Linux配置SSH密钥实现安全免密服务器登录
SSH的诞生:为Linux交互安全而生
它是一个加密的网络传输协议,旨在提供一个安全的方式来远程登录和执行命令,除了现在我们使用密码登录外还可用配置ssh密钥登录,好比现在智能门锁,默认输入密码就可以开锁,但密码更容易泄露或配置简单遭猜解、暴力破解,这个时候ssh密钥就凸出他的安全优越性了,ssh密钥用的是非对称加密,它的安全性来自,从公钥反推私钥,在数学上计算破解几乎不可行的,那我们把密钥生成私钥比如到制作成门禁卡,取消掉密码开门,只刷门禁开门,是不是就等于拥有门禁的私钥,这样安全性大大提高,没有私钥人就进不来。
一、SSH 密钥登录是什么
SSH 密钥登录是非对称加密登录方式:
- 本地生成一对密钥:私钥(id_rsa)+公钥(id_rsa.pub)
- 把公钥放到服务器
- 登录时用私钥签名,服务器用公钥验证
- 全程不传输密码
优点:
- 比密码登录安全得多
- 防暴力破解、防中间人(合理配置下)
- 支持免密、自动化脚本
二、快速配置步骤
1. 生成 SSH 密钥对
ssh-keygen -t rsa -b 4096 -C "your_email@mail.com"- -t rsa:指定生成 RSA 类型的密钥。
- -b 4096:指定密钥长度为 4096 位,以提高安全性。
- -C "your_email@mail.com"`:你的电子邮件地址。
运行上述命令后,系统会提示你选择保存密钥的文件路径和设置密钥的密码(可选)。
默认情况下,密钥将保存在 ~/.ssh/id_rsa 和 ~/.ssh/id_rsa.pub 文件中。
2. 将公钥导入
cd /root/.ssh/ cat id_rsa.pub >> authorized_keys3.下载密钥
部分shell客户端可以直接使用sftp直接下载
安装lrzsz
#centos使用 dnf install lrzsz #debian、ubuntu使用 apt install lrzsz使用sz下载私钥:id_rsa 和 公钥:authorized_keys
sz id_rsa authorized_keys删除服务器上密钥文件
rm -rf id_rsa id_rsa.pub4.编辑sshd配置文件
打开服务器上的 sshd 配置文件 /etc/ssh/sshd_config
vim /etc/ssh/sshd_config修改 PubkeyAuthentication 和 PasswordAuthentication
# 只允许密钥登录 PubkeyAuthentication yes # 禁用密码登录 PasswordAuthentication no重启sshd服务
systemctl restart sshd三、注意事项
- SSH 密钥 = 比密码安全,但私钥是命门
- 私钥泄露 = 服务器直接送
- 必须:禁用密码 + 禁用 root + 私钥加密 + 权限严格