Video在线视频

各位好

在本讲中

我们要讨论的是

如何为SSH服务器配置密钥认证登录

为了提高主机的安全级别

OpenSSH可以禁止用户

以密码身份认证的方式登录

而基于密钥身份认证的方式登录

首先修改SSH的配置文件/etc/ssh/sshd_config

禁止用户以密码认证身份的方式登录

打开/etc/ssh/sshd_config文件

找到这一行“PasswordAuthentication yes”

将yes改为no

并保存退出

修改完配置文件后

用service重新启动SSH服务 使新的设置生效

这时

在远程终端上用SSH客户端软件

以密码验证身份的方式就无法登录主机了

如果用PuTTY远程登录 则会弹出如下错误提示

现在我们已经不能用用户名加密码的方式登录了

要改用更高大上的密钥方式登录主机了

我们接下就要建立SSH使用的密钥

使得SSH客户端能够通过密钥验证的方式

以某个特定用户身份 例如nboocer登录主机

首先

主机管理员以nboocer的身份登录服务器

用ssh-keygen -t rsa命令建立密钥

注意ssh-keygen是一个完整的命令

而不是一个命令加上一个选项

这时提示正在生成建立一对rsa密钥

包括一个公钥和一个私钥

第二步要输入密钥的存放路径

我们直接按回车放置在

默认路径也即/nboocer/home/.ssh/目录下

第三步是两次输入私钥口令

好 密钥生成完成

命令告诉我们生成的私钥放在id_rsa文件中

生成的对应公钥放在id_rsa.pub文件中

同时显示密钥的指纹

也即密钥的MD5码

及用于让密钥指纹

更加直观的随机字符图 randomart image

我们来到用户/home/.ssh/目录下

确认一下公钥与私钥是否已经生成好

好 两个文件都在

我们接下来将公钥放入到

stu用户指定的公钥文件中

默认是家目录 /.ssh/authorized_keys文件

放入后将原公钥文件及时删除

最后修改公钥文件的读写属性为400

接下来

我们就可以将私钥文件

通过安全的方式分发给用户了

并将密钥的指纹用适当的方式进行公布

用户拿到私钥后

就可以用PuTTY客户端

以密钥认证的方式登录主机了

ssh-keygen命令生成的私钥

PuTTY无法直接使用

需要用PuTTYGen来转换为

PuTTY可以使用的私钥

下载运行PuTTYGen

出现如下窗口

点击Load

在文件类型中选择“All Files”

选取服务端生成的私钥id_rsa文件

点击OK

此时需要输入建立此私钥时的口令

在文本框中输入口令

开始转换私钥

如果转换成功

会弹出转换成功的提示窗口

点击确定进入下一步

接下来要将转换后的私钥

保存到适当的位置

该转换后的私钥将做为

PuTTY登录服务器时使用的私钥

点击“Save private key”

我们为私钥起了一个名字就叫nboocer

私钥的后缀总是.ppk,

选择适当的位置保存私钥

最后关闭PuTTYGen

下面我们开始用PuTTY远程登录服务器

双击启动PuTTY

在左侧SSH选项中找到

Auth一项

对连接时使用的私钥进行设定

点击Browse

选择刚刚用PuTTYGen

转换后的私钥nboocer.ppk文件

然后点击左侧的Session

回到主机连接信息的设置

填写余下的主机信息

并保存

最后点击“Open”登录

在弹出的登录窗口中输入的用户名

注意

在输入完用户名后

不会出现用户密码输入提示

因为在SSH服务器配置中

我们禁止了使用用户通过用户密码方式的登录

这时候会出现要求输入私钥口令的提示

这个口令就是在服务器端

建立nboocer用户私钥的时候设置的口令

输入私钥口令

使用私钥身份认证方式进行登录

成功联机

好 至此

我们就基本了解了如何为

SSH服务器配置密钥认证登录

谢谢您的观看

下次见