1、整理利用SSH Key实现安全的密钥证书方式登陆利用SSH Key实现安全的密钥证书方式登陆SSH作为Linux服务器的缺省登陆方式,安全性上需要进一步的增强,就我个人经验来讲,主要有以下方法:1.禁止root用户登陆:修改/etc/ssh/sshd_configPermitRootLogin yes2.仅允许某一用户(如Jack)登陆修改/etc/ssh/sshd_configUserAllow Jack3.修改SSH监听端口(如7890)修改/etc/ssh/sshd_configPort 78904.通过hosts.allow仅允许指定IP(如8.8.8.8)或IP段(如8.8.8.x)
2、通过修改/etc/hosts.denysshd:all修改/etc/hosts.allowsshd:8.8.8.8sshd:8.8.8.5.禁用密码方式验证,使用密钥证书方式登陆具体实现过程将稍后在本文中进行讲解6.在服务器上安装OpenVPN Server,然后仅允许OpenVPN的本地IP段通过这样每次都需要通过证书登陆到OpenVPN,才能再登陆到SSH,具体OpenVPN的搭建请参考我的这篇文章:从1到6,安全级别逐渐加强,但安全与便捷始终存在着矛盾,这一点需要大家自己进行取舍。下面,我将对利用SSH Key实现安全的密钥证书方式登陆进行介绍,介绍中包括的客户端为 SSH Secure
3、 Shell,PuTTY,SecureCRT以及Linux终端。一、配置OpenSSH服务端1.修改配置文件中的以下记录# vim /etc/ssh/sshd_config=PermitEmptyPasswords noPasswordAuthentication noRSAAuthentication yesPubkeyAuthentication yesAuthorizedKeysFile .ssh/authorized_keysStrictModes no=2.为用户(如jack)创建authorized_keys文件# cd /home/jack# mkdir .ssh# touch
4、.ssh/authorized_keys# chmod 700 .ssh# chmod 600 .ssh/authorized_keys# chown -R jack:jack .ssh(SUSE上需要执行 chown -R jack:users .ssh)3.重启OpenSSH服务# /etc/init.d/sshd restart二、配置SSH客户端使用SSH Secure Shell客户端生成SSH Key打开SecureCRT客户端,点击 “ Edit- Settings ”;选择 “ Global Settings - User Authentication Keys ”,点击 “
5、Generate New ”;再出现的界面中选择 “ RSA ” 与 “ 1024 ”,点击 “ 下一步 ”;会出现一个密码生成的界面,完成之后,点击下一步;在界面中输入 文件名,提示信息与密码短语,点击下一步;可以看到刚刚生成的key;进入密钥存放路径中,用记事本打开Jack.pub公钥文件;将文件中的密钥信息复制到新的文件中,重新编辑为可被OpenSSH接受的格式;例如原有格式:- BEGIN SSH2 PUBLIC KEY -Comment: Jack 1024-bit rsa, Digby AAAAB3NzaC1yc2EAAAADAQABAAAAgQDSaMbbAmwE/b0NaqGN
6、/9yq56UEYzQ0PEUCgTCNqnCPOXnHqqH0H7G/77MXZ0j9ekzL7arLzjcZBXpYSrg7ueSj+6yIsGnlH8g0k1u/uqTe9/8xDIwxww9OFvRPk9KP7W1653ahj9w/gOxYu66+sT5tt4lu643zPIOO7Fm3cjuy7Q=- END SSH2 PUBLIC KEY -可被OpenSSH接受的格式,即“ssh-rsa 密钥 提示信息”,需要去除换行,将整个处理为单行记录:ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQDSaMbbAmwE/b0NaqGN/9yq56UEYzQ0PE
7、UCgTCNqnCPOXnHqqH0H7G/77MXZ0j9ekzL7arLzjcZBXpYSrg7ueSj+6yIsGnlH8g0k1u/uqTe9/8xDIwxww9OFvRPk9KP7W1653ahj9w/gOxYu66+sT5tt4lu643zPIOO7Fm3cjuy7Q= Jack将编辑后的内容复制下来,并粘贴到服务器中需要通过密钥登陆的用户(如jack)的 /.ssh/authorized_keys 文件中。此时SSH Secure Shell默认已经使用Identity文件作为本地私钥了;使用SSH Secure Shell工具进行登陆,当出现以下提示框,说明密钥已经验证通过,输
8、入设置的密码短语,即可登陆。使用Linux终端生成SSH Key使用ssh-keygen生成SSH Key,依次输入:回车,密码短语,密码短语。然后进入密钥存放路径中,打开 id_rsa.pub 公钥文件;将文件中的内容复制下来,粘贴到服务器中需要通过密钥登陆的用户(如jack)的 /.ssh/authorized_keys 文件中。使用命令行进行登陆,当出现以下提示框,说明密钥已经验证通过,输入设置的密码短语,即可登陆。使用PuTTY客户端生成SSH Key打开PUTTYGEN.exe程序,点击Generator,在出现的界面中滑动鼠标来输入随机数据,进入到如下界面。执行以下操作:在Key
