linux 密钥登录(linux许可证密钥免费)

如何使用SSH密钥方式登录Linux

我们一般使用 PuTTY等 SSH客户端来远程管理 Linux服务器。但是，一般的密码方式登录，容易有密码被暴力破解的问题。所以，一般我们会将 SSH的端口设置为默认的 22以外的端口，或者禁用 root账户登录。其实，有一个更好的办法来保证安全，而且让你可以放心地用 root账户从远程登录——那就是通过密钥方式登录。

密钥形式登录的原理是：利用密钥生成器制作一对密钥——一只公钥和一只私钥。将公钥添加到服务器的某个账户上，然后在客户端利用私钥即可完成认证并登录。这样一来，没有私钥，任何人都无法通过 SSH暴力破解你的密码来远程登录到系统。此外，如果将公钥复制到其他账户甚至主机，利用私钥也可以登录。

下面来讲解如何在 Linux服务器上制作密钥对，将公钥添加给账户，设置 SSH，最后通过客户端登录。

1.制作密钥对

首先在服务器上制作密钥对。首先用密码登录到你打算使用密钥登录的账户，然后执行以下命令：

[root@host~]$ ssh-keygen<==建立密钥对

Generating public/private rsa key pair.

Enter file in which to save the key(/root/.ssh/id_rsa):<==按 Enter

Created directory'/root/.ssh'.

Enter passphrase(empty for no passphrase):<==输入密钥锁码，或直接按 Enter留空

Enter same passphrase again:<==再输入一遍密钥锁码

Your identification has been saved in/root/.ssh/id_rsa.<==私钥

Your public key has been saved in/root/.ssh/id_rsa.pub.<==公钥

The key fingerprint is:

0f:d3:e7:1a:1c:bd:5c:03:f1:19:f1:22:df:9b:cc:08 root@host

密钥锁码在使用私钥时必须输入，这样就可以保护私钥不被盗用。当然，也可以留空，实现无密码登录。

现在，在 root用户的家目录中生成了一个.ssh的隐藏目录，内含两个密钥文件。id_rsa为私钥，id_rsa.pub为公钥。

2.在服务器上安装公钥

键入以下命令，在服务器上安装公钥：

[root@host~]$ cd.ssh

[root@host.ssh]$ cat id_rsa.pub>> authorized_keys

如此便完成了公钥的安装。为了确保连接成功，请保证以下文件权限正确：

[root@host.ssh]$ chmod 600 authorized_keys

[root@host.ssh]$ chmod 700~/.ssh

3.设置 SSH，打开密钥登录功能

编辑/etc/ssh/sshd_config文件，进行如下设置：

RSAAuthentication yes

PubkeyAuthentication yes

另外，请留意 root用户能否通过 SSH登录：

PermitRootLogin yes

当你完成全部设置，并以密钥方式登录成功后，再禁用密码登录：

PasswordAuthentication no

最后，重启 SSH服务：

[root@host.ssh]$ service sshd restart

4.将私钥下载到客户端，然后转换为 PuTTY能使用的格式

使用 WinSCP、SFTP等工具将私钥文件 id_rsa下载到客户端机器上。然后打开 PuTTYGen，单击 Actions中的 Load按钮，载入你刚才下载到的私钥文件。如果你刚才设置了密钥锁码，这时则需要输入。

载入成功后，PuTTYGen会显示密钥相关的信息。在 Key comment中键入对密钥的说明信息，然后单击 Save private key按钮即可将私钥文件存放为 PuTTY能使用的格式。

今后，当你使用 PuTTY登录时，可以在左侧的 Connection-> SSH-> Auth中的 Private key file for authentication:处选择你的私钥文件，然后即可登录了，过程中只需输入密钥锁码即可。

linux怎么用秘钥登录

1.制作密钥对

在服务器上制作密钥对。首先用密码登录到你打算使用密钥登录的账户，然后执行以下命令：

[root@host~]$ ssh-keygen<==下面是相应的操作提示，以及密钥生成的位置都会告诉我们。

Generating public/private rsa key pair.Enter file in which to save the key(/root/.ssh/id_rsa):<==按 EnterCreated directory'/root/.ssh'.Enter passphrase(empty for no passphrase):<==输入密钥锁码，或直接按 Enter留空Enter same passphrase again:<==再输入一遍密钥锁码Your identification has been saved in/root/.ssh/id_rsa.<==私钥Your public key has been saved in/root/.ssh/id_rsa.pub.<==公钥The key fingerprint is:0f:d3:e7:1a:1c:bd:5c:03:f1:19:f1:22:df:9b:cc:08 root@host

在当前用户的家目录中生成了一个.ssh的隐藏目录，内含两个密钥文件。id_rsa为私钥，id_rsa.pub为公钥。

2.在服务器上安装公钥

键入以下命令，在服务器上安装公钥：

[root@host~]$ cd.ssh

[root@host.ssh]$ cat id_rsa.pub>> authorized_keys

如此便完成了公钥的安装。为了确保连接成功，请保证以下文件权限正确：

[root@host.ssh]$ chmod 600 authorized_keys[root@host.ssh]$ chmod 700~/.ssh

3.设置 SSH，打开密钥登录功能

编辑/etc/ssh/sshd_config文件，添加如下设置：

sudo vi/etc/ssh/sshd_config

RSAAuthentication yesPubkeyAuthentication yes

接着保存后另外，请留意 root用户能否通过 SSH登录：PermitRootLogin yes

当你完成全部设置，并以密钥方式登录成功后，再禁用密码登录：

PasswordAuthentication no

最后，重启 SSH服务：

[root@host.ssh]$ service sshd restart

Linux用户使用密钥登录详解

首先对ssh的配置文件有一个简单的了解

ssh服务端配置文件位置：/etc/ssh/sshd_config

ssh客户端配置文件位置：/etc/ssh/ssh_config

一般情况下，只需要调整服务端配置就可以了

sshd_config简单常用配置解析：

HostKey/etc/ssh/ssh_host_rsa_key?????????????设置包含服务器个人密钥文件位置（默认即可，不用修改）

SyslogFacility?AUTHPRIV???????????????????#定义ssh的日志级别为authpriv.info级别。ssh的日志可以在/var/log/secure中查看

