密钥登陆linux_安全使用ssh登陆linux——非root用户密钥对登陆 - CSDN
  • 我们知道SSH登录是用的RSA非对称加密的,所以我们在SSH登录的时候就可以使用RSA密钥登录,SSH有专门创建SSH密钥的工具ssh-keygen,下面就来一睹风采。 首先进入Linux系统的用户目录下的.ssh目录下,root用户是/root...

    在我们平时使用Linux系统时候,通常使用的Linux SSH登录方式是用户名加密码的登录方式,今天来探讨另外的一种相对安全的登录方式——密钥登录。

    我们知道SSH登录是用的RSA非对称加密的,所以我们在SSH登录的时候就可以使用RSA密钥登录,SSH有专门创建SSH密钥的工具ssh-keygen,下面就来一睹风采。

    首先进入Linux系统的用户目录下的.ssh目录下,root用户是/root/.ssh,普通用户是/home/您的用户名/.ssh,我们以root用户为例:

     

    cd /root/.ssh

      可以先看看目录下,如果没有进行过ssh密钥创建是长这样子的:

     

     执行ssh-keygen命令创建密钥对,

     

    ssh-keygen -t rsa -b 4096

    这里笔者加了-b 参数,指定了长度,也可以不加-b参数,直接使用ssh-keygen -t rsa,ssh-keygen命令的参数后文再介绍。

     

    执行密钥生成命令,基本上是一路回车既可以了,但是需要注意的是:执行命令的过程中是会提示呢输入密钥的密码的(如下图中红色箭头处,输入两次相同的,即是又一次确认密码),不需要密码直接回车就行。

    密钥生成后会在当前目录下多出两个文件,id_rsa和id_rsa.pub,其中id_rsa是私钥(敲黑板:这个很重要,不能外泄),id_rsa.pub这个是公钥,

    把公钥拷贝到需要登录的远程服务器或Linux系统上,这里可以使用ssh-copy-id自动完成,也可以手动追加秘钥到远程服务器。

    方法一(推荐):

    ssh-copy-id -i /root/.ssh/id_rsa.pub root@192.168.100.10

    执行命令了会要求输入远程机器的密码,输入密码即可。

    注:ssh-copy-id默认端口是22,如果您的SSH端口不是22,也就是远程服务器端口修改成其他的了,那就要得加上 -p +端口。

    方法二:

    进入远程服务器需要SSH登录的用户的目录下,这里仍然用root用户,cd /root/.ssh,执行ls看看目录下是否有authorized_keys文件没有的话则执行以下命令创建:

     

    touch authorized_keys

     

    执行成功会创建空authorized_keys文件,授予600权限(注意:此处权限必须是600):

     

    chmod 600 /root/.ssh/authorized_keys

     

    如果已经有了authorized_keys文件,这直接执行以下的密钥追加工作。

    将上面生成的公钥id_rsa.pub追加到authorized_keys文件中:

     

    cat /root/.ssh/id_rsa.pub >> /root/.ssh/authorized_keys

    如下图所示,注意图中红色箭头处,是>>而不是>,双尖括号>>表示像向文件中追加

     


    单尖括号>表示将文件内容全部替换掉;也就是说使用单尖括号>,authorized_keys文件里面如果原来有内容的话就全部不在了。


    密钥准备好了接下来就可以使用密钥登录了,

     

    ssh -i ./id_rsa root@192.168.100.39
    或者ssh root@192.168.100.39 -i ./id_rsa

    注意:id_rsa是私钥,笔者这里是进入私钥的目录下操作的,如果没在私钥的目录下,请写全目录,比如/mnt/id_rsa,也可以是您自定义的目录。执行命令过程中,如果创建密钥对的时候设置了密码,则会提示您输入密码,没有的话会直接登录。

     


    在Windows系统上使用密钥的话要看您使用的工具是否支持密钥登录, 笔者这里使用Xshell 5 演示,

    在输入密码处选择Public key,可以在浏览处添加密钥,这里添加的是私钥id_rsa,如果创建密钥对的时候设置密码了,需要在下方的密码框中输入密码,没有密码直接确定登录。

    小贴士:

     

    ssh-keygen可用的参数选项有:
    
         -a trials
                 在使用 -T 对 DH-GEX 候选素数进行安全筛选时需要执行的基本测试数量。
    
         -B      显示指定的公钥/私钥文件的 bubblebabble 摘要。
    
         -b bits
                 指定密钥长度。对于RSA密钥,最小要求768位,默认是2048位。DSA密钥必须恰好是1024位(FIPS 186-2 标准的要求)。
    
