Linux SSH配置和禁止Root遠(yuǎn)程登陸設(shè)置文檔

/LinuxSSH配置和禁止Root遠(yuǎn)程登陸設(shè)置2010-01-0713:161、servicesshdrestart

或者/etc/init.d/sshdrestart（ssh服務(wù)器重啟）

一、修改vi/etc/ssh/sshd_config文件

1、修改默認(rèn)端口：默認(rèn)Port為22,并且已經(jīng)注釋掉了；修改是把注釋去掉，并修改成其它的端口。

2、禁止root用戶遠(yuǎn)程登陸：修改PermitRootLogin，默認(rèn)為yes且注釋掉了；修改是把注釋去掉，并改成no。

3、PermitEmptyPasswords

no不允許空密碼用戶login

二、ssh的公鑰認(rèn)證配置：

修改vi/etc/ssh/sshd_config文件

RSAAuthenticationyes

#啟用RSA認(rèn)證（默認(rèn)是注釋掉的，將注釋去掉，如果不是yes，改為yes）

PubkeyAuthenticationyes

#啟用公鑰認(rèn)證（默認(rèn)是注釋掉的，將注釋去掉，如果不是yes，改為yes）

PasswordAuthenticationno

#禁止密碼認(rèn)證(改為no,默認(rèn)為yes是用密碼認(rèn)證)

StrictModesno

#修改為no,默認(rèn)為yes.如果不修改用key登陸是出現(xiàn)serverrefusedourkey(如果StrictModes為yes必需保證存放公鑰的文件夾的擁有與登陸用戶名是相同的.“StrictModes”設(shè)置ssh在接收登錄請求之前是否檢查用戶家目錄和rhosts文件的權(quán)限和所有權(quán)。這通常是必要的，因為新手經(jīng)常會把自己的目錄和文件設(shè)成任何人都有寫權(quán)限。)

之后重新啟動ssh服務(wù):/etc/init.d/sshrestart

生成登陸公鑰與私鑰，

[root@usousou192_168_0_21ssh]#ssh-keygen-trsa

Generatingpublic/privatersakeypair.

Enterwhichtosavethekey(/root/.ssh/id_rsa):/home/linden.guo/.ssh/id_rsa(生成私鑰與公鑰存放位置)

Enterpassphrase(emptyfornopassphrase):輸入密碼

Entersamepassphraseagain:再次輸入密碼

Youridentificationhasbeensavedin/home/linden.guo/.ssh/id_rsa.

(生成的私鑰)

Yourpublickeyhasbeensavedin/home/linden.guo/.ssh/id_rsa.pub.(生成的公鑰)

Thekeyfingerprintis:

76:04:4d:44:25:37:0f:b1:a5:b7:6e:63:d4:97:22:6broot@usousou192_168_0_21

將生成的公鑰匙id_rsa.pub傳到要登陸的服務(wù)器上并追加到authorized_keys文件中，放到用戶目錄的.ssh中catid_rsa.pub>>.ssh/authorized_keys(如果沒有authorized_keys，可直接將id_rsa.pub重命名為authorized_keys,自己認(rèn)為，沒有測試過)

使用putty連接ssh服務(wù)器。為了使用公鑰認(rèn)證，我們需要同時下載puttygen這個工具來生成putty所使用的密鑰

如果你按照上面的介紹，在Linux下生成了公鑰和密鑰的話，那么需要利用puttygen將密鑰轉(zhuǎn)換成putty使用的格式。將Linux下生成的密鑰id_rsa復(fù)制到Windows下。啟動puttygen，然后單擊Load按鈕，選擇文件類型為所有文件，然后選擇id_rsa，打開。若在生成密鑰時輸入了密碼，則打開時需要輸入該密碼(用linux生成密鑰時輸入的密碼)。之后就可以在puttygen的主界面上單擊Saveprivatekey，保存成putty格式的密鑰。

最好確定用戶目錄下的.ssh文件夾對于擁有者有讀寫執(zhí)行的權(quán)限，最低要有執(zhí)行權(quán)限，如700或者100；authorized_keys文件中有讀的權(quán)限

注：AuthorizedKeysFile

.ssh/authorized_keys（認(rèn)證文件的目錄與公鑰文件名稱，可以修改，并且相應(yīng)目錄也要修改，如AuthorizedKeysFile

.sshd/linden.guo_keys，需要在用戶目錄下建立.sshd文件夾，將linden.guo_keys文件放到下面）

為什么要使用公鑰認(rèn)證

通常，通過ssh登錄遠(yuǎn)程服務(wù)器時，使用密碼認(rèn)證，分別輸入用戶名和密碼，兩者滿足一定規(guī)則就可以登錄。但是密碼認(rèn)證有以下的缺點(diǎn)：

