免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 1361 | 回复: 3

[系统安全] linux系统下给服务器安装key,使用key登陆,增加安全性 [复制链接]

论坛徽章:
0
发表于 2014-07-06 09:40 |显示全部楼层
1、通过ssh链接到服务器,首先修改SSH的配置文件。如下:

[root@sample ~]# vi /etc/ssh/sshd_config  ← 用vi打开SSH的配置文件

#Protocol 2,1 ← 找到此行将行头“#”删除,再将行末的“,1”删除,只允许SSH2方式的连接 ↓

Protocol 2 ← 修改后变为此状态,仅使用SSH2

#ServerKeyBits 768 ← 找到这一行,将行首的“#”去掉,并将768改为1024↓

ServerKeyBits 1024 ← 修改后变为此状态,将ServerKey强度改为1024比特

#PermitRootLogin yes  ← 找到这一行,将行首的“#”去掉,并将yes改为no ↓

PermitRootLogin no  ← 修改后变为此状态,不允许用root进行登录

#PassWordAuthentication yes ← 找到这一行,将yes改为no ↓

PasswordAuthentication no ← 修改后变为此状态,不允许密码方式的登录

#PermitEmptyPasswords no  ← 找到此行将行头的“#”删除,不允许空密码登录↓

PermitEmptyPasswords no  ← 修改后变为此状态,禁止空密码进行登录

2、然后保存并退出。(vi保存退出的命令为ZZ)

  因为我们只想让SSH服务为管理系统提供方便,所以在不通过外网远程管理系统的情况下,只允许内网客户端通过SSH登录到服务器,以最大限度减少不安全因素。设置方法如下:

[root@sample ~]# vi /etc/hosts.deny  ← 修改屏蔽规则,在文尾添加相应行

#

# hosts.deny This file describes the names of the hosts which are

# *not* allowed to use the local INET services, as decided

# by the '/usr/sbin/tcpd' server.

#

# The portmap line is redundant, but it is left to remind you that

# the new secure portmap uses hosts.deny and hosts.allow. In particular

# you should know that NFS uses portmap!

sshd: ALL  ← 添加这一行,屏蔽来自所有的SSH连接请求

[root@sample ~]# vi /etc/hosts.allow  ← 修改允许规则,在文尾添加相应行

#

# hosts.allow This file describes the names of the hosts which are

# allowed to use the local INET services, as decided

# by the '/usr/sbin/tcpd' server.

#

sshd: 192.168.0.  ← 添加这一行,只允许来自内网的SSH连接请求

重新启动SSH服务

  在修改完SSH的配置文件后,需要重新启动SSH服务才能使新的设置生效。

[root@sample ~]# /etc/rc.d/init.d/sshd restart  ← 重新启动SSH服务器

Stopping sshd:             [ OK ]

Starting sshd:             [ OK ]  ← SSH服务器重新启动成功


  这时,在远程终端(自用PC等等)上,用SSH客户端软件以正常的密码的方式是无法登录服务器的。为了在客户能够登录到服务器,我们接下来建立SSH用的公钥与私钥,以用于客户端以“钥匙”的方式登录SSH服务器。

3、SSH2的公钥与私钥的建立

  登录为一个一般用户,基于这个用户建立公钥与私钥。(这里以centospub用户为例)

[root@sample ~]# su – centospub ← 登录为一般用户centospub

[centospub@sample ~]$ ssh-keygen -t rsa  ← 建立公钥与私钥

Generating public/private rsa key pair.

Enter file in which to save the key (/home/centospub/.ssh/id_rsa):  ← 钥匙的文件名,这里保持默认直接回车

Created Directory '/home/centospub/.ssh'

Enter passphrase (empty for no passphrase):  ← 输入口令

Enter same passphrase again:   ← 再次输入口令

Your identification has been saved in /home/kaz/.ssh/id_rsa.

Your public key has been saved in /home/kaz/.ssh/id_rsa.pub.

The key fingerprint is:

tf:rs:e3:7s:28:59:5s:93:fe:33:84:01:cj:65:3b:8e centospub@sample.centospub.com

  然后确认一下公钥与密钥的建立,以及对应于客户端的一些处理。

[centospub@sample ~]$ cd ~/.ssh  ← 进入用户SSH配置文件的目录

[centospub@sample .ssh]$ ls -l  ← 列出文件

total 16

-rw——- 1 centospub centospub 951 Sep 4 19:22 id_rsa  ← 确认私钥已被建立

-rw-r–r– 1 centospub centospub 241 Sep 4 19:22 id_rsa.pub  ← 确认公钥已被建立


[centospub@sample .ssh]$ cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys  ← 公钥内容输出到相应文件中

[centospub@sample .ssh]$ rm -f ~/.ssh/id_rsa.pub  ← 删除原来的公钥文件

[centospub@sample .ssh]$ chmod 400 ~/.ssh/authorized_keys  ← 将新建立的公钥文件属性设置为400

4、用puttygen.exe导入私钥id_rsa,点Save private key,保存成putty.exe可以用的私钥,这样就可以使用putty.exe加载刚才转换好的私钥。

反之,我们也可以将putty生成的私钥,导出OpenSSH key,这样就可以在linux下用ssh命令连接linux服务器,命令如下:

# chmod 600 id_rsa

# ssh -i id_rsa uu@222.222.222.222 -p 66

这里要注意的是

.ssh目录是700权限

authorized_keys公钥是400权限

用ssh连接用的私钥是600权限


附:

1、上诉操作完成后,把id_rsa.pub拷贝到本地硬盘即可。

记住一定要先把id_rsa.pub先拷贝出来,然后重启sshd,否则会造成自己无法登陆。

文章来源:http://www.51itstudy.com/12067.html
转载请注明出处,谢谢!

论坛徽章:
32
处女座
日期:2013-11-20 23:41:20双子座
日期:2014-06-11 17:20:43戌狗
日期:2014-06-16 11:05:00处女座
日期:2014-07-22 17:30:47狮子座
日期:2014-07-28 15:38:17金牛座
日期:2014-08-05 16:34:01亥猪
日期:2014-08-18 13:34:25白羊座
日期:2014-09-02 15:03:55金牛座
日期:2014-11-10 10:23:58处女座
日期:2014-12-02 09:17:52程序设计版块每日发帖之星
日期:2015-06-16 22:20:002015亚冠之塔什干火车头
日期:2015-06-20 23:28:22
发表于 2014-07-06 23:31 |显示全部楼层
感谢分享~{:2_172:}

论坛徽章:
15
射手座
日期:2014-02-26 13:45:082015年迎新春徽章
日期:2015-03-04 09:54:452015年辞旧岁徽章
日期:2015-03-03 16:54:15羊年新春福章
日期:2015-02-26 08:47:552015年亚洲杯之卡塔尔
日期:2015-02-03 08:33:45射手座
日期:2014-12-31 08:36:51水瓶座
日期:2014-06-04 08:33:52天蝎座
日期:2014-05-14 14:30:41天秤座
日期:2014-04-21 08:37:08处女座
日期:2014-04-18 16:57:05戌狗
日期:2014-04-04 12:21:33技术图书徽章
日期:2014-03-25 09:00:29
发表于 2014-07-07 08:31 |显示全部楼层
看似有用。mark先。。。

论坛徽章:
0
发表于 2014-07-07 17:54 |显示全部楼层
我的服务器“出厂”,都是按照这个步骤来的。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP