PS:本人纯属服务端小白,白的不能再白!有些地方可能描述的不是很准确,还请方家多多指教!
背景:
ssh服务支持之中安全认证机制,就是密钥登录,这种方式是比较安全的登入方式。
因为一般的密码方式登录容易被密码暴力破解,使用密钥方式登入主机也是首推一种登入方式,比使用密码的方式登录更佳!
对于密钥认证的说明,大家可以上网去了解,这里我只是记录一下具体操作步骤。
另外:因使用后续学习使用Ansible来实现自动化运维的时候需要再主控机登录到其他控制端主机上,需要实现免密登录主机的方式,所以再这里学习一下如何上传对应的私钥和公钥。
主要步骤说明:
1:使用系统自带或工具利用密钥生成器制作一对密钥——一只公钥(id_rsa.pub)和一只私钥(id_rsa)
2:把公钥添加到服务器 /root/.ssh/authorized_keys
3:客户端(服务器、或SecureCRT 或 putty 或 xShell)利用私钥即可完成认证并登录
注意事项
PS:在还没有验证使用私钥可以登入系统之前,建议开启密码登入和密钥登入两种方式,等验证使用密钥登入成功后,再关闭对应的禁止root登入和使用密码登录系统的方式。
避免使用密钥无法登入,但是又关闭了密码登入的方式!这个时候怎么解决,如果出现这种情况,暂时我还不知道怎么处理?如有知道的朋友,不知道你是否可以告知一下滴呢?
具体的操作步骤:
前提:
首先准备好1台主机(虚拟主机)
192.168.74.128
图示:
第1步:(192.168.74.128)在root登入的情况下执行命令:
ssh-keygen -t rsa
[root@bogon ~]# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): (回车)
按提示说选择保存到哪个路径,直接按下回家即可
第2步:(192.168.74.128)直接三次回车,默认保存在当前路径下
[root@bogon ~]# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): (回车)
Enter passphrase (empty for no passphrase): (回车)
Enter same passphrase again: (回车)
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
c5:7e:44:73:4c:1a:db:67:a8:60:f6:de:bc:58:4a:2c root@bogon
The key's randomart image is:
+--[ RSA 2048]----+
| +oo |
| . . B.. |
| * + o o|
| = + . o |
| S . + |
| + o |
| E + + |
| o + . |
| o . |
+-----------------+
PS:
Enter file in which to save the key (/root/.ssh/id_rsa):
该命令提示的意思是:让我们定义私钥的存放路径,默认存在的路径是在/root/.ssh/id_rsa的下面
Enter passphrase (empty for no passphrase):
该命令提示的意思是:定义私钥的密码,一般为了免密默认的留空,直接的回车
Enter same passphrase again:
该命令提示的意思是:确认密码设置
经过上面三次回车后,最后在/root/.ssh/id_rsa下面生成了公钥和私钥
[root@bogon ~]# cd /root/.ssh/
[root@bogon .ssh]# ll
total 12
-rw-------. 1 root root 1675 Mar 2 11:02 id_rsa(私钥)
-rw-r--r--. 1 root root 392 Mar 2 11:02 id_rsa.pub (公钥)
-rw-r--r--. 1 root root 176 Feb 28 07:48 known_hosts
[root@bogon .ssh]#
关于是否设置密钥的密码信息:一般也是建议你设置,如果不设置的话,后续别人拿到你的密钥,不输入密码的方式下就可以直接的使用密钥登入了!当然,也可以留空,实现无密码登录。
如果设置可密码的话,密钥锁码在使用私钥时必须输入,这样就可以保护私钥不被盗用。
第3步: 在(192.168.74.128)服务器上安装公钥
主要操作是:
复制公钥内容到/root/.ssh/authorized_keys
PS:因为我们是使用ssh-keygen -t rsa方式生成相关密匙信息,所以此时默认的会有对应的:/root/.ssh/这个目录存在,如果没有的话(即使用其他ssh工具生成密钥的时候)就需要收的创建此目录.。
另外:/root/.ssh/authorized_keys这个文件的名称是固定不变的哟,不要写错了!
