如何在 CentOS 7 上设置 SSH 密钥如何在 CentOS 7 上设置 SSH 密钥如何在 CentOS 7 上设置 SSH 密钥如何在 CentOS 7 上设置 SSH 密钥
  • 文章
  • 正则表达式
    • 工具
  • 登录
找到的结果: {phrase} (显示: {results_count} 共: {results_count_total})
显示: {results_count} 共: {results_count_total}

加载更多搜索结果...

搜索范围
模糊匹配
搜索标题
搜索内容
发表 admin at 2025年2月28日
类别
  • 未分类
标签

如何在 CentOS 7 上设置 SSH 密钥

介绍

SSH,或安全外壳,是一种用于管理服务器和与服务器通信的加密协议。使用 CentOS 服务器时,您很可能会将大部分时间花在通过 SSH 连接到服务器的终端会话中。

在本指南中,您将专注于为 CentOS 7 安装设置 SSH 密钥。 SSH 密钥提供了一种直接、安全的方式来登录您的服务器,建议所有用户使用。

第 1 步 — 创建 RSA 密钥对

第一步是在客户端机器(通常是您的计算机)上创建密钥对:

  1. ssh-keygen

默认情况下,ssh-keygen 将创建一个 2048 位 RSA 密钥对,这对大多数用例来说足够安全(您可以选择将 -b 4096 标志传递给创建一个更大的 4096 位密钥)。

输入命令后,您应该会看到以下提示:

Output
Generating public/private rsa key pair.
Enter file in which to save the key (/your_home/.ssh/id_rsa):

按 ENTER 将密钥对保存到您主目录的 .ssh/ 子目录中,或指定备用路径。

如果您之前生成过 SSH 密钥对,您可能会看到以下提示:

Output
/home/your_home/.ssh/id_rsa already exists.
Overwrite (y/n)?

如果您选择覆盖磁盘上的密钥,您将无法再使用以前的密钥进行身份验证。选择 yes 时要非常小心,因为这是一个无法逆转的破坏性过程。

然后您应该会看到以下提示:

Output
Enter passphrase (empty for no passphrase):

在这里,您可以选择输入安全密码,强烈建议这样做。密码短语添加了额外的安全层,以防止未经授权的用户登录。要了解有关安全性的更多信息,请参阅我们关于如何在 Linux 服务器上配置基于 SSH 密钥的身份验证的教程。

然后您应该看到以下输出:

Output
Your identification has been saved in /your_home/.ssh/id_rsa.
Your public key has been saved in /your_home/.ssh/id_rsa.pub.
The key fingerprint is:
a9:49:2e:2a:5e:33:3e:a9:de:4e:77:11:58:b6:90:26 username@remote_host
The key's randomart image is:
+--[ RSA 2048]----+
|     ..o         |
|   E o= .        |
|    o. o         |
|        ..       |
|      ..S        |
|     o o.        |
|   =o.+.         |
|. =++..          |
|o=++.            |
+-----------------+

您现在拥有可用于身份验证的公钥和私钥。下一步是将公钥放在您的服务器上,以便您可以使用基于 SSH 密钥的身份验证进行登录。

第 2 步 — 将公钥复制到 CentOS 服务器

将公钥复制到 CentOS 主机的最快方法是使用名为 ssh-copy-id 的实用程序。由于其简单性,强烈建议使用此方法(如果可用)。如果您的客户端计算机上没有可用的 ssh-copy-id,您可以使用本节中提供的两种替代方法之一(通过基于密码的 SSH 复制,或手动复制钥匙)。

使用 ssh-copy-id 复制你的公钥

ssh-copy-id 工具默认包含在许多操作系统中,因此您可以在本地系统上使用它。要使用此方法,您必须已经具有对服务器的基于密码的 SSH 访问权限。

要使用该实用程序,您只需指定要连接的远程主机以及您拥有密码 SSH 访问权限的用户帐户。这是您的公共 SSH 密钥将被复制到的帐户。

语法是:

  1. ssh-copy-id username@remote_host

您可能会看到以下消息:

Output
The authenticity of host '203.0.113.1 (203.0.113.1)' can't be established.
ECDSA key fingerprint is fd:fd:d4:f9:77:fe:73:84:e1:55:00:ad:d6:6d:22:fe.
Are you sure you want to continue connecting (yes/no)? yes

这意味着您的本地计算机无法识别远程主机。这将在您第一次连接到新主机时发生。输入 yes 并按 ENTER 继续。

接下来,该实用程序将扫描您的本地帐户以查找您之前创建的 id_rsa.pub 密钥。当它找到密钥时,它会提示您输入远程用户帐户的密码:

Output
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
username@203.0.113.1's password:

输入密码(出于安全目的不会显示您输入的内容)并按 ENTER。该实用程序将使用您提供的密码连接到远程主机上的帐户。然后它将您的 ~/.ssh/id_rsa.pub 密钥的内容复制到远程帐户的主 ~/.ssh 目录中名为 authorized_keys< 的文件中/代码>。

您应该看到以下输出:

Output
Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'username@203.0.113.1'"
and check to make sure that only the key(s) you wanted were added.

此时,您的 id_rsa.pub 密钥已上传到远程帐户。您可以继续执行第 3 步。

使用 SSH 复制公钥

如果您没有可用的 ssh-copy-id,但您有基于密码的 SSH 访问您服务器上的帐户,您可以使用传统的 SSH 方法上传您的密钥。

为此,您可以使用 cat 命令读取本地计算机上的公共 SSH 密钥的内容,并通过 SSH 连接将其传输到远程服务器。

另一方面,您可以确保 ~/.ssh 目录存在并且在您使用的帐户下具有正确的权限。

然后,您可以将通过管道传输的内容输出到该目录中名为 authorized_keys 的文件中。您将使用 >>> 重定向符号来附加内容而不是覆盖它。这将使您可以添加密钥而不会破坏以前添加的密钥。

完整命令如下所示:

  1. cat ~/.ssh/id_rsa.pub | ssh username@remote_host "mkdir -p ~/.ssh && touch ~/.ssh/authorized_keys && chmod -R go= ~/.ssh && cat >> ~/.ssh/authorized_keys"

您可能会看到以下消息:

Output
The authenticity of host '203.0.113.1 (203.0.113.1)' can't be established.
ECDSA key fingerprint is fd:fd:d4:f9:77:fe:73:84:e1:55:00:ad:d6:6d:22:fe.
Are you sure you want to continue connecting (yes/no)? yes

这意味着您的本地计算机无法识别远程主机。这将在您第一次连接到新主机时发生。输入 yes 并按 ENTER 继续。

之后,系统会提示您输入远程用户帐户密码:

Output
username@203.0.113.1's password:

输入密码后,您的 id_rsa.pub 密钥的内容将被复制到远程用户帐户的 authorized_keys 文件的末尾。如果成功,请继续执行步骤 3。

手动复制公钥

如果您没有可用的基于密码的 SSH 访问服务器,则必须手动完成该过程。

您将手动将 id_rsa.pub 文件的内容附加到远程计算机上的 ~/.ssh/authorized_keys 文件。

要显示您的 id_rsa.pub 密钥的内容,请在您的本地计算机中键入:

  1. cat ~/.ssh/id_rsa.pub

您将看到密钥的内容,它看起来应该是这样的:

Output
ssh-rsa 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 demo@test

使用可用的任何方法访问远程主机。

一旦您可以访问您在远程服务器上的帐户,您应该确保 ~/.ssh 目录存在。此命令将在必要时创建目录,如果目录已存在,则不执行任何操作:

  1. mkdir -p ~/.ssh

现在,您可以在该目录中创建或修改 authorized_keys 文件。您可以将 id_rsa.pub 文件的内容添加到 authorized_keys 文件的末尾,必要时使用以下命令创建它:

  1. echo public_key_string >> ~/.ssh/authorized_keys

在上述命令中,将 public_key_string 替换为您在本地执行的 cat ~/.ssh/id_rsa.pub 命令的输出系统。它应该以 ssh-rsa AAAA... 开头。

最后,确保 ~/.ssh 目录和 authorized_keys 文件设置了适当的权限:

  1. chmod -R go= ~/.ssh

这会递归地删除 ~/.ssh/ 目录的所有 \group 和 \other 权限。

如果您使用 root 帐户为用户帐户设置密钥,~/.ssh 目录属于用户而不属于 也很重要>根。在以下示例中,用户名为 sammy,但您应该将适当的用户名替换到命令中。

  1. chown -R sammy:sammy ~/.ssh

您现在可以尝试使用您的 CentOS 服务器进行无密码身份验证。

第 3 步 — 使用 SSH 密钥验证您的 CentOS 服务器

如果您已成功完成上述过程之一,则您应该能够在没有远程帐户密码的情况下登录到远程主机。

基本过程是一样的:

  1. ssh username@remote_host

如果这是您第一次连接到该主机(如果您使用了上面最后一种方法),您可能会看到如下内容:

Output
The authenticity of host '203.0.113.1 (203.0.113.1)' can't be established.
ECDSA key fingerprint is fd:fd:d4:f9:77:fe:73:84:e1:55:00:ad:d6:6d:22:fe.
Are you sure you want to continue connecting (yes/no)? yes

这意味着您的本地计算机无法识别远程主机。输入 yes 然后按 ENTER 继续。

如果您没有为您的私钥提供密码,您将立即登录。如果您在创建私钥时提供了密码,系统将提示您立即输入密码。验证后,一个新的 shell 会话应该使用 CentOS 服务器上配置的帐户为您打开。

如果基于密钥的身份验证成功,请继续学习如何通过禁用密码身份验证来进一步保护您的系统。

第 4 步 — 在您的服务器上禁用密码验证

如果您能够在没有密码的情况下使用 SSH 登录到您的帐户,那么您已经成功地为您的帐户配置了基于 SSH 密钥的身份验证。但是,您基于密码的身份验证机制仍处于活动状态,这意味着您的服务器仍会受到暴力攻击。

在完成本节中的步骤之前,请确保您已为此服务器上的根帐户配置了基于 SSH 密钥的身份验证,或者最好是在此服务器上为非根帐户配置了基于 SSH 密钥的身份验证具有 sudo 权限的服务器。此步骤将锁定基于密码的登录,因此确保您仍然能够获得管理访问权限至关重要。

确认您的远程帐户具有管理权限后,以 root 身份或使用具有 sudo 权限的帐户使用 SSH 密钥登录远程服务器。然后,打开 SSH 守护进程的配置文件:

  1. sudo vi /etc/ssh/sshd_config

在文件中,搜索名为 PasswordAuthentication 的指令。这可能会被注释掉。如果是,请按 i 插入文本,然后通过删除 PasswordAuthentication 指令前面的 # 取消注释该行。当您找到指令时,将值设置为 no。这将禁用您使用帐户密码通过 SSH 登录的能力:

...
PasswordAuthentication no
...

完成更改后,按 ESC 然后按 :wq 将更改写入文件并退出。要实现这些更改,您需要重新启动 sshd 服务:

  1. sudo systemctl restart sshd.service

作为预防措施,打开一个新的终端窗口并在关闭此会话之前测试 SSH 服务是否正常运行:

  1. ssh username@remote_host

一旦您验证了您的 SSH 服务,您就可以安全地关闭所有当前的服务器会话。

CentOS 服务器上的 SSH 守护进程现在只响应 SSH 密钥。基于密码的身份验证已成功禁用。

结论

您现在应该在您的服务器上配置了基于 SSH 密钥的身份验证,允许您在不提供帐户密码的情况下登录。

如果您想了解有关使用 SSH 的更多信息,请查看我们的 SSH Essentials 指南。

©2015-2025 艾丽卡 support@alaica.com