直接禁用密码登录并启用 SSH 密钥认证是保护 Linux 服务器免受暴力破解最有效的基础手段,适用于绝大多数需要远程管理的云服务器或独立主机。
先说结论:在确保密钥可用前不要关闭密码登录,配置完成后必须通过新会话验证。
- 先判断:确认当前会话稳定,且有备用连接方式(如控制台)以防配置失误被锁。
- 优先做:生成密钥对并上传至服务器,测试密钥登录成功后再修改配置文件。
- 再验证:保持当前会话不断开,新开终端尝试密钥登录,确认密码登录已失效。
命令速用版
# 本地生成密钥(一路回车即可)
ssh-keygen -t ed25519# 上传公钥到服务器(需输入一次密码)
ssh-copy-id user@server_ip# 修改配置后重启服务
sudo systemctl restart sshd为什么会这样
密码登录容易受到自动化脚本的暴力猜测,尤其是弱密码。SSH 密钥对基于非对称加密,私钥保存在本地且不通过网络传输,服务端只验证公钥匹配性。除非私钥泄露,否则攻击者无法通过穷举法破解,这从根本上消除了密码被猜解的风险。
分步处理
1. 生成密钥对
在本地电脑终端执行以下命令,建议采用 ed25519 算法,安全性高且生成速度快:
ssh-keygen -t ed25519 -C "your_email@example.com"按提示操作,默认路径即可。完成后会在 ~/.ssh 目录下生成 id_ed25519(私钥)和 id_ed25519.pub(公钥)。
2. 上传公钥
如果系统支持 ssh-copy-id 命令:
ssh-copy-id -i ~/.ssh/id_ed25519.pub user@server_ip如果提示命令不存在,需手动复制公钥内容到服务器的 ~/.ssh/authorized_keys 文件中,并确保权限正确:
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys
chown -R $USER:$USER ~/.ssh3. 测试密钥登录
新开一个终端窗口,尝试使用密钥登录,确保不需要输入密码即可进入:
ssh -i ~/.ssh/id_ed25519 user@server_ip4. 禁用密码登录
登录成功后,编辑服务端配置文件 /etc/ssh/sshd_config,找到或添加以下行:
PasswordAuthentication no
PubkeyAuthentication yes
PermitRootLogin prohibit-password注意:PermitRootLogin 建议设置为 prohibit-password 或 no,避免 root 直接登录。
5. 重启服务
保存文件后重启 SSH 服务:
sudo systemctl restart sshd
# 部分系统服务名为 ssh
sudo systemctl restart ssh怎么验证是否生效
1. 验证密钥登录
使用 verbose 模式连接,查看认证方法:
ssh -v user@server_ip输出中应看到 "Offering public key" 且最终 "Authentication succeeded",不应提示输入密码。
2. 验证密码失效
尝试强制使用密码认证(临时测试用,测完改回):
ssh -o PreferredAuthentications=password -o PubkeyAuthentication=no user@server_ip连接应被拒绝或提示 Permission denied。
3. 查看日志
检查服务端日志确认无密码认证成功记录:
# CentOS/RHEL
sudo tail -f /var/log/secure
# Ubuntu/Debian
sudo tail -f /var/log/auth.log常见坑
- 未测试就重启:修改配置前务必保留一个已登录的会话窗口,万一新会话连不上,可在此窗口回滚配置。
- 权限错误:服务器端 ~/.ssh 目录权限必须是 700,authorized_keys 文件必须是 600,否则 SSH 服务端会拒绝读取。
- SELinux 限制:如果开启 SELinux,主目录上下文错误可能导致密钥失效,可使用 restorecon -Rv ~/.ssh 修复。
- Root 登录限制:若禁止了 root 登录,请确保已创建普通用户并配置 sudo 权限,否则无法管理服务器。
原文链接:https://www.zjcp.cc/ask/11349.html