整理利用SSH Key实现安全的密钥证书方式登陆.docx

整理利用SSH Key实现安全的密钥证书方式登陆.docx

《整理利用SSH Key实现安全的密钥证书方式登陆.docx》由会员分享，可在线阅读，更多相关《整理利用SSH Key实现安全的密钥证书方式登陆.docx（13页珍藏版）》请在冰点文库上搜索。

整理利用SSHKey实现安全的密钥证书方式登陆

利用SSHKey实现安全的密钥证书方式登陆

SSH作为Linux服务器的缺省登陆方式，安全性上需要进一步的增强，就我个人经验来讲，主要有以下方法：

1.禁止root用户登陆：

修改/etc/ssh/sshd_config

PermitRootLoginyes

2.仅允许某一用户（如Jack）登陆

修改/etc/ssh/sshd_config

UserAllowJack

3.修改SSH监听端口（如7890）

修改/etc/ssh/sshd_config

Port7890

4.通过hosts.allow仅允许指定IP（如8.8.8.8）或IP段（如8.8.8.x）通过

修改/etc/hosts.deny

sshd:

all

修改/etc/hosts.allow

sshd:

8.8.8.8

sshd:

8.8.8.

5.禁用密码方式验证，使用密钥证书方式登陆

具体实现过程将稍后在本文中进行讲解

6.在服务器上安装OpenVPNServer，然后仅允许OpenVPN的本地IP段通过

这样每次都需要通过证书登陆到OpenVPN，才能再登陆到SSH，具体OpenVPN的搭建请参考我的这篇文章：

从1到6，安全级别逐渐加强，但安全与便捷始终存在着矛盾，这一点需要大家自己进行取舍。

下面，我将对利用SSHKey实现安全的密钥证书方式登陆进行介绍，介绍中包括的客户端为SSHSecureShell，PuTTY，SecureCRT以及Linux终端。

一、配置OpenSSH服务端

1.修改配置文件中的以下记录

#vim/etc/ssh/sshd_config

================================

PermitEmptyPasswordsno

PasswordAuthenticationno

RSAAuthenticationyes

PubkeyAuthenticationyes

AuthorizedKeysFile.ssh/authorized_keys

StrictModesno

================================

2.为用户（如jack）创建authorized_keys文件

#cd/home/jack

#mkdir.ssh

#touch.ssh/authorized_keys

#chmod700.ssh

#chmod600.ssh/authorized_keys

#chown-Rjack:

jack.ssh（SUSE上需要执行chown-Rjack:

users.ssh）

3.重启OpenSSH服务

#/etc/init.d/sshdrestart

二、配置SSH客户端

使用SSHSecureShell客户端生成SSHKey

打开SecureCRT客户端，点击“Edit-Settings”；

选择“GlobalSettings-UserAuthentication–Keys”，点击“GenerateNew”；

再出现的界面中选择“RSA”与“1024”，点击“下一步”；

会出现一个密码生成的界面，完成之后，点击下一步；

在界面中输入文件名，提示信息与密码短语，点击下一步；

可以看到刚刚生成的key；

进入密钥存放路径中，用记事本打开Jack.pub公钥文件；

将文件中的密钥信息复制到新的文件中，重新编辑为可被OpenSSH接受的格式；

例如原有格式：

----BEGINSSH2PUBLICKEY----Comment:

"Jack[1024-bitrsa,Digby]"

AAAAB3NzaC1yc2EAAAADAQABAAAAgQDSaMbbAmwE/b0NaqGN/9yq56UEYzQ0PEUCgTCN

qnCPOXnHqqH0H7G/77MXZ0j9ekzL7arLzjcZBXpYSrg7ueSj+6yIsGnlH8g0k1u/uqTe

9/8xDIwxww9OFvRPk9KP7W1653ahj9w/gOxYu66+sT5tt4lu643zPIOO7Fm3cjuy7Q==

----ENDSSH2PUBLICKEY----

可被OpenSSH接受的格式，即“ssh-rsa密钥提示信息”，需要去除换行，将整个处理为单行记录：

ssh-rsaAAAAB3NzaC1yc2EAAAADAQABAAAAgQDSaMbbAmwE/b0NaqGN/9yq56UEYzQ0PEUCgTCNqnCPOXn

HqqH0H7G/77MXZ0j9ekzL7arLzjcZBXpYSrg7ueSj+6yIsGnlH8g0k1u/uqTe9/8xDIwxww9OFvRPk9KP7W1653a

hj9w/gOxYu66+sT5tt4lu643zPIOO7Fm3cjuy7Q==Jack

将编辑后的内容复制下来，并粘贴到服务器中需要通过密钥登陆的用户（如jack）的~/.ssh/authorized_keys文件中。

此时SSHSecureShell默认已经使用Identity文件作为本地私钥了；

使用SSHSecureShell工具进行登陆，当出现以下提示框，说明密钥已经验证通过，输入设置的密码短语，即可登陆。

使用Linux终端生成SSHKey

使用ssh-keygen生成SSHKey,依次输入：

回车，密码短语，密码短语。

然后进入密钥存放路径中，打开id_rsa.pub公钥文件；

将文件中的内容复制下来，粘贴到服务器中需要通过密钥登陆的用户（如jack）的~/.ssh/authorized_keys文件中。

使用命令行进行登陆，当出现以下提示框，说明密钥已经验证通过，输入设置的密码短语，即可登陆。

使用PuTTY客户端生成SSHKey

打开PUTTYGEN.exe程序，点击Generator，在出现的界面中滑动鼠标来输入随机数据，进入到如下界面。

执行以下操作：

在Keycomment:

输入key的提示信息；

在Keypassphrase:

输入key的密码短语，在Confirm passphrase:

再次输入key的密码短语；

在Typeofkeytogenerate:

选择SSH-2RSA；

在Numberofbitsinageneratedkey:

输入1024；

点击Savepublickey保存公钥到本地，命名为ssh-rsa.pub；

点击Saveprivatekey保存私钥到本地，命名为ssh-rsa.ppk。

将最上方的PublickeyforpastingintoOpenSSHauthorized_keysfile:

的文本框中的内容复制下来，并粘贴到服务器中需要通过密钥登陆的用户（如jack）的~/.ssh/authorized_keys文件中。

使用PuTTY，在Connection-SSH-Auth中的Privatekeyfileforauthentication中选择刚生成的ssh-rsa.ppk文件。

使用PuTTY进行登陆，当出现以下提示框，则说明密钥已经验证通过，输入开始设置的密码短语，即可登陆。

使用SecureCRT客户端生成SSHKey

打开SecureCRT客户端，点击“Tools-CreatePublickey”；

一、环境影响评价的发展与管理体系、相关法律法规体系和技术导则的应用

（5）公众意见采纳与不采纳的合理性；在陆续出现的界面中，执行以下操作：

选择下一步，然后选择密钥类型为“RSA”；

输入密码短语与提示信息；

输入密钥长度（位）：

1024；

（1）规划和建设项目环境影响评价。

选择“OpenSSHKeyformat”并确认密钥存放路径，点击完成；

[例题-2006年真题]下列关于建设项目环境影响评价实行分类管理的表述，正确的是（　）进入密钥存放路径中，用记事本打开Identity.pub公钥文件；

（2）评价范围。

根据评价机构专业特长和工作能力，确定其相应的评价范围。

将文件中的内容复制下来，粘贴到服务器中需要通过密钥登陆的用户（如jack）的~/.ssh/authorized_keys文件中。

如果使用的SecureCRT客户端版本比较低，不能够选择“OpenSSHKeyformat”格式来存储密钥，那么就需要将文件中的密钥信息复制到新的文件中，重新编辑为可被OpenSSH接受的格式；

大纲要求例如原有格式：

----BEGINSSH2PUBLICKEY----

Subject:

Digby

Comment:

"Jack"

ModBitSize:

1024

AAAAB3NzaC1yc2EAAAADAQABAAAAgQDSaMbbAmwE/b0NaqGN/9yq56UEYzQ0PEUCgTCN

qnCPOXnHqqH0H7G/77MXZ0j9ekzL7arLzjcZBXpYSrg7ueSj+6yIsGnlH8g0k1u/uqTe

9/8xDIwxww9OFvRPk9KP7W1653ahj9w/gOxYu66+sT5tt4lu643zPIOO7Fm3cjuy7Q==

----ENDSSH2PUBLICKEY----

（3）总经济价值的组成。

我们可以用下式表示环境总经济价值的组成：

可被OpenSSH接受的格式，即“ssh-rsa密钥提示信息”，需要去除换行，将整个处理为单行记录：

ssh-rsaAAAAB3NzaC1yc2EAAAADAQABAAAAgQDSaMbbAmwE/b0NaqGN/9yq56UEYzQ0PEUCgTCNqnCPOXn

HqqH0H7G/77MXZ0j9ekzL7arLzjcZBXpYSrg7ueSj+6yIsGnlH8g0k1u/uqTe9/8xDIwxww9OFvRPk9KP7W1653a

hj9w/gOxYu66+sT5tt4lu643zPIOO7Fm3cjuy7Q==Jack

4）按执行性质分。

环境标准按执行性质分为强制性标准和推荐性标准。

环境质量标准和污染物排放标准以及法律、法规规定必须执行的其他标准属于强制性标准，强制性标准必须执行。

强制性标准以外的环境标准属于推荐性标准。

将编辑后的内容复制下来，粘贴到服务器中需要通过密钥登陆的用户（如jack）的~/.ssh/authorized_keys文件中。

3.评估环境影响的价值（最重要的一步）：

采用环境经济学的环境经济损益分析方法，对量化后的环境功能损害后果进行货币化估价，即对建设项目的环境费用或环境效益进行估价。

此时SecureCRT默认已经使用Identity文件作为本地私钥了，如果需要指定私钥文件，需要在“Connection-SSH2-Authentication（PublicKey）-Properties”中进行设置；

（四）建设项目环境影响评价的内容使用SecureCRT工具进行登陆，当出现以下提示框，则说明密钥已经验证通过，输入开始设置的密码短语，即可登陆。

三、注意事项

在生成了key之后，一定要保存好生成的两个证书文件，它们分别代表了公钥和私钥；

其中公钥用于添加到服务器端用来识别私钥，私钥用于服务器认证，如果不单独复制出来好好的保存的话，极有可能在重装系统或SSH客户端之后，造成两个证书文件的丢失，也就再也无法登陆服务器了。

另外，为证书创建一个密码短语也是非常有必要的，因为如果一旦证书泄露了，且没有密码短语的保护，那么拿到证书的人就可以直接登陆到服务器中。