网页设计师必须知道的网站,广告发布计划怎么写,天津企业网站设计报价,网站建设人员职责CentOS设置证书登录并禁止密码登录普通用户登录时#xff0c;以往的做法往往是使用账号密码登录#xff0c;但是这样的登录方式风险相当高#xff0c;使用密钥登录能大大降低风险1. 生成密钥ssh 公钥认证是ssh认证的方式之一。通过公钥认证可实现ssh免密码登陆#xff0c;s…CentOS设置证书登录并禁止密码登录普通用户登录时以往的做法往往是使用账号密码登录但是这样的登录方式风险相当高使用密钥登录能大大降低风险1. 生成密钥ssh 公钥认证是ssh认证的方式之一。通过公钥认证可实现ssh免密码登陆ssh-keygen 可用来生成ssh公钥认证所需的公钥和私钥文件。使用 ssh-keygen 时请先进入到 ~/.ssh 目录不存在的话请先创建。并且保证 ~/.ssh 以及所有父目录的权限不能大于 711。使用 ssh-kengen 会在~/.ssh/目录下生成两个文件不指定文件名和密钥类型的时候默认生成的两个文件是id_rsa和id_rsa.pubid_rsa是私钥文件id_rsa.pub是公钥文件。生成ssh key的时候可以通过 -f 选项指定生成文件的文件名-C指定备注。ssh-keygen -t rsa -b 4096 -f test -C test key如果没有指定文件名会询问你输入文件名Generating public/private rsa key pair.Enter file in which to save the key (/home/huqiu/.ssh/id_rsa):之后会询问你是否需要输入密码。输入密码之后以后每次都要输入密码。请根据你的安全需要决定是否需要密码如果不需要直接回车Generating public/private rsa key pair.Enter passphrase (empty for no passphrase):为了让私钥文件和公钥文件能够在认证中起作用请确保权限正确。对于.ssh 以及父文件夹当前用户用户一定要有执行权限其他用户最多只能有执行权限。对于公钥和私钥文件也是: 当前用户一定要有执行权限其他用户最多只能有执行权限2. 将公钥copy到目标机器的~/.ssh目录下scp ~/.ssh/.pub root:~/.ssh/.pub# 例子# scp ~/.ssh/nighthawk.pub root192.168.31.15:~/.ssh/nighthawk.pub3. 将公钥设置为该服务器的登录公钥cat ~/.ssh/.pub ~/.ssh/authorized_keys# 例子# cat ~/.ssh/nighthawk.pub ~/.ssh/authorized_keyschmod 700 ~/.sshchmod 600 ~/.ssh/authorized_keys4. 关闭selinuxvim /etc/selinux/config# 将SELINUXenforcing改为SELINUXdisabled5. 禁止密码登录改用私钥登录vim /etc/ssh/sshd_config#禁用root账户登录如果是用root用户登录请开启PermitRootLogin yes# 是否让 sshd 去检查用户家目录或相关档案的权限数据# 这是为了担心使用者将某些重要档案的权限设错可能会导致一些问题所致。# 例如使用者的 ~.ssh/ 权限设错时某些特殊情况下会不许用户登入StrictModes no# 是否允许用户自行使用成对的密钥系统进行登入行为仅针对 version 2。# 至于自制的公钥数据就放置于用户家目录下的 .ssh/authorized_keys 内RSAAuthentication yesPubkeyAuthentication yesAuthorizedKeysFile .ssh/authorized_keys# 有了证书登录了就禁用密码登录吧安全要紧PasswordAuthentication no6. 重启服务CentOS7:systemctl restart sshdCentOS6:service sshd restart这样一来在计算机持有密钥的情况下就可以不使用账号密码登录服务器了