         -C comment
                 提供一个新注释
    
         -c      要求修改私钥和公钥文件中的注释。本选项只支持 RSA1 密钥。
                 程序将提示输入私钥文件名、密语(如果存在)、新注释。
    
         -D reader
                 下载存储在智能卡 reader 里的 RSA 公钥。
    
         -e      读取OpenSSH的私钥或公钥文件,并以 RFC 4716 SSH 公钥文件格式在 stdout 上显示出来。
                 该选项能够为多种商业版本的 SSH 输出密钥。
    
         -F hostname
                 在 known_hosts 文件中搜索指定的 hostname ,并列出所有的匹配项。
                 这个选项主要用于查找散列过的主机名/ip地址,还可以和 -H 选项联用打印找到的公钥的散列值。
    
         -f filename
                 指定密钥文件名。
    
         -G output_file
                 为 DH-GEX 产生候选素数。这些素数必须在使用之前使用 -T 选项进行安全筛选。
    
         -g      在使用 -r 打印指纹资源记录的时候使用通用的 DNS 格式。
    
         -H      对 known_hosts 文件进行散列计算。这将把文件中的所有主机名/ip地址替换为相应的散列值。
                 原来文件的内容将会添加一个".old"后缀后保存。这些散列值只能被 ssh 和 sshd 使用。
                 这个选项不会修改已经经过散列的主机名/ip地址,因此可以在部分公钥已经散列过的文件上安全使用。
    
         -i      读取未加密的SSH-2兼容的私钥/公钥文件,然后在 stdout 显示OpenSSH兼容的私钥/公钥。
                 该选项主要用于从多种商业版本的SSH中导入密钥。
    
         -l      显示公钥文件的指纹数据。它也支持 RSA1 的私钥。
                 对于RSA和DSA密钥,将会寻找对应的公钥文件,然后显示其指纹数据。
    
         -M memory
                 指定在生成 DH-GEXS 候选素数的时候最大内存用量(MB)。
    
         -N new_passphrase
                 提供一个新的密语。
    
         -P passphrase
                 提供(旧)密语。
    
         -p      要求改变某私钥文件的密语而不重建私钥。程序将提示输入私钥文件名、原来的密语、以及两次输入新密语。
    
         -q      安静模式。用于在 /etc/rc 中创建新密钥的时候。
    
         -R hostname
                 从 known_hosts 文件中删除所有属于 hostname 的密钥。
                 这个选项主要用于删除经过散列的主机(参见 -H 选项)的密钥。
    
         -r hostname
                 打印名为 hostname 的公钥文件的 SSHFP 指纹资源记录。
    
         -S start
                 指定在生成 DH-GEX 候选模数时的起始点(16进制)。
    
         -T output_file
                 测试 Diffie-Hellman group exchange 候选素数(由 -G 选项生成)的安全性。
    
         -t type
                 指定要创建的密钥类型。可以使用:"rsa1"(SSH-1) "rsa"(SSH-2) "dsa"(SSH-2)
    
         -U reader
                 把现存的RSA私钥上传到智能卡 reader
    
         -v      详细模式。ssh-keygen 将会输出处理过程的详细调试信息。常用于调试模数的产生过程。
                 重复使用多个 -v 选项将会增加信息的详细程度(最大3次)。
    
         -W generator
                 指定在为 DH-GEX 测试候选模数时想要使用的 generator
    
         -y      读取OpenSSH专有格式的公钥文件,并将OpenSSH公钥显示在 stdout 上。
    ssh-copy-id的参数有:
    
        -i #指定密钥文件
        -p #指定端口,默认端口号是22
        -o <ssh -o options>
        user@]hostname #用户名@主机名
        -f: force mode -- copy keys without trying to check if they are already installed
        -n: dry run    -- no keys are actually copied
        -h|-?: 显示帮助

     

     

     

     

     

     

     

     

    展开全文
  • 1:先进入主机,在家目录下创建.ssh目录,给予700的权限 mkdir .ssh chmod 700 .ssh 创建authorized_keys文件,给予600的...2:在.ssh目录下,利用ssh-keygen新建密钥, 执行完成后,会生成两个文件,id_rsa和id_

