对sshd服务更灵活的管理——密钥认证
文章目录
- 为什么要使用密钥认证
- 密钥认证的原理
- 密钥认证的步骤
- 想要取消密钥认证怎么办
- 普通用户想要设置密钥登录怎么办
- 想要设置免密登录怎么办
- sshd的安全设置
为什么要使用密钥认证
我们已经知道,sshd服务可以通过密码来登录,分别输入用户名和密码,两者密码相匹配时就可以登录。但是密码认证有以下的缺点:
- 用户无法设置空密码,即使系统允许空密码,也会十分危险。
- 保管不当时,密码或许会被泄露。
- 服务器上的密码也许会给很多人使用,当修改密码时,要逐一通知,费事费力。
但是, 密钥认证却可以避免上述所有的问题。
公钥认证允许使用空密码,省去每次登录都需要输入密码的麻烦。
多个使用者可以通过各自的密钥登录到系统上的同一个用户。
密钥认证的原理
所谓的密钥认证,实际上是使用一对加密字符串,一个称为公钥(public key),任何人都可以看到其内容,用于加密;
另一个称为密钥(private key),只有拥有者才能看到,用于解密。通过公钥加密过的密文使用密钥可以轻松解密,但根据公钥来猜测密钥却十分困难。
密钥认证的步骤
1.在服务端生成锁和钥匙
(做实验之前,应该对server和desktop进行 rm -fr /root/.ssh 操作)
(图示中服务器ip为172.25.254.110)
ssh-keygen #生成密钥
或者使用参数指定密钥文件的储存位置,和密码。一般默认就好了。
ssh-keygen -f /root/.ssh/id_rsa -P ""
2.加密ssh用户的认证
ssh-copy-id -i /root/.ssh/id_rsa.pub root@服务器端ip
当查看.ssh目录下的文件,发现出现authorized_keys文件时,表示加密成功。
rsa.pub 是公钥的模板 ,这个文件的内容authencation_keys完全一样。
3.发送钥匙给客户端
(在图示中,客户机ip地址为172.25.254.110)
scp /root/.ssh/id_rsa 客户端用户名称@客户端ip /root/.ssh/
4.测试设置是否成功
在客户机测试发现登陆时,不再询问密码。
想要取消密钥认证怎么办
方法一:
服务器端可以
rm -fr /root/.ssh/authorized_keys
此时客户机需要输入密码才能连接上服务端主机
方法二:
mv /root/.ssh/authorized_keys /root/.ssh/authorized_bak
(1)
即给文件重命名即可
(2)当想让密钥重新生效时,改回名称即可
普通用户想要设置密钥登录怎么办
对于密钥服务来说,不一定只能对服务器主机上的root用户生成密钥登录的认证方式,普通用户也可以,且思路完全一样。
这里以对westos实现密钥登录为例:
在服务器:
mkdir /home/westos/.ssh #.ssh目录默认清空下不存在
cd /home/westos/.ssh
ssh-keygen -f /home/westos/.ssh/id_rsa -P "" #生成密钥
ssh-copy-id -i ./id_rsa.pub westos@服务器ip # 对本机上锁,生成authorized_keys文件
scp ./id_rsa 客户机用户@客户机ip 家目录下的/.ssh/ 将钥匙分发给客户机
想要设置免密登录怎么办
cp /root/.ssh/id_rsa.pub /root/.ssh/autherized_keys
sshd的安全设置
位置:
/etc/ssh/sshd_config
方式:
1.当没有密钥的时候可以是否可以用密码登陆服务端主机
出现下列错误的原因是,密码验证功能没有向没有密钥的用户开放。
2.开启或关闭root用户的登陆权限
注意:
当此项设置为yes ,但是设置了白名单,且白名单里却没有root时,root也不能登录。即root用户受白名单限制。
当此项设置为no,即使白名单里有root,root用户也不能登录。
3.黑名单用户,即不能登陆的用户,即使有密码,也无权登录
4.白名单用户,除了白名单的用户,其他都不能登录。(用户之间用空格隔开)白名单的权限最大.
百分之二百注意!!!