PermitEmptyPasswords?no???????????????#设置是否允许口令为空的登录

PermitRootLogin?? no???????????????????????????#设置是否允许root登录

RSAAuthentication yes???????????????????????#设置是否使用RSA算法进行安全验证

AuthorizedKeysFile??.ssh/authorized_keys???????????????#设置服务器上公钥保存的位置（默认即可，不用修改）

PasswordAuthentication??yes??????????????????#设置是否使用口令登录

PubkeyAuthentication?yes????????????????????????#设置是否使用密钥认证方式登录

本次实验环境：

[root@k8s-etcd-2?~]#?cat?/etc/centos-releaseCentOS?Linux?release?7.4.1708?(Core)[root@k8s-etcd-2?~]#?uname?-r3.10.0-693.el7.x86_64场景一：禁用root口令登录，root用户只使用密钥登录调整ssh配置[root@k8s-etcd-2?~]#?vim?/etc/ssh/sshd_configRSAAuthentication???yes?????#取消注释，开启RSA验证PubkeyAuthentication????yes?????#取消注释，开启使用密钥验证登录使用ssh-keygen来生成RSA密钥

id_rsa文件为私钥

id_rsa.pub是公钥

使用参数：-t?????指定使用密钥类型

[root@k8s-etcd-2?~]#?ssh-keygen?-t?rsaGenerating?public/private?rsa?key?pair.Enter?file?in?which?to?save?the?key?(/root/.ssh/id_rsa):????????????#配置密钥文件存放位置，如果是给root用户配置，那此步骤默认即可Enter?passphrase?(empty?for?no?passphrase):?????#输入密钥登录密码（如果想使用无密码登录，那就默认回车即可）Enter?same?passphrase?again:????????#再次输入密钥登录密码Your?identification?has?been?saved?in?/root/.ssh/id_rsa.????????#密钥(私钥)存放位置Your?public?key?has?been?saved?in?/root/.ssh/id_rsa.pub.????#密钥(公钥)存放位置The?key?fingerprint?is:SHA256:gVPrl0jjIAa0JeM94gTrtmHiXCz0BIJBHgqaj3MJyZY?root@k8s-etcd-2The?key's?randomart?image?is:………………

下图为示例图：

将公钥导入到授权密钥文件里[root@k8s-etcd-2?~]#?cd?.ssh/[root@k8s-etcd-2?.ssh]#?cat?id_rsa.pub?>>?authorized_keys重启服务[root@k8s-etcd-2?.ssh]#?systemctl?restart?sshd

此时就可以使用密钥登录了

这里简单进行测试一下：

我使用的是MobaXterm客户端连接的，不过Xshell或者CRT配置密钥登录都很简单，应该在会话配置里就可以配置

添加连接密钥配置

**然后会让输入密钥的密码：**如果没有配置密码，那么就直接登录了**输入密码登录即可：****`注：保存好id_rsa私钥文件就可以了，不然丢失了比较麻烦，安全起见服务器上的私钥文件就可以删除了`**

场景二：仅支持非root用户使用密钥登录

和场景一配置很类似，只是新加了一点配置而已

调整ssh配置[root@k8s-etcd-2?home]#?vim?/etc/ssh/sshd_configRSAAuthentication???yes?????#取消注释，开启RSA验证PubkeyAuthentication????yes?????#取消注释，开启使用密钥验证登录PermitRootLogin???no????????????#取消注释，关闭root登录创建新用户[root@k8s-etcd-2?home]#?useradd?test[root@k8s-etcd-2?home]#?mkdir?test/.ssh生成RSA密钥[root@k8s-etcd-2?test]#?ssh-keygen?-t?rsaGenerating?public/private?rsa?key?pair.Enter?file?in?which?to?save?the?key?(/root/.ssh/id_rsa):?/home/test/.ssh/test_rsaEnter?passphrase?(empty?for?no?passphrase):Enter?same?passphrase?again:Your?identification?has?been?saved?in?/home/test/.ssh/test_rsa.Your?public?key?has?been?saved?in?/home/test/.ssh/test_rsa.pub.…………[root@k8s-etcd-2?test]#?ls?.ssh/test_rsa??test_rsa.pub

下图为示例图：

将公钥导入到用户授权密钥文件里[root@k8s-etcd-2?test]#?cat?.ssh/test_rsa.pub?>>?.ssh/authorized_keys重启服务[root@k8s-etcd-2?.test]#?systemctl?restart?sshd使用密钥登录即可

此时就可以达到仅非root用户使用密钥登录服务器，安全性得到提升！注：保存好id_rsa私钥文件就可以了，不然丢失了比较麻烦，安全起见服务器上的私钥文件就可以删除了