    1:先进入主机,在家目录下创建.ssh目录,给予700的权限

    mkdir .ssh

    chmod 700 .ssh

    创建authorized_keys文件,给予600的的权限

    touch authorized_keys 

    chmod 600 authorized_keys

    2:在.ssh目录下,利用ssh-keygen新建密钥,


    执行完成后,会生成两个文件,id_rsaid_rsa.pubid_rsa为公钥下载到本地,放在用户家目录下新建文件夹.ssh ;id_rsa.pub为私钥写入authorized_keys文件里,cat id_rsa.pub >> authorized_keys。id_rsa配置到自己的客户端上。

    3:进入/etc/ssh/目录下,vi sshd_config

    #打开

    RSAAuthentication yes
    PubkeyAuthentication yes
    AuthorizedKeysFile      .ssh/authorized_keys

    HostKey /etc/ssh/ssh_host_rsa_key


    :

    4:#重启ssh,需要root权限

    service sshd restart

    source ~/.bash_profile

    展开全文
  • 1.生成公钥私钥 $ ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/home/leon/.ssh/id_rsa): testa Enter passphrase (empty for no passphrase): ...

    1.生成公钥私钥
    $ ssh-keygen -t rsa
    Generating public/private rsa key pair.
    Enter file in which to save the key (/home/leon/.ssh/id_rsa): testa
    Enter passphrase (empty for no passphrase):
    Enter same passphrase again:
    Your identification has been saved in testa.
    Your public key has been saved in testa.pub.
    The key fingerprint is:
    85:97:91:94:4a:21:00:d5:08:e3:cc:b0:63:0b:0f:cf leon@xxxx

    将testa拷入/home/leon/.ssh/id_rsa
    将testa.pub拷入/home/leon/.ssh/authorized_keys

    这两个文件同时可以拷给其他linux机器相应的.ssh目录下。
    这时用scp等拷贝文件时也不必输密码了。

    2.

    用超级用户权限修改/etc/ssh/sshd_config

    RSAAuthentication yes
    PubkeyAuthentication yes
    AuthorizedKeysFile      .ssh/authorized_keys

    如果同时修改:
    ChallengeResponseAuthentication no
    PasswordAuthentication no
    UsePAM no
    则会禁止采用password登录

    重启sshd
    service sshd restart

    如果不修改.ssh为0700,将打印
    Server refused our key

    这是为了防止私钥被人拷走设的权限保护。

    3.将testa的私钥传到windows下
    用putty的puttygen导入该文件,再保存私钥为zhh.ppk,公钥为zhh.pub
    因为putty的rsa的私钥和openssh的不兼容,所以要导一下。

    4.putty配置ssh的auth的key文件为刚生成的zhh.ppk。
    ssh的data也可以将用户名配为登录用户zhouhh,否则putty登录时会提示用户名。

    5.连接服务器,不用输入密码直接登录了。

    展开全文
  • 第一步:先在一台服务器生成秘钥对 命令 ssh-keygen -t rsa第二步:把公钥上传到另一台服务器,想用哪个账号登录就上传到哪个目录下命令 scp id_rsa.pub root@47.xxx.xx.xx:/root第三步:登录另一台服务器,再将...

    第一步:先在一台服务器生成秘钥对

       命令 ssh-keygen -t rsa

    第二步:把公钥上传到另一台服务器,想用哪个账号登录就上传到哪个目录下

    命令 scp id_rsa.pub root@47.xxx.xx.xx:/root


    第三步:登录另一台服务器,再将公钥文件追加到 .ssh/authorized_keys,如果没有authorized_keys ,那么就新建一个

    命令 cat id_rsa.pub >> .ssh/authorized_keys


    重启ssh服务

    命令 service sshd restart


    第四步:把服务器生成的私钥拷贝到自己的电脑里,可以用XFTP传输过来,.ssh目录是隐藏的,需要设置一下


    传输私钥到本地,保存好


    第五步:用xshell连接服务器,这里采用秘钥的方式连接,不需要输入密码


    这里选择秘钥文件,点击确定即可登录



    展开全文
  • 通过公钥-密钥方式登陆linux,相当于任何持有不加密的密钥的用户都可以顺利登陆到linux上,这点充分说明了对密钥进行加密的重要性,有人说,原本采用密钥的方式进行登陆就是为了避免繁杂的密码输入过程,采用密钥...
  • 使用密钥登陆Linux

