服务器: CentOS 7

客户端: Xshell 6

 

密码登录:

这对我们来说太熟悉了, 换句话说我们对密码这东西太熟悉了, 几乎随处都会用到. 登录只是密码的一个应用场景之一. 但是密码常见的风险在于, 一是可能泄露, 二是被破解的风险

 

证书登录:

这里说的证书其实就是密钥. 在非对称加密中, 密钥分为公钥和私钥. 私钥, 即密钥所有人持有. 公钥则公布给他人. 公钥和私钥成对使用, 互相解密. 公钥加密数据只能用私钥解密; 私钥加密则只能用公钥解密(验证)

 

证书登录原理:

密钥对生成后, 公钥存储于远程服务器. 登录时远程服务器向客户端发送随机字符串, 客户端以私钥加密后返回服务器, 服务器再以公钥解密. 解密成功则证明客户端合法, 允许登录

 

配置证书登录

1. 登录用户:

首先在服务器生成公钥和私钥. 因为密钥与登录用户是对应的, 所以生成的密钥仅对当前用户有效. 本次以whl用户登录

 

以whl用户登录, 并且当前路径位于用户的默认home目录下

 

2. 创建公钥私钥:

ssh-keygen -t rsa

ssh-keygen是一个用来生成和管理ssh密钥的工具

-t参数用于指定密钥类型, 或者说加密算法. 本次使用rsa算法. 除此以外还有rsa1, dsa可选

 

执行命令后会提示输入用于保存密钥对的路径. 默认位于/home/用户/.ssh目录下. 确认无误则直接回车

 

提示目录已创建, 同时要求输入证书密码. 该密码用于客户端使用证书时验证(要不然把证书文件复制走了岂不可以随便登录了?), 与用户登录密码没有任何关系. 而且也有提示: 不想设密码的话保留为空即可, 不输入任何内容直接回车

 

然后要求再确认一次. 有密码就重复输入一次, 没有密码当然直接回车确认

 

密钥生成成功, 并提示保存路径, 以及打印密钥指纹

 

3. 写入公钥

进入证书存储目录

 

将公钥写入authorized_keys. 目录下多出一个文件authorized_keys

 

4. 设置权限

.ssh目录权限为700, authorized_keys权限为600

 

5. 修改ssh配置文件sshd_config

该文件位于/etc/ssh目录下

 

编辑该文件需要root权限. 切换为root用户, 然后就可以编辑了

 

找到PubkeyAuthentication这项, 去掉前面的#注释, 使其生效. AuthorizedKeysFile这项确保与刚才生成的文件路径一致. 修改完毕保存并退出

 

 

最后重启一下sshd服务

systemctl restart sshd

 

 

6. 下载私钥

还记得home/.ssh下的三个文件不? 把私钥id_rsa下载到本地

 

7. 配置客户端

这里用的是Xshell 6

新建会话, 几个常规项不变

 

用户身份验证一栏, 方法选择 Public Key

 

输入用户名, 点击浏览

 

随后弹出的对话框中选择导入, 选择刚才下载的私钥文件

 

 

导入后这里会显示已导入的密钥. 点击选中, 确定

 

用户密钥栏下拉列表会显示已导入的密钥. 选择对应该用户的密钥, 输入密码(无密码则保留空), 确定. 会话创建完毕

 

双击刚创建的会话, 登录成功

 

8. 关闭密码登录

到这一步为止证书登录配置成功. 也就是说此时用户名密码, 证书登录都可用. 我们也可以将密码登录禁用, 只允许证书登录. 这个配置还是在前面用到过的SSH配置文件sshd_config中

编辑sshd_config

vi /etc/ssh/sshd_config

 

找到PasswordAuthentication这一项, 由yes改为no. 保存退出, 并重启sshd服务

 

这时就可以看到, 第一(whl用户)和第三个会话(root用户)是以用户名密码登录的, 已经无法登录了. 而且password输入框也不可用

 

这里禁止的只是远程密码登录, 也就是SSH登录. 本地输入密码切换用户当然是不影响的