虚拟主机域名注册-常见问题 → 服务器知识 → 操作系统 | ||||
本文提供的说明适用于通过SSH连接到Debian服务器的Debian PC。但是,Debian不是先决条件,因为其他Linux发行版的命令非常相似。 说明了示例中使用的网络设置。 它由本地网络上的Debian PC和Internet上的Debian Linux服务器组成。 ![]() 一、背景资料 设置具有SSH访问权限的Linux服务器后,通常可以通过提供用户名和密码来登录。这很好,但是安全性如何?对于面向Internet的服务器,只有一个人确定其IP地址并确定服务器接受SSH连接才是时间问题。那些怀有恶意的人可以运行自动化脚本,以不断尝试通过SSH获得访问权限。每次尝试连接时,他们都会尝试使用不同的用户名和密码,以希望他们可以登录。他们的最终目标是控制您的服务器。作为服务器的管理员,您想不惜一切代价避免发生这种噩梦。 降低这种意外情况发生风险的一种方法是生成SSH密钥并将其复制到服务器。理想情况下,设置服务器后请尽快执行此操作。之后,您可以使用用户名和密码完全禁用SSH登录。请注意,后面的部分将在以后的文章中介绍。 二、什么是SSH密钥? SSH密钥本质上由两个属于在一起的文件组成。一个称为公钥,另一个称为私钥。此密钥对形成独特的组合,其内容基于难以破解的密码学。由于这些特性,另一个密钥对几乎不可能相同,因此使其成为用于SSH身份验证的理想且安全的选项。您的服务器拥有公钥的副本,而私钥应仅位于您的PC上。顾名思义,请勿与其他任何人共享私钥。 三、生成SSH密钥对 第一步,我们生成一个新的SSH密钥对。您可以在自己的PC上执行此步骤。在Linux上,该~/.ssh目录指定用于存储SSH密钥。因此,让我们开始打开终端并转到以下目录: cd ~/.ssh 如果收到错误消息指出该目录没有退出,请使用以下命令创建它: mkidr ~/.ssh 现在您在正确的目录中,通过输入以下命令开始SSH密钥对创建过程: ssh-keygen 程序提示您输入密钥对的文件名。在此示例中,我指定debian_server为名称,但是您可以将其更改为您喜欢的任何名称。接下来,程序提示您输入密码。这是您选择的文本字符串,每次使用密钥进行身份验证时都需要输入。为了方便起见,您只需按Enter两次即可将密码短语留空。您现在拥有一个崭新的SSH密钥对品牌。调用debian_server私钥文件,并调用公钥文件debian_server.pub: 终端屏幕截图显示了如何在程序ssh-keygen的帮助下生成新的RSA 2048 SSH密钥对。 ![]() 四、Putty用户须知 生成的私钥文件可与所有主要Linux发行版上默认提供的OpenSSH工具配合使用。如果您还运行Windows并想从该操作系统连接到服务器,则可以使用Putty程序通过SSH连接到服务器。不幸的是,Putty无法理解生成的私钥文件的格式。相反,它期望带有.ppk扩展名的文件。幸运的是,可以使用工具来生成此.ppk版本的私钥文件。 首先安装必要的软件包。在Debian下运行命令: sudo apt install putty-tools 接下来,在~/.ssh目录中打开终端,然后输入以下命令以生成debian_server.ppk用于Putty 的私钥文件: puttygen debian_server -o debian_server.ppk 五、注册私密SSH密钥 在Debian和大多数其他Linux发行版中,SSH身份验证代理在后台运行。如果您在身份验证代理中注册新创建的私有SSH密钥文件,则无需在每次通过SSH连接到服务器时都指定私有SSH密钥文件的名称和位置。因此,这一步骤不是绝对必要的,但是它使您的服务器管理工作变得更加便捷。 注册私有SSH密钥文件之前,请打开终端并验证SSH身份验证代理是否正在实际运行。接下来,借助ssh-add程序进行注册: eval "$(ssh-agent -s)" ssh-add ~/.ssh/debian_server 向私有SSH密钥文件显示的终端屏幕截图已向SSH身份验证代理注册。 ![]() 这样就可以在您自己的PC上完成私密SSH密钥文件的设置。请注意,如果你需要注销从认证代理的SSH私钥文件,你可以用相同的命令并指定这样做的-D选项:ssh-add -D ~/.ssh/debian_server。 六、将SSH密钥复制到服务器 完成所有SSH密钥对设置的最后一步是将公用SSH密钥文件复制到您的服务器。因此,当前仍可通过SSH使用普通用户名和密码访问的服务器。出于示例目的,我将使用在VirtualBox中为上一教程创建的Debian服务器来演示此步骤。它的主机名是debianvm,我的用户名与PC上的用户名相同a5idc。 要将公共SSH密钥文件复制到您的服务器,请运行以下命令,只需将a5idc用户名和debianvm主机名替换为适用于特定服务器的值即可: ssh-copy-id -i debian_server.pub a5idc@debianvm ![]() 终端屏幕截图解释了如何在ssh-copy-id程序的帮助下将SSH密钥复制到服务器。 这会将公共SSH密钥文件添加到~/.ssh/authorizedkeys您的服务器上。 七、使用SSH密钥进行身份验证 到目前为止,我们已经生成了一个新的SSH密钥对,并在您自己的PC上运行的SSH身份验证代理中注册了私有SSH密钥文件,并将公共SSH密钥文件复制到了您的服务器上。剩下要做的唯一一件事就是验证我们现在可以使用SSH实际连接到服务器并使用新的SSH密钥对进行身份验证。 您可以运行常规命令以使用SSH连接到服务器。所以ssh@ip-address还是ssh@hostname。成功设置SSH密钥对后,您会发现不再需要输入密码: 终端屏幕截图,显示您现在如何使用远程服务器上的SSH密钥对进行身份验证。 ![]() 这是通过SSH密钥进行SSH身份验证的最终证明。嘉裕云希望您喜欢本教程,并希望在此多补充两点: (1)确保不要将您的私密SSH密钥提供给任何其他人或将其存储在公共位置。如果他们拥有您的私密SSH密钥,则知道服务器的主机名和该服务器上的用户名,便可以访问。如果您担心这种情况会发生,请在生成SSH密钥对时输入一个密钥短语。这增加了一层额外的安全性。 (2)您可以将SSH密钥对重用于多个服务器。只需将SSH公用密钥文件复制到要使用同一ssh-copy-id命令管理的所有服务器上,如上一节所述。
|
||||
>> 相关文章 | ||||