    2017-07-28 18:01:26
    近期申请了一台阿里云虚拟机做测试,但是出现了异常登陆,为了加强虚拟机安全,禁止密码登陆,操作如下: 使用XSHELL远程登陆阿里云,先使用XSHELL创建密钥: 工具—>新建用户密钥生成向导—>选择密钥类型和长度—...
  • 客户端通过密钥SSh登陆Linux的条件: 服务器端登陆账户home目录下的.ssh文件夹存在公钥,命名authorized_keys 客户端拥有与公钥配对的私钥 下面以win 10通过自带的OpenSSH客户端以密钥方式登陆Ubuntu为例进行说明 ...
  • xshell使用密钥登陆linux 一、环境 CentOS 7.4 xshell 6 二、介绍 远程ssh连接服务器 默认是用的密码验证的方式,这样的验证方式会有安全隐患,容易被人暴力破解用户密码。如果改成用密钥登陆服务器,就会消除这一...
  • Linux实现密钥登陆

    2019-09-26 19:04:54
    公司为了安全,一直都采用密钥登陆远程SSH,现在有了自己的服务器,自己又学者配了一把,下面就是配置笔记。 1.登陆未设置密钥的Linux服务器 2.工具新建用户密钥生成向导 3.选择生成密钥的加密方式和长度 4....
  • 如果改成用密钥登陆服务器,就会消除这一安全隐患。三、设置方法1、xshell生成密钥 打开xshell,点击工具-新建用户密钥生成向导,如图: 这里的密钥类型和密钥长度保持默认,单击下一步: 继续单击下一步: ...
  • 检查本地MAC是否生成了密钥(公钥id_rsa.pub、私钥id_rsa) ll -a ~/.ssh 没有rsa文件就生成密钥 yum -y install openssh-clients ssh-keygen -t rsa -C "jo@Mac" 然后一路回车默认保存在用户home目录下的.ssh/下 ...
  • 密钥登陆Linux服务器

    2019-07-13 15:03:28
    Linux VPS/服务器的使用越来越多,Linux的安全问题也需要日渐加强。我们远程线上的服务器,通常是通过密码方式(ip+帐号+密码,可能还多一个ssh端口)登录,如果密码不够强壮,那么系统将是灰常不安全的。 下面介绍...
  • 1、被登陆机器用户家目录下 .ssh 目录下新建 authorized_keys 文件用于存放允许登陆机器的公钥 2、修改被登陆机器的/etc/ssh/sshd_config 文件 RSAAuthentication yes PubkeyAuthentication yes ...
  • 首先,ssh的数据传输是对称加密的,加密算法需要一个密钥对数据进行加密解密。 对称密钥由客户端生成,使用服务器端发送来的公钥加密(由于体系原因,这个公钥的正确性必须由客户端自行确认,于是在第一次会话时...
  • SSH生成密钥登陆Linux

    2010-12-23 16:24:51
    # Linux服务端生成 SSH 需要的目录 cd ~ mkdir ~/.ssh # 给可执行权限 chmod 700 .ssh # 编辑SSH配置文件 vi /etc/ssh/sshd_config # 重启sshd服务 /etc/init.d/sshd restart # 查看重...
  • 实验目的:在客户端B上使用密钥验证的方式登录服务端A。 ·········································································...
  • 使用密钥认证机制远程登录linux SSH 为 Secure Shell 的缩写,由 IETF 的网络工作小组(Network Working Group)所制定。 SSH 为建立在应用层和传输层基础上的安全协议。 首先使用工具 PUTTYGEN.EXE 生成密钥对。...
  • Linux 无法密钥登陆

    2014-10-05 11:23:13
    今天测试密钥登入linux系统时 出现如下问题: root@node-1:~# ssh -i algoblu.pem root@10.100.0.16 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: UNPROTECTED PRIVATE KEY FILE...
  • 2, 打开puttygen,单击Generate 生成密钥,save privatekey 保存密钥。 3, 复制公钥到Linux 1, mkdir /root/.ssh //创建/root/.ssh 目录,这个目录默认是不存在的。 2, chmod 700 /root/.ssh //更...
  • 步骤: ... ... 3.在linux下执行 ssh-keygen -t rsa(不输入内容连续按回车),会创建/root/.ssh/目录并在此目录生成一个私钥id_rsa和一个公钥id_rsa.pub,(此处生成的密钥对不使用,主要用于生成/r...
1 2 3 4 5 ... 20
收藏数 19,142
精华内容 7,656
关键字:

密钥登陆linux