Linux下基于密钥的安全验证实现方法-阿里云开发者社区

开发者社区> 科技小先锋> 正文

Linux下基于密钥的安全验证实现方法

简介:
+关注继续查看
Linux下基于密钥的安全验证实现方法
-------OpenSSH+WinSCP+putty密钥生成器+putty
实验背景:
小诺公司目前已使用Linux搭建了各个服务器(FTP、DNS、Apache、Sendmail、Samba),由于这些服务器都被放置在一个安全的地方,一般是不允许任何人进入的,公司现在需要通过远程客户端安全的访问这些服务器。
SSH是标准的网络协议,可用于大多数UNIX操作系统,能够实现字符界面的远程登录管理,它默认使用22号端口,采用密文的形式在网络中传输数据,相对于通过明文传输的Telnet,具有更高的安全性。
SSH提供了口令和密钥两种用户验证方式,这两者都是通过密文传输数据的,不同的是,口令用户验证方式传输的是用户的账户名和密码,这要求输入的密码具有足够的复杂度才能具有更高的安全性。而基于密钥的安全验证必须为用户自己创建一对密钥,并把共有的密钥放在需要访问的服务器上。当需要连接到SSH服务器上时,客户端软件就会向服务器发出请求,请求使用客户端的密钥进行安全验证。服务器收到请求之后,先在该用户的根目录下寻找共有密钥,然后把它和发送过来的公有密钥进行比较。如果两个密钥一致,服务器就用公有的密钥加密“质询”,并把它发送给客户端软件(puetty)。客户端收到质询之后,就可以用本地的私人密钥解密再把它发送给服务器。这种方式是相当安全的。
实验网络拓扑:
clip_image002
 
实验步骤:
 
一、 安装并配置OpenSSH软件
在RHEL4系统中OpenSSH服务器和客户端软件是默认安装的,因此不需要用户手动安装。如果没有安装,与OpenSSH服务相关的软件包都包括再第二张安装光盘中,可通过rpm命令进行安装。
clip_image004
 
在RHEL4中,与OpenSSH服务相关的配置文件都保存在目录“/etc/ssh”中,其中sshd_config是SSH服务器的配置文件,ssh_config是SSH客户机的配置文件。本实验通过在Windows使用puetty登录,因此不需要配置ssh_config。只需要配置sshd_config即可。
clip_image006
 
在sshd_config文件中将下面的三行注释去掉即可。
RSAAuthentication yes 开启RSA加密功能
PubkeyAuthentication yes 开启公钥验证功能
AuthorizedKeysFile 指定公钥的文件名称以及保存位置
clip_image008
 
配置完成之后,需要重启sshd服务程序,以便新的配置生效。
clip_image010
 
在SSH服务器端(客户机端也可以,最好在客户机端生成,然后将公钥上传到对应的目录中,这样比较安全)生成公钥和私钥对。
ssk-keygen命令用于生成当前用户的密钥对。
-t rsa 命令选项指定密钥的类型为rsa。
-b 1024 命令选项指定密钥的长度为1024位。
在ssh-keygen命令生成密钥的执行过程中,需要用户回答相关的设置信息,第一个为私钥的默认路径,第二个为私钥的密码,第三个为私钥的再次密码确认。
clip_image012
 
ssh-keygen命令执行完毕后会在用户宿主目录的“.ssh”目录中生成两个文件,其中id_rsa是用户私钥文件,id_rsa.pub是用户的公钥文件,这两个文件是通过ssh_keygen命令一次生成,并且需要配对使用的。
clip_image014
 
由于生成的公钥名称与指定的公钥名称不符,因此需要将生成的文件名换成authorized_keys即可。
clip_image016
 
二、 安全使用WinSCP软件导出用户私钥
由于需要将私钥文件id_rsa拷贝到用户的主机上,而且还要删除服务器上的私钥,这样可以保证私钥的唯一性。如果通过Samba或者FTP服务器都可能造成私钥的丢失,因此需要采用安全的方式访问Linux服务器。WinSCP是Windows下的scp和sftp客户端程序,安装完WinSCP软件之后,开启WinSCP软件会出现与PuTTY类似的配置对话框,在该对话框中输入SSH服务器的主机名(IP地址)和端口号,用户名和密码(口令),并选择“登录”按钮进入登录,连接的方式是通过密文传输的,安全性极高。
clip_image018
 
通过WinSCP软件登录上Linux之后,可以将用户的私钥id_rsa先拷贝到自己的主机上,然后将Linux上的私钥删除即可以防后患。
clip_image020
clip_image022
 
三、 使用PuTTY密钥生成器生成Windows识别的密钥。
由于Linux下生成的密钥直接在Windows下是不能使用的,因此需要使用puTTYgen在Windows客户端生成对应的私钥。
将Linux服务器上下载下来的私钥导入到PuTTY服务器上,选择密钥位数为1024,类型为SSH-2 RSA和服务器上命令ssh-keygen设置的参数对应。
clip_image024
 
单击“生成”按钮,然后输入密钥使用的密码。
clip_image026
 
生成之后,单击“保存私钥”到本机上,会生成一个扩展名为ppk文件退出即可。
clip_image028
clip_image030
 
四、 安装并配置PuTTY软件
 
在windows中需要安装第三方软件来实现SSH客户端的功能。PuTTY是Windows下最流行的SSH客户端软件,并且还是绿色软件,专门为SSH设置使用的,能够免费使用。下面是打开之后的主界面。
在会话一栏输入主机名称对应的IP地址,端口号为22,协议类型为SSH。
clip_image032
 
在认证一栏中导入PuTTY密钥生成器生成的密钥。
clip_image034
 
然后保存会话并打开。输入用户名root,然后输入私钥的密钥即可。
clip_image036
 
由于SSH采用密文的传输方式,因此默认运行root用户直接进入SSH登录,出于安全的需要也可以设置禁止root用户直接进行SSH登录。
在sshd_config配置文件中将“permitRootLogin yes”前面的注释去掉,并将“yes”改为“no”即可。对sshd_config配置之后,重新启动sshd服务即可。
clip_image038
clip_image039
 
在PuTTY上设置一个使用Linux口令登录可以发现登录失败,这就是“PermitRootLogin no”造成的。
clip_image041
clip_image043


本文转自凌激冰51CTO博客,原文链接:http://blog.51cto.com/dreamfire/167468,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
10074 0
xshell,putty远程连接Linux并使用密钥认证
putty秘钥登录 1.软件:putty、puttygen puttygen点击Generate生成公钥和私钥   二次保障,输入设置密码   点击保存私钥文件即可。
1184 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
10882 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
13882 0
6967
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载