务器

完成上述步骤后,您应该能够登录到远程服务器,而不会提示您输入密码。

要进行验证,请尝试通过SSH登录到服务器:

ssh [email protected]_ip_address

如果您尚未为私钥设置密码,您将立即登录。 否则,将要求您输入密码。

禁用SSH密码验证#

要为远程服务器增加额外的安全性,您可以禁用SSH密码身份验证。

在继续之前,请确保您可以使用具有sudo特权的用户登录而无需输入密码。

请按照以下步骤禁用SSH密码身份验证:

  1. 登录到您的远程服务器:

    ssh [email protected]_ip_address
  2. 打开SSH配置文件 /etc/ssh/sshd_config 使用您的文本编辑器:

    sudo nano /etc/ssh/sshd_config
  3. 搜索以下指令并进行如下修改:

    / etc / ssh / sshd_config

    PasswordAuthentication no
    ChallengeResponseAuthentication no
    UsePAM no
  4. 完成后,保存文件并通过键入以下命令重新启动SSH服务:

    sudo systemctl restart ssh

此时,将禁用基于密码的身份验证。

结论#

在本教程中,您学习了如何生成新的SSH密钥对并设置基于SSH密钥的身份验证。 您可以将同一密钥添加到多个远程服务器。

我们还向您展示了如何禁用SSH密码身份验证以及如何为服务器添加额外的安全性。

默认情况下,SSH侦听端口22。更改默认SSH端口可降低自动攻击的风险。

如果您定期连接到多个系统,则可以通过在SSH配置文件中定义所有连接来简化工作流程。

如果您有任何疑问或反馈,请随时发表评论。

centos ssh安全

Sidebar