SSH密钥登录让Linux VPS/服务器更安全

共计 2782 个字符，预计需要花费 7 分钟才能阅读完成。

随着PHP越来越流行，Linux VPS/服务器的使用也越来越多，Linux的安全问题也需要日渐加强，如果你安装过DenyHosts并设置过邮件提醒，你每天可能会受到数封DenyHosts Report将前来破解SSH密码的IP加入/etc/hosts.deny。

Linux SSH登录有两种：

1、使用密码验证登录

通常VPS或服务器开通后都是直接提供IP和root密码，使用这种方式就是通过密码方式登录。如果密码不够强壮，而且没有安装DenyHosts之类的防止SSH密码破解的软件，那么系统安全将存在很大的隐患。

2、使用密钥验证登录

基于密钥的安全验证必须为用户自己创建一对密钥，并把共有的密钥放在需要访问的服务器上。当需要连接到SSH服务器上时，客户端软件就会向服务器发出请求，请求使用客户端的密钥进行安全验证。服务器收到请求之后，先在该用户的根目录下寻找共有密钥，然后把它和发送过来的公有密钥进行比较。如果两个密钥一致，服务器就用公有的密钥加密“质询”，并把它发送给客户端软件（putty,xshell等）。客户端收到质询之后，就可以用本地的私人密钥解密再把它发送给服务器，这种方式是相当安全的。

一、生成密钥

因为puttygen生成的密钥有问题可能会出现：“Server refused our key”，最好使用XShell生成密钥或者在远程Linux VPS/服务器生成密钥。

1、在Linux远程服务器生成密钥：

登录远程Linux VPS/服务器，执行：

root@vpser:~# ssh-keygen -t rsa //先运行这个命令

Generating public/private rsa key pair.

Enter file in which to save the key (/root/.ssh/id_rsa): //直接回车

Created directory ‘/root/.ssh’.

Enter passphrase (empty for no passphrase): //输入密钥密码

Enter same passphrase again: //重复密钥密码

Your identification has been saved in /root/.ssh/id_rsa. //提示公钥和私钥已经存放在/root/.ssh/目录下

Your public key has been saved in /root/.ssh/id_rsa.pub.

The key fingerprint is:

15:23:a1:41:90:10:05:29:4c:d6:c0:11:61:13:23:dd root@vpser.net

The key’s randomart image is:

+–[ RSA 2048]—-+

|=&@Bo+o o.o |

|=o=.E o . o |

| . . . |

| . |

| S |

| |

+—————–+

root@vpser:~#

将/root/.ssh/下面的id_rsa和id_rsd.pub妥善保存。

2、使用XShell生成密钥

Xshell是一款Windows下面功能强大的SSH客户端，能够按分类保存N多会话、支持Tab、支持多密钥管理等等，管理比较多的VPS/服务器使用XShell算是比较方便的，推荐使用。

下载XShell，安装，运行XShell，点击菜单：Tool ->User Key Generation Wizard，出现如下提示：

SSH密钥登录让Linux VPS/服务器更安全

点击Save as file将密钥保存为id_rsa.pub。

二、将密钥添加到远程Linux服务器

1、用winscp，将id_rsa.pub文件上传到/root/.ssh/下面（如果没有则创建此目录），并重命名为：authorized_keys（如果是在Linux服务器上生成的密钥直接执行：mv /root/.ssh/id_rsa.pub /root/.ssh/authorized_keys），再执行：chmod 600 /root/.ssh/authorized_keys 修改权限。

2、修改/etc/ssh/sshd_config 文件，将RSAAuthentication 和 PubkeyAuthentication 后面的值都改成yes ，保存。

3、重启sshd服务，Debian/Ubuntu执行/etc/init.d/ssh restart ；CentOS执行：/etc/init.d/sshd restart。

三、客户端测试使用密钥登录

1、使用putty登录

putty使用的私钥文件和Linux服务器或XShell的私钥格式不同，如果使用putty的话，需要将Linux主机上生成的id_rsa文件下载的本地。运行putty压缩包里面的puttygen.exe，选择Conversions->Import key选择私钥文件id_rsa，输入密钥文件的密码，会出现如下界面：

SSH密钥登录让Linux VPS/服务器更安全

点击“Save Private Key”，将私钥保存为id_rsa.ppk

运行putty，在Host Name填写：root@主机名或ip

SSH密钥登录让Linux VPS/服务器更安全

如果设置了密钥密码，出现：Passphrase for key “imported-openssh-key”时输入密钥密码。

如果设置没问题就会登录成功，出现用户提示符。

2、XShell登录

运行XShell，选择菜单File->New，按如下提示填写：

SSH密钥登录让Linux VPS/服务器更安全

打开创建好的Session

SSH密钥登录让Linux VPS/服务器更安全

如果设置没问题就会登录成功，出现用户提示符。

3、Linux客户端登录测试

在Linux客户端执行：chmod 600 /root/id_rsa 再执行：ssh root@www.vpser.net -i /root/id_rsa /root/id_rsa为私钥文件，第一次链接可能会提示确认，输入yes即可，再按提示输入密钥密码，没有问题就会出现用户提示符。

四、修改远程Linux服务器sshd服务配置

1、修改/etc/ssh/sshd_config 文件

将PasswordAuthentication yes 修改成 PasswordAuthentication no

2、重启sshd服务

Debian/Ubuntu执行/etc/init.d/ssh restart ；CentOS执行：/etc/init.d/sshd restart。

ok，设置完成。

再提醒一下一定要保存好Putty私钥文件id_rsa.ppk或Linux服务器下载下来的id_rsa私钥文件。

本文链接地址：http://www.vpser.net/security/linux-ssh-authorized-keys-login.html

多乐士通过摸索发现ssh拉取会报错，直接网页访问下载会报404错误，不知道原因；但是可以通过群晖CM注册表访问下载，其方法如下： Container Manager-注册表-设置-新增-注册表名称随便写，注册表URL填你的加速地址，勾选信任的SSL自我签署证书，登录信息不填-应用-使用你的地址，这是注册表会显示了，在搜索栏中输入映像名称，搜索结果在每一页的最后一个，你需要划到最后一个进行下载，实测可正常下载安装。以上供网友参考。

多乐士还有一个比较简单的方法，只是需要一些外部工具。 1、讲损毁硬盘取出，装入外部移动硬盘 2、打开Diskgenius，定位到硬盘 3、格式化系统分区 4、重新插入硬盘 5、存储池->修复存储池即可

多乐士写的不错的文章

辞了老衲这个确实有帮助。

渋驀当然任何时候都可以用curl命令和crontab来实现动态更新DDNS的ip地址： 1、安装crontab之后为root用户创建文件/var/spool/cron/root 2、创建并配置ddnsupdate.sh，放到/usr/bin/文件下，文件内容(以he.net为例）： Autodetect my IPv4/IPv6 address: IPV4：curl -4 "http://dyn.example.com:password@dyn.dns.he.net/nic/update?hostname=dyn.example.com" IPV6：curl -6 "http://dyn.example.com:password@dyn.dns.he.net/nic/update?hostname=dyn.example.com" 3、添加执行权限chomod +x /usr/bin/ddnsupdate.sh 4、编辑root用户的crontab：*/10 * * * * /usr/binddnsupdate.sh，每10分钟执行一次。好了，可以享受你的DDNS了