[root@bogon ~]# mkdir -p /root/.ssh 创建目录
[root@bogon ~]# chmod 700 /root/.ssh 更改目录权限
[root@bogon ~]# cat /root/.ssh/id_rsa.pub
XXXXXXX内容信息的信息
[root@bogon ~]# nano /root/.ssh/authorized_keys ( 编辑保存退出)
或者直接的:
[root@bogon ~]# cat id_rsa.pub >> /root/.ssh/authorized_keys
[root@bogon ~]$ chmod 600 /root/.ssh/authorized_keys
[root@bogon ~]$ chmod 700 /root/.ssh
或者其他方式复制到对应的服务器下:
[root@bogon ~]$.ssh-copy-id -i ~/.ssh/id_rsa.pub "-p 10022 user@server"
[root@bogon ~]$.ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.15.241
再次查看生成的文件信息
[root@bogon .ssh]# ll
total 16
-rw-r--r--. 1 root root 392 Mar 2 11:37 authorized_keys
-rw-------. 1 root root 1675 Mar 2 11:02 id_rsa
-rw-r--r--. 1 root root 392 Mar 2 11:02 id_rsa.pub
-rw-r--r--. 1 root root 176 Feb 28 07:48 known_hosts
[root@bogon .ssh]#
第4步:(192.168.74.128)把私钥提取出来保存到本地,方便后面使用此密钥进行登入
[root@bogon .ssh]# sz id_rsa
rz
zmodem trl+C ȡ
100% 1 KB 0 KB/s 00:00:21 0 Errors
[root@bogon .ssh]#
关于lrzsz的一些知识点:
root 账号登陆后执行以下命令:
1:安装:yum install -y lrzsz
2:用说明
sz命令发送文件到本地:
# sz filename
rz命令本地上传文件到服务器:
# rz
执行该命令后,在弹出框中选择要上传的文件即可。
第5步:(192.168.74.128)关闭SELinux(线上是否一定要关闭呢?)
PS:因为咋们这里是虚拟机注意!!!!注意!!!!
注意!!!! 如果是线上生产服务器的话,要注意根据实际情况进行选择关闭哟!
因为咋们这里是虚拟机,而且SELinux是Centos系统自带一种安全机制。如果我们这里不关掉这个安全机制的话,可能会出错。
临时关闭:SELinux(下次重启后还是会开启)
[root@bogon .ssh]# setenforce 0
[root@bogon .ssh]#
彻底关闭需要:
[root@bogon .ssh]# nano /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of three two values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPE=targeted
#把SELINUXTYPE 修改成为-disabled,然后保存,并且重启系统!
PS:经过网友的提示 这个地方可能有问题注意!!!!!注意!!!!!
应该是把:
SELINUX=disabled
不要 误将“SELINUXTYPE”看成“SELINUX”,设置了SELINUXTYPE参数:
正确姿势:
1:编辑
vi /etc/selinux/config#编辑防火墙配置文件
#SELINUX=enforcing#注释掉
#SELINUXTYPE=targeted#注释掉
SELINUX=disabled#增加
:wq!#保存退出,
2:让修改生效
[root@bogon .ssh]# setenforce 0
[root@bogon .ssh]#
第6步:(192.168.74.128)修改SSH配置,打开密钥登录功能:
编辑修改 /etc/ssh/sshd_config 文件,进行如下设置:
RSAAuthentication yes # 开启密钥登入的认证方式
PubkeyAuthentication yes # 开启密钥登入的认证方式
PermitRootLogin yes #此处请留意 root 用户能否通过 SSH 登录,默认为yes:
PasswordAuthentication yes #当我们完成全部设置并以密钥方式登录成功后,可以禁用密码登录。这里我们先不禁用,先允许密码登陆
[root@bogon .ssh]# service sshd restart #最后,重启 SSH 服务:
PS:关键修改参数一些说明:
#禁用root账户登录,非必要,但为了安全性,请配置
PermitRootLogin no
# 是否让 sshd 去检查用户家目录或相关档案的权限数据,
# 这是为了担心使用者将某些重要档案的权限设错,可能会导致一些问题所致。
# 例如使用者的 ~.ssh/ 权限设错时,某些特殊情况下会不许用户登入
StrictModes no
# 是否允许用户自行使用成对的密钥系统进行登入行为,仅针对 version 2。
# 至于自制的公钥数据就放置于用户家目录下的 .ssh/authorized_keys 内
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys
#有了证书登录了,就禁用密码登录吧,安全要紧
PasswordAuthentication no
第7步:(192.168.74.128)然后使用SecureCRTPortable进行登入测试:
[root@bogon .ssh]# logout
退出使用其他方式登入:
