Linux SSH配置和禁止Root遠(yuǎn)程登陸設(shè)置文檔.doc

Linux SSH配置和禁止Root遠(yuǎn)程登陸設(shè)置2010-01-07 13:161、service sshd restart 或者 /etc/init.d/sshd restart（ssh服務(wù)器重啟） 一、修改vi /etc/ssh/sshd_config 文件1、修改默認(rèn)端口：默認(rèn)Port為22,并且已經(jīng)注釋掉了；修改是把注釋去掉，并修改成其它的端口。2、禁止root用戶遠(yuǎn)程登陸：修改PermitRootLogin，默認(rèn)為yes且注釋掉了；修改是把注釋去掉，并改成no。3、PermitEmptyPasswords no不允許空密碼用戶login二、ssh的公鑰認(rèn)證配置：修改vi /etc/ssh/sshd_config 文件RSAAuthentication yes # 啟用 RSA 認(rèn)證（默認(rèn)是注釋掉的，將注釋去掉，如果不是yes，改為yes）PubkeyAuthentication yes # 啟用公鑰認(rèn)證（默認(rèn)是注釋掉的，將注釋去掉，如果不是yes，改為yes）PasswordAuthentication no # 禁止密碼認(rèn)證(改為no,默認(rèn)為yes是用密碼認(rèn)證)StrictModes no #修改為no,默認(rèn)為yes.如果不修改用key登陸是出現(xiàn)server refused our key(如果StrictModes為yes必需保證存放公鑰的文件夾的擁有與登陸用戶名是相同的.“StrictModes”設(shè)置ssh在接收登錄請(qǐng)求之前是否檢查用戶家目錄和rhosts文件的權(quán)限和所有權(quán)。這通常是必要的，因?yàn)樾率纸?jīng)常會(huì)把自己的目錄和文件設(shè)成任何人都有寫權(quán)限。)之后重新啟動(dòng)ssh服務(wù):/etc/init.d/ssh restart生成登陸公鑰與私鑰，rootusousou192_168_0_21 ssh# ssh-keygen -t rsaGenerating public/private rsa key pair.Enter file in which to save the key (/root/.ssh/id_rsa): /home/linden.guo/.ssh/id_rsa (生成私鑰與公鑰存放位置)Enter passphrase (empty for no passphrase): 輸入密碼Enter same passphrase again:再次輸入密碼Your identification has been saved in /home/linden.guo/.ssh/id_rsa. (生成的私鑰)Your public key has been saved in /home/linden.guo/.ssh/id_rsa.pub. (生成的公鑰)The key fingerprint is:76:04:4d:44:25:37:0f:b1:a5:b7:6e:63:d4:97:22:6b rootusousou192_168_0_21將生成的公鑰匙id_rsa.pub傳到要登陸的服務(wù)器上并追加到authorized_keys文件中，放到用戶目錄的.ssh中 cat id_rsa.pub .ssh/authorized_keys (如果沒有authorized_keys，可直接將id_rsa.pub重命名為authorized_keys,自己認(rèn)為，沒有測(cè)試過)使用putty連接ssh服務(wù)器。為了使用公鑰認(rèn)證，我們需要同時(shí)下載 puttygen 這個(gè)工具來生成 putty 所使用的密鑰如果你按照上面的介紹，在Linux下生成了公鑰和密鑰的話，那么需要利用 puttygen 將密鑰轉(zhuǎn)換成 putty 使用的格式。將Linux下生成的密鑰 id_rsa 復(fù)制到 Windows 下。啟動(dòng) puttygen，然后單擊Load按鈕，選擇文件類型為所有文件，然后選擇 id_rsa，打開。若在生成密鑰時(shí)輸入了密碼，則打開時(shí)需要輸入該密碼(用linux生成密鑰時(shí)輸入的密碼)。之后就可以在 puttygen 的主界面上單擊 Save private key，保存成 putty 格式的密鑰。最好確定用戶目錄下的.ssh文件夾對(duì)于擁有者有讀寫執(zhí)行的權(quán)限，最低要有執(zhí)行權(quán)限，如700或者100；authorized_keys文件中有讀的權(quán)限注：AuthorizedKeysFile .ssh/authorized_keys（認(rèn)證文件的目錄與公鑰文件名稱，可以修改，并且相應(yīng)目錄也要修改，如AuthorizedKeysFile .sshd/linden.guo_keys，需要在用戶目錄下建立.sshd文件夾，將linden.guo_keys文件放到下面）為什么要使用公鑰認(rèn)證通常，通過ssh登錄遠(yuǎn)程服務(wù)器時(shí)，使用密碼認(rèn)證，分別輸入用戶名和密碼，兩者滿足一定規(guī)則就可以登錄。但是密碼認(rèn)證有以下的缺點(diǎn)：用戶無法設(shè)置空密碼（即使系統(tǒng)允許空密碼，也會(huì)十分危險(xiǎn)） 密碼容易被人偷窺或猜到 服務(wù)器上的一個(gè)帳戶若要給多人使用，則必須讓所有使用者都知道密碼，導(dǎo)致密碼容易泄露，而且修改密碼時(shí)必須通知所有人而使用公鑰認(rèn)證則可以解決上述問題。公鑰認(rèn)證允許使用空密碼，省去每次登錄都需要輸入密碼的麻煩 多個(gè)使用者可以通過各自的密鑰登錄到系統(tǒng)上的同一個(gè)用戶公鑰認(rèn)證的原理所謂的公鑰認(rèn)證，實(shí)際上是使用一對(duì)加密字符串，一個(gè)稱為公鑰(public key)，任何人都可以看到其內(nèi)容，用于加密；另一個(gè)稱為密鑰(private key)，只有擁有者才能看到，用于解密。通過公鑰加密過的密文使用密鑰可以輕松解密，但根據(jù)公鑰來猜測(cè)密鑰卻十分困難。ssh 的公鑰認(rèn)證就是使用了這一特性。服務(wù)器和客戶端都各自擁有自己的公鑰和密鑰。為了說明方便，以下將使用這些符號(hào)。Ac 客戶端公鑰 Bc 客戶端密鑰 As 服務(wù)器公鑰 Bs 服務(wù)器密鑰 在認(rèn)證之前，客戶端需要通過某種方法將公鑰 Ac 登錄到服務(wù)器上。認(rèn)證過程分為兩個(gè)步驟。會(huì)話密鑰(session key)生成 客戶端請(qǐng)求連接服務(wù)器，服務(wù)器將 As 發(fā)送給客戶端。 服務(wù)器生成會(huì)話ID(session id)，設(shè)為 p，發(fā)送給客戶端。 客戶端生成會(huì)話密鑰(session key)，設(shè)為 q，并計(jì)算 r = p xor q。 客戶端將 r 用 As 進(jìn)行加密，結(jié)果發(fā)送給服務(wù)器。 服務(wù)器用 Bs 進(jìn)行解密，獲得 r。 服務(wù)器進(jìn)行 r xor p 的運(yùn)算，獲得 q。 至此服務(wù)器和客戶端都知道了會(huì)話密鑰q，以后的傳輸都將被 q 加密。認(rèn)證 服務(wù)器生成隨機(jī)數(shù) x，并用 Ac 加密后生成結(jié)果 S(x)，發(fā)送給客戶端 客戶端使用 Bc 解密 S(x) 得到 x 客戶端計(jì)算 q + x 的 md5 值 n(q+x)，q為上一步得到的會(huì)話密鑰 服務(wù)器計(jì)算 q + x 的 md5 值 m(q+x) 客戶端將 n(q+x) 發(fā)送給服務(wù)器 服務(wù)器比較 m(q+x) 和 n(q+x)，兩者相同則認(rèn)證成功服務(wù)器端設(shè)置使用公鑰認(rèn)證需要對(duì)服務(wù)器進(jìn)行一些設(shè)置。修改 /etc/sshd_config 的以下配置。RSAAuthentication yes # 啟用 RSA 認(rèn)證PubkeyAuthentication yes # 啟用公鑰認(rèn)證PasswordAuthentication no # 禁止密碼認(rèn)證StrictModes no #修改為no,默認(rèn)為yes.如果不修改用key登陸是出現(xiàn)server refused our key然后重新啟動(dòng) sshd。/etc/init.d/ssh restart客戶端設(shè)置Linux假設(shè)客戶端的用戶 charlee 要以 guest 用戶登錄到服務(wù)器上。首先在客戶端執(zhí)行下面的命令。charleeclient:$ ssh-keygen -t rsaGenerating public/private rsa1 key pair.Enter file in which to save the key (/home/charlee/.ssh/id_rsa):Enterpassphrase (empty for no passphrase): 輸入密碼Enter same passphrase again: 再次輸入密碼Your identification has been sabed in /home/charlee/.ssh/id_rsaYour public key has been saved in /home/charlee/.ssh/id_rsa.pub生成的文件保存在主目錄的 .ssh 目錄下，id_rsa為客戶端密鑰，id_rsa.pub 為客戶端公鑰。之后，通過 U 盤等方式將公鑰 id_rsa.pub 復(fù)制到服務(wù)器上，并執(zhí)行下列命令。guestserver:$ cat id_rsa.pub .ssh/authorized_keys其中 id_rsa.pub 是客戶端的用戶 charlee 的公鑰。這樣在客戶端即可通過以下的命令連接服務(wù)器。charleeclient:$ ssh -l guest server若不想每次登錄服務(wù)器時(shí)都輸入密碼，可以先執(zhí)行下列命令：charleeclient:$ ssh-addEnter passphrase for /home/charlee/.ssh/id_rsa: 輸入密碼Identity added: /home/charlee/.ssh/id_rsa (/home/charlee/.ssh/id_rsa)以后登錄服務(wù)器就不需要輸入密碼了。Windows假設(shè)我們使用putty連接ssh服務(wù)器。為了使用公鑰認(rèn)證，我們需要同時(shí)下載 puttygen 這個(gè)工具來生成 putty 所使用的密鑰。使用Linux下生成的公鑰和密鑰的情況如果你按照上面的介紹，在Linux下生成了公鑰和密鑰的話，那么需要利用 puttygen 將密鑰轉(zhuǎn)換成 putty 使用的格式。將Linux下生成的密鑰 id_rsa 復(fù)制到 Windows 下。啟動(dòng) puttygen，然后單擊Load按鈕，選擇文件類型為所有文件，然后選擇 id_rsa，打開。若在生成密鑰時(shí)輸入了密碼，則打開時(shí)需要輸入該密碼。之后就可以在 puttygen 的主界面上單擊 Save private key，保存成 putty 格式的密鑰。使用puttygen生成公鑰和密鑰你也可以利用 puttygen 直接生成公鑰和密鑰。打開 puttygen，然后在畫面下方的 Parameters 欄選擇加密算法和加密長(zhǎng)度（一般取默認(rèn)值即可），最后單擊 Generate。畫面上會(huì)出現(xiàn)一個(gè)進(jìn)度條，在界面上隨意移動(dòng)鼠標(biāo)以生成隨機(jī)數(shù)。最后提示生成結(jié)束，單擊 Save private key 按鈕保存密鑰。最后將上方的Public key for pasting into OpenSSH authorized_keys file欄中的內(nèi)容復(fù)制到 Linux 下用戶主目錄下的