(1)
密钥登录和白名单是两回事,你在root下生成密钥,发放密钥,那么你在/etc/ssh/sshd_config里,设置了westos为白名单,那除了westos用户,其他用户都不能登录,而且,westos也只能通过正确的密码登录。westos不能通过密钥登录,因为你所有生成密钥,发放密钥的过程都是给root,一个系统里只有一个sshd_config文件,但是有多个用户。
(2)
这里的白名单用户说的是服务器上的用户,不是客户机上的用户,即如果设置westos为白名单,则客户机应该使用当时服务器分发给它密钥的用户去执行 ssh westos@xxxxxxxxx
而不是在客户机里切换成westos用户去执行。
5.设置端口号
当更改端口号之后,服务器端和客户端分别需要进行如下操作。
服务器端:
客户端:
6.指定提供sshd服务的ip
当更改文件里提供服务的ip之后,原有的命令不再能连接上172.25.254.210主机
注意:
每次修改配置文件后需要 systemctl restart ssh 重新读取文件才能使修改生效
对sshd服务更灵活的管理——密钥认证相关推荐
- Linux云计算架构师:SSHD服务搭建管理和防止暴力破解
全套学习资料移步至公众号[学神来啦]更多学习资料添加扣扣资源群:661308959 本节所讲: 1.1 Linux服务前期环境准备.搭建CentOS 7环境 1.2 SSHD服务安装-ss ...
- SSH远程管理及sshd服务支持验证方式
一.SSH远程管理 1.●SSH定义 SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录.远程复制等功能. SSH协议对通信双方的数据传输进行了加密处理,其中包括用户 ...
- linux——sshd服务及其管理命令
一..openssh 当主机中开启openssh服务,那么就对外开放了远程连接的接口,即让远程主机可以通过网络访问sshd服务,开始一个安全shell #openssh服务的服务端 sshd #ope ...
- 推送服务升级,支持小米推送国际版以及更灵活的推送方式|11月更新
产品动态 推送服务升级,支持小米推送国际版以及更灵活的推送方式 本月我们上线了升级版的推送服务,相比以前版本,现在您可以: 启用小米国际版推送服务 对指定设备 id 进行推送 对推送速度和时间进行更精 ...
- 易维帮助台APP新升级,管理、派单、服务更高效
现场服务涉及服务请求受理.提单.派单.实施.结单和客户调查等多个环节,如何确保外派的工程师能及时准确接收到服务请求.保证服务质量是每位企业所担心的问题.而且随着企业发展,工程师外派服务需求也会日益增多 ...
- 如何用 Serverless 让 SaaS 获得更灵活的租户隔离、更优的资源开销
关于SaaS和Serverless,相信关注我的很多读者都已经不陌生,所以这篇不会聊它们的技术细节,而将重点放在SaaS软件架构中引入Serverless之后,能给我们的SaaS软件带来多大的收益. ...
- ssh和sshd服务
1.1 对称加密和非对称加密 对称加密:加密和解密使用一样的算法,只要解密时提供与加密时一致的密码就可以完成解密.例如QQ登录密码,银行卡密码,只要保证密码正确就可以. 非对称加密:通过公钥(publ ...
- 微服务java模块内存管理_Java 9模块服务
微服务java模块内存管理 接线与查找 Java长期以来都有一个ServiceLoader类. 它是在1.6中引入的,但是自Java 1.2以来就使用了类似的技术. 一些软件组件使用了它,但是使用并不 ...
- 架构设计:服务自动化部署和管理流程
本文源码:GitHub·点这里 || GitEE·点这里 一.分布式服务 从常规分布式架构系统来说,划分出十来个独立的微服务模块是很常见的,然后不同的开发人员分工几个服务块,负责日常开发和维护,微服务 ...
最新文章
- 公司网络推广为你解答蜘蛛为什么有抓取网页却没收录?
- 达观数据分析平台架构和Hive实践——TODO
- RocketMQ消息支持的模式-消息异步发送
- 前端_网页编程 节流
- java调mongodb自定义函数,自定义UDF函数,从hive保存到mongodb
- asp.net 获取计算机配置_智能制造中的计算机视觉应用瓶颈问题
- Firefox 67不能勾选“以后自动采用相同的动作处理此类文件”解决方案
- Python中expected an indented block
- 通用目标检测(集合)
- oracle dbv验证,关于dbv检测的结果,有些不懂,请各位指点
- 简历的教育经历怎么写计算机,简历中教育经历怎么写?
- Linux创建WIFI热点
- Android 时区中英文显示对照
- worldpress php7.2,centos7.4下word press环境由php5.6.4升级到php7.2
- 电脑远程登录控制Android手机-Webkey For Android使用教程
- 数据库的设计关键点总结
- 如何利用 Apache APISX 提升 Nginx 的可观测性
- 01 | Java入门级学习指南
- 打造全国性社会化大数据中心
- Linux 运维基础