設定 Linux SSH 使用金鑰登入

我們一般使用 PuTTY、Xshell 等 SSH 客戶端來遠端管理 Linux 服務器。

但是，一般的密碼方式登錄，容易有密碼被暴力破解的問題。所以，一般我們會將 SSH 的端口預設的 22 改成其他端口，或者禁用 root 帳號登錄。

其實，有一個更好的辦法來保證安全，而且讓你可以放心地用 root 帳號從遠端登錄，那就是通過密鑰方式登錄。
密鑰形式登錄的原理是：利用密鑰生成器制作一對密鑰一只公鑰和一只私鑰。將公鑰添加到服務器的某個帳號上，然後在客戶端利用私鑰即可完成認證並登錄。這樣一來，沒有私鑰，任何人都無法通過 SSH 暴力破解你的密碼來遠程登錄到系統。此外，如果將公鑰複製到其他帳號甚至主機，利用私鑰也可以登入。

Step 1 建立金鑰

[root@xxx ~]$ ssh-keygen

Setp 2 出現下面這段直接按Enter

Enter file in which to save the key (/root/.ssh/id_rsa): 

Setp 3 出現下面這段是要輸入金鑰的密碼鎖，可以直接按Enter留空實現無密碼登入

[root@xxx ~]$ Enter passphrase (empty for no passphrase):

Setp 4 再次輸入金鑰的密碼鎖

[root@xxx ~]$ Enter same passphrase again:

現在在root用戶的目錄生成了一個.ssh的隱藏目錄，裡面包含兩個金鑰。id_rsa是私鑰，id_rsa.pub是公鑰。

Setp 5 在伺服器安裝公鑰

[root@xxx ~]$ cd .ssh
[root@xxx .ssh]$ cat id_rsa.pub >> authorized_keys

Setp 6 完成公鑰安裝，為了確保權限正確，所以進行以下設定

 [root@xxx .ssh]$ chmod 600 authorized_keys
 [root@xxx .ssh]$ chmod 700 ~/.ssh

Setp 7 將私鑰下載到客戶端， 然後轉成putty可使用的格式

將金鑰複製到home路徑 cp .ssh/id_rsa /home/

使用 WinSCP、SFTP 等工具將私鑰文件 id_rsa 下載到客戶端機器上。然後打開 PuTTYGen，單擊 Actions 中的 Load 按鈕，載入你剛才下載到的私鑰文件。如果你剛才設置了密鑰鎖碼，這時則需要輸入。
載入成功後，PuTTYGen 會顯示密鑰相關的訊息。在 Key comment 中鍵入對密鑰的說明信息，然後單擊 Save private key 按鈕即可將私鑰文件存放為 PuTTY 能使用的格式。
今後，當你使用 PuTTY 登錄時，可以在左側的 Connection -> SSH -> Auth 中的 Private key file for authentication: 處選擇你的私鑰文件，然後即可登錄了，過程中只需輸入密鑰鎖碼即可。

Setp 8 設定SSH，開啟金鑰登入功能

 编辑 /etc/ssh/sshd_config 文件，进行如下设置：
 RSAAuthentication yes
 PubkeyAuthentication yes
 另外，请留意 root 用户能否通过 SSH 登录：
 PermitRootLogin yes
 当你完成全部设置，并以密钥方式登录成功后，再禁用密码登录：
 PasswordAuthentication no 

Setp 9 設定完成後，重啟SSH服務。

PS: centos7以前的版本使用第一個，centos7 以後使用第二個指令。

[root@host .ssh]$ service sshd restart
[root@host .ssh]$ systemctl restart sshd.service