9、comment:输入key的提示信息;在Key passphrase:输入key的密码短语,在Confirmpassphrase:再次输入key的密码短语;在Type of key to generate:选择SSH-2 RSA;在Number of bits in a generated key:输入1024;点击Save public key保存 公钥 到本地,命名为ssh-rsa.pub;点击Save private key保存 私钥 到本地,命名为ssh-rsa.ppk。将最上方的Public key for pasting into OpenSSH authorized_keys f
10、ile:的文本框中的内容复制下来,并粘贴到服务器中需要通过密钥登陆的用户(如jack)的 /.ssh/authorized_keys 文件中。使用PuTTY,在Connection-SSH-Auth中的Private key file for authentication中选择刚生成的ssh-rsa.ppk文件。使用PuTTY进行登陆,当出现以下提示框,则说明密钥已经验证通过,输入开始设置的密码短语,即可登陆。使用SecureCRT客户端生成SSH Key打开SecureCRT客户端,点击 “ Tools - Create Public key ”;一、环境影响评价的发展与管理体系、相关法律法
11、规体系和技术导则的应用(5)公众意见采纳与不采纳的合理性;在陆续出现的界面中,执行以下操作:选择 下一步,然后选择密钥类型为“ RSA ”;输入密码短语与提示信息;输入密钥长度(位):1024;(1)规划和建设项目环境影响评价。选择 “ OpenSSH Key format ” 并确认密钥存放路径,点击 完成;例题-2006年真题下列关于建设项目环境影响评价实行分类管理的表述,正确的是()进入密钥存放路径中,用记事本打开Identity.pub公钥文件;(2)评价范围。根据评价机构专业特长和工作能力,确定其相应的评价范围。将文件中的内容复制下来,粘贴到服务器中需要通过密钥登陆的用户(如jack
12、)的 /.ssh/authorized_keys 文件中。如果使用的SecureCRT客户端版本比较低,不能够选择“OpenSSH Key format”格式来存储密钥,那么就需要将文件中的密钥信息复制到新的文件中,重新编辑为可被OpenSSH接受的格式;大纲要求例如原有格式:- BEGIN SSH2 PUBLIC KEY -Subject: DigbyComment: JackModBitSize: 1024AAAAB3NzaC1yc2EAAAADAQABAAAAgQDSaMbbAmwE/b0NaqGN/9yq56UEYzQ0PEUCgTCNqnCPOXnHqqH0H7G/77MXZ0j9e
13、kzL7arLzjcZBXpYSrg7ueSj+6yIsGnlH8g0k1u/uqTe9/8xDIwxww9OFvRPk9KP7W1653ahj9w/gOxYu66+sT5tt4lu643zPIOO7Fm3cjuy7Q=- END SSH2 PUBLIC KEY -(3)总经济价值的组成。我们可以用下式表示环境总经济价值的组成:可被OpenSSH接受的格式,即“ssh-rsa 密钥 提示信息”,需要去除换行,将整个处理为单行记录:ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQDSaMbbAmwE/b0NaqGN/9yq56UEYzQ0PEUCgTCNqnCPOXn
14、HqqH0H7G/77MXZ0j9ekzL7arLzjcZBXpYSrg7ueSj+6yIsGnlH8g0k1u/uqTe9/8xDIwxww9OFvRPk9KP7W1653ahj9w/gOxYu66+sT5tt4lu643zPIOO7Fm3cjuy7Q= Jack4)按执行性质分。环境标准按执行性质分为强制性标准和推荐性标准。环境质量标准和污染物排放标准以及法律、法规规定必须执行的其他标准属于强制性标准,强制性标准必须执行。强制性标准以外的环境标准属于推荐性标准。将编辑后的内容复制下来,粘贴到服务器中需要通过密钥登陆的用户(如jack)的 /.ssh/authorized_keys 文件中。
15、3.评估环境影响的价值(最重要的一步):采用环境经济学的环境经济损益分析方法,对量化后的环境功能损害后果进行货币化估价,即对建设项目的环境费用或环境效益进行估价。此时SecureCRT默认已经使用Identity文件作为本地私钥了,如果需要指定私钥文件,需要在 “Connection - SSH2 - Authentication(PublicKey) - Properties ”中进行设置;(四)建设项目环境影响评价的内容使用SecureCRT工具进行登陆,当出现以下提示框,则说明密钥已经验证通过,输入开始设置的密码短语,即可登陆。三、注意事项在生成了key之后,一定要保存好生成的两个证书文件,它们分别代表了 公钥 和 私钥;其中公钥用于添加到服务器端用来识别私钥,私钥用于服务器认证,如果不单独复制出来好好的保存的话,极有可能在重装系统或SSH客户端之后,造成两个证书文件的丢失,也就再也无法登陆服务器了。另外,为证书创建一个密码短语也是非常有必要的,因为如果一旦证书泄露了,且没有密码短语的保护,那么拿到证书的人就可以直接登陆到服务器中。
copyright@ 2008-2023 冰点文库 网站版权所有
经营许可证编号:鄂ICP备19020893号-2