用戶無法設(shè)置空密碼（即使系統(tǒng)允許空密碼，也會十分危險）

密碼容易被人偷窺或猜到

服務(wù)器上的一個帳戶若要給多人使用，則必須讓所有使用者都知道密碼，導(dǎo)致密碼容易泄露，而且修改密碼時必須通知所有人

而使用公鑰認(rèn)證則可以解決上述問題。

公鑰認(rèn)證允許使用空密碼，省去每次登錄都需要輸入密碼的麻煩

多個使用者可以通過各自的密鑰登錄到系統(tǒng)上的同一個用戶

公鑰認(rèn)證的原理

所謂的公鑰認(rèn)證，實(shí)際上是使用一對加密字符串，一個稱為公鑰(publickey)，任何人都可以看到其內(nèi)容，用于加密；另一個稱為密鑰(privatekey)，只有擁有者才能看到，用于解密。通過公鑰加密過的密文使用密鑰可以輕松解密，但根據(jù)公鑰來猜測密鑰卻十分困難。

ssh的公鑰認(rèn)證就是使用了這一特性。服務(wù)器和客戶端都各自擁有自己的公鑰和密鑰。為了說明方便，以下將使用這些符號。

Ac客戶端公鑰

Bc客戶端密鑰

As服務(wù)器公鑰

Bs服務(wù)器密鑰

在認(rèn)證之前，客戶端需要通過某種方法將公鑰Ac登錄到服務(wù)器上。

認(rèn)證過程分為兩個步驟。

會話密鑰(sessionkey)生成

客戶端請求連接服務(wù)器，服務(wù)器將As發(fā)送給客戶端。

服務(wù)器生成會話ID(sessionid)，設(shè)為p，發(fā)送給客戶端。

客戶端生成會話密鑰(sessionkey)，設(shè)為q，并計算r=pxorq。

客戶端將r用As進(jìn)行加密，結(jié)果發(fā)送給服務(wù)器。

服務(wù)器用Bs進(jìn)行解密，獲得r。

服務(wù)器進(jìn)行rxorp的運(yùn)算，獲得q。

至此服務(wù)器和客戶端都知道了會話密鑰q，以后的傳輸都將被q加密。

認(rèn)證

服務(wù)器生成隨機(jī)數(shù)x，并用Ac加密后生成結(jié)果S(x)，發(fā)送給客戶端

客戶端使用Bc解密S(x)得到x

客戶端計算q+x的md5值n(q+x)，q為上一步得到的會話密鑰

服務(wù)器計算q+x的md5值m(q+x)

客戶端將n(q+x)發(fā)送給服務(wù)器

服務(wù)器比較m(q+x)和n(q+x)，兩者相同則認(rèn)證成功

服務(wù)器端設(shè)置

使用公鑰認(rèn)證需要對服務(wù)器進(jìn)行一些設(shè)置。修改/etc/sshd_config的以下配置。

RSAAuthenticationyes

#啟用RSA認(rèn)證

PubkeyAuthenticationyes

#啟用公鑰認(rèn)證

PasswordAuthenticationno

#禁止密碼認(rèn)證StrictModesno

#修改為no,默認(rèn)為yes.如果不修改用key登陸是出現(xiàn)serverrefusedourkey然后重新啟動sshd。

/etc/init.d/sshrestart客戶端設(shè)置

Linux

假設(shè)客戶端的用戶charlee要以guest用戶登錄到服務(wù)器上。首先在客戶端執(zhí)行下面的命令。

[charlee@client:~]$ssh-keygen-trsa

Generatingpublic/privatersa1keypair.

Enterwhichtosavethekey(/home/charlee/.ssh/id_rsa):

Enterpassphrase(emptyfornopassphrase):輸入密碼

Entersamepassphraseagain:

再次輸入密碼

Youridentificationhasbeensabedin/home/charlee/.ssh/id_rsa

Yourpublickeyhasbeensavedin/home/charlee/.ssh/id_rsa.pub生成的文件保存在主目錄的.ssh目錄下，id_rsa為客戶端密鑰，id_rsa.pub為客戶端公鑰。

之后，通過U盤等方式將公鑰id_rsa.pub復(fù)制到服務(wù)器上，并執(zhí)行下列命令。

[guest@server:~]$catid_rsa.pub>>.ssh/authorized_keys其中id_rsa.pub是客戶端的用戶charlee的公鑰。

這樣在客戶端即可通過以下的命令連接服務(wù)器。

[charlee@client:~]$ssh-lguestserver若不想每次登錄服務(wù)器時都輸入密碼，可以先執(zhí)行下列命令：

[charlee@client:~]$ssh-add

Enterpassphrasefor/home/charlee/.ssh/id_rsa:輸入密碼

Identityadded:/home/charlee/.ssh/id_rsa(/home/charlee/.ssh/id_rsa)以后登錄服務(wù)器就不需要輸入密碼了。

Windows

假設(shè)我們使用putty連接ssh服務(wù)器。為了使用公鑰認(rèn)證，我們需要同時下載puttygen這個工具來生成putty所使用的密鑰。

使用Linux下生成的公鑰和密鑰的情況

如果你按照上面的介紹，在Linux下生成了公鑰和密鑰的話，那么需要利用puttygen將密鑰轉(zhuǎn)換成putty使用的格式。

將Linux下生成的密鑰id_rsa復(fù)制到Windows下。啟動puttygen，然后單擊Load按鈕，選擇文件類型為所有文件，然后選擇id_rsa，打開。若在生成密鑰時輸入了密碼，則打開時需要輸入該密碼。之后就可以在puttygen的主界面上單擊Saveprivatekey，保存成putty格式的密鑰。

使用puttygen生成公鑰和密鑰

你也可以利用puttygen直接生成公鑰和密鑰。打開puttygen，然后在畫面下方的Parameters欄選擇加密算法和加密長度（一般取默認(rèn)值即可），最后單擊Generate。畫面上會出現(xiàn)一個進(jìn)度條，在界面上隨意移動鼠標(biāo)以生成隨機(jī)數(shù)。最后提示生成結(jié)束，單擊Saveprivatekey按鈕保存密鑰。最后將上方的PublickeyforpastingintoOpenSSHauthorized_keysfile欄中的內(nèi)容復(fù)制到Li