1、在Ubuntu上创建SSH密钥
很有可能您的Ubuntu客户端计算机上已经有一个SSH密钥对。如果生成新的密钥对,则旧的将被覆盖。要检查密钥文件是否存在,请运行以下ls命令:
ls -l ~/.ssh/id.pub
如果命令返回类似No such file or directory或的信息no matches found,则表明用户没有SSH密钥,您可以继续下一步并生成SSH密钥对。否则,如果您具有SSH密钥对,则既可以使用现有的密钥对,也可以备份旧密钥并生成新的密钥对。
要使用您的电子邮件地址作为注释生成一个新的4096位SSH密钥对,请运行:
ssh-keygen -t rsa -b 4096 -C “youremail@domain.com”
系统将提示您指定文件名:
Enter file in which to save the key (/home/yourusername/.ssh/idrsa):
对于大多数用户,默认位置和文件名应该很好。按Enter接受并继续。
接下来,系统将要求您输入安全密码。密码短语增加了一层额外的安全性。如果设置了密码,则每次使用该密钥登录到远程计算机时,都会提示您输入密码。
如果您不想设置密码,请按Enter。
Enter passphrase (empty for no passphrase):
整个互动如下:
如何在Ubuntu 20.04上设置SSH密钥?_Linux
要验证是否生成了新的SSH密钥对,请输入:
ls ~/.ssh/id
输出:
/home/yourusername/.ssh/idrsa /home/yourusername/.ssh/idrsa.pub
至此,您已经在Ubuntu客户端计算机上成功生成了SSH密钥对。
2、将公钥复制到远程服务器
现在您已经有了SSH密钥对,下一步是将公共密钥复制到要管理的远程服务器上。
将公钥复制到服务器的最简单且推荐的方法是使用该ssh-copy-id工具。在本地计算机上输入:
ssh-copy-id remoteusername@serveripaddress
系统将提示您输入远程用户密码:
remoteusername@serveripaddress’s password:
用户通过身份验证后,公钥/.ssh/idrsa.pub将被附加到远程用户/.ssh/authorizedkeys文件中,并且连接将被关闭。
Number of key(s) added: 1
Now try logging into the machine, with: “ssh ‘username@serveripaddress’”
and check to make sure that only the key(s) you wanted were added.
如果由于某种原因该ssh-copy-id实用程序在本地计算机上不可用,请使用以下命令复制公用密钥:
cat ~/.ssh/idrsa.pub | ssh remoteusername@serveripaddress “mkdir -p ~/.ssh && chmod 700 ~/.ssh && cat >> ~/.ssh/authorizedkeys && chmod 600 ~/.ssh/authorizedkeys”
3、使用SSH密钥登录到服务器
完成上述步骤后,您应该能够登录到远程服务器,而不会提示您输入密码。
要对其进行测试,请尝试通过SSH登录到服务器:
ssh remoteusername@serveripaddress
如果您尚未为私钥设置密码,您将立即登录。否则,将提示您输入密码。
4、禁用SSH密码认证
禁用密码身份验证会为服务器增加一层安全保护。
在禁用SSH密码认证之前,请确保您可以不使用密码登录服务器,并且使用sudo特权登录的用户。
登录到您的远程服务器:
ssh sudouser@serveripaddress
使用文本编辑器打开SSH配置文件:
sudo nano /etc/ssh/sshdconfig
搜索以下指令并进行如下修改:
/ etc / ssh / sshdconfig
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
完成后,保存文件并通过键入以下命令重新启动SSH服务:
sudo systemctl restart ssh
此时,将禁用基于密码的身份验证。
我们已经向您展示了如何生成新的SSH密钥对以及如何设置基于SSH密钥的身份验证。您可以使用同一密钥来管理多个远程服务器。您还学习了如何禁用SSH密码身份验证以及如何为服务器添加额外的安全性。
默认情况下,SSH侦听端口22。更改默认SSH端口可降低自动攻击的风险。为了简化工作流程,请使用SSH配置文件定义所有SSH连接。