配置SSH服务使用证书登陆Ubuntu服务器

根据项目要求，须要将项目迁移到Linux系统上，做为测试，选用的是阿里云服务器，1核CPU，1G内存（没错就是这么穷），操做系统Ubuntu 16.04 64位。固然其实若是使用阿里云服务器实际上是不须要单独配置证书登陆的，由于能够在建立运行实例时直接配置证书登陆。不过由于以前我没接触过Linux系统，配置服务器的时候也没有人提过登陆方式的问题，当有人提的时候服务器里别人装了不少东西，我想若是重装系统会被打，因此就折腾了一下，还能多水一篇博客，岂不美哉？总之闲话少说。

 

为何使用证书登陆？经过SSH（Secure Shell）登陆Linux服务器认证方式有密码和证书两种，证书登陆更加安全。

=========================================================================

流程：

建立容许登陆的用户及用户组；配置服务器上的sshd_config；客户端生成证书的私钥与公钥对；服务器添加公钥；使用私钥登陆服务器及其FTP

=========================================================================

准备：

登陆Shell软件：PuTTY；证书生成软件：puttygen

下载地址：https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html

登陆FTP软件：FileZilla

下载地址：https://filezilla-project.org/

登陆Shell软件XShell，登陆FTP软件XFtp（推荐）：

http://www.xshellcn.com/xiazai.html

=========================================================================

建立容许登陆的用户及用户组：

建立用户：

# adduser userxxx

 

建立用户组：

# groupadd groupxx

 

将用户退出原来的默认组并添加到一个已有用户组：

# usermod -g groupxx userxxx

 

若是不但愿退出原来的组，使用-a(refers to append)并须要与-G（注意大写）配合

# usermod -a -G groupxx userxxx

 

从组中删除一个用户，可是要求groupxx不是userxxx的主组

# gpasswd -d userxxx groupxx

 

检查是否成功建立用户：能够查看到该user的uid，主组id，所在组

# id userxxx

 

赋予用户root权限

# vim /etc/sudoers

 

找到# User privilege specification，在root下面添加用户

root ALL=(ALL:ALL) ALL
# password needed when shifting user
userxxx ALL=(ALL:ALL) ALL
# password NOT needed when shifting user
userxxx ALL=(ALL:ALL) NOPASSWD:ALL

 

=========================================================================

 

配置服务器上的sshd_config：

注意：因为阿里云的服务器能够直接在控制台远程访问，所以坑少了不少，若是服务器只能经过客户端登陆须要注意，在配置证书过程当中须要禁用root登陆，禁用用户密码登陆，所以注意不要把本身锁在服务器外面。

配置sshd_config文件

# vim /etc/ssh/sshd_config

 

修改端口：默认为22，建议自定义，通常高于2000不超过65555

Port 2222

 

请确认修改后的端口能正常访问，以阿里云服务器为例，须要在管理控制台中设置安全组规则容许2222端口正常访问服务器。

协议：没有特殊缘由不要使用协议1

Protocol 2

 

登陆控制：

容许密钥登陆

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys

 

不容许空密码登陆

PermitEmptyPasswords no

 

禁止图形界面转发及TCP转发

AllowTcpForwarding no
X11Forwarding no

 

容许SFTP

Subsystem sftp /usr/lib/openssh/sftp-server

 

禁止root帐户登陆

PermitRootLogin no

 

容许SSH登陆的用户名/用户组：使用用户组更方便维护iii

AllowGroups groupxx
#AllowUsers userxxx

 

禁用密码登陆：为防误操做，禁用密码登陆能够等测试证书登陆经过后再设置，不然会把本身关在服务器外。

PasswordAuthentication no

 

记录详细日志

LogLevel VERBOSE

 

=========================================================================

客户端生成私钥/公钥对：

客户端为windows:

打开puttygen.exe 默认key_type为RSA（SSH-2）位数为2048，推荐设置位数4096，点击generate，鼠标随机在上面空白处移动，证书就根据这些随机点产生，等进度条走完便可。

 

生成key后能够修改comment标识key的用途。

保存public key，若是使用文本编辑器打开，相似下图：

 

可是更方便的一种作法，是直接拷贝生成的public key，暂存到文本文档里备用

保存private key

保存私钥前能够对private key设置密码，每次使用证书登陆前都要验证密码，更加安全，可是不设置也是能够的（我比较懒）。不设置的话会有提示确认是否不设置密码。

 

=========================================================================

服务器上配置用户公钥：

注意以前设置的公钥位置是：

AuthorizedKeysFile %h/.ssh/authorized_keys

 

也就是用户目录里的.ssh/authorized_keys

建立对应目录及文件：

# mkdir /home/userxxx/.ssh
# touch /home/userxxx/.ssh/authorized_keys

 

使用echo指令将公钥内容附加到指定文件结尾：

注意：最好在shell里粘贴公钥，若是使用的是阿里云服务器，直接在浏览器端的远程链接粘贴公钥会有大坑，可能部分字符串被转成命令执行。

# echo “ssh-rsa AA…..(content_of_pubkey)” >> /home/userxxx/.ssh/authorized_keys

 

修改文件访问权限：

# chmod 700 /home/userxxx/.ssh
# chmod 600 /home/userxxx/.ssh/authorized_keys

 

重启SSH服务：

# systemctl restart sshd

 

=========================================================================

到这里就可使用证书登陆了：

客户端为windows时，使用PuTTY

输入正确的HostName(IP Address)与Port，在左侧的Connection/SSH/Auth中设置Private Key File位置，回到Session保存，方便下次打开，点击右下的Open，输入用户名（若是私钥设置了密码还须要输入密码）便可链接到服务器了。

SFTP链接：使用FileZilla

在站点管理器中新建站点：主机端口与上面相同，协议（Protocal）选择SFTP，登陆类型选择密钥文件，填好用户名及密钥文件位置便可登陆成功。

 

由于实验室习惯使用XShell和XFtp客户端，而这两个客户端彷佛没法使用由PuTTYgen生成的密钥对，所以须要从新经过Xshell生成密钥对。

首先新建会话，填好主机和端口后在左栏找到用户身份验证，方法选择Public Key, 填写用户名，浏览用户密钥，在对话框中点击生成，推荐密钥类型为RSA，长度为4096，按照向导填写导出的密钥名称、私钥密码等信息，下一步获取公钥，并将新的公钥在服务器上注册（若是以前已经注册过，能够将新的公钥直接使用echo命令追加到/home/userxxx/.ssh/authorized_keys文件后，若是以前没有注册过，请参考上文注册的步骤）。完成在服务器的注册后，回到XShell，选择刚才生成的私钥，肯定链接便可。再转到XFtp能够直接找到刚才生成的密钥并进行链接，注意协议使用SFTP便可。

=========================================================================

若是客户端是Linux或Mac：

不须要用到软件，直接在命令行生成密钥对或访问服务器便可：

生成密钥对：

# ssh-keygen -t rsa -b 4096 -o -a 100 -C “KEY_COMMENT”

 

-t设置密钥类型，-b设置密钥位数，-C设置注释

提示的passphrase就是为私钥设置的密码，不设置的话直接两次回车便可。

默认状况下，生成的密钥保存在当前用户的.ssh文件夹下，id_rsa是私钥，id_rsa.pub是公钥。

使用证书登陆服务器：

# ssh -I /path_of_private_key/id_rsa userxxx@<server_ip> -p 2222

 

或者设置配置文件快速访问服务器：

# vim ~/.ssh/config
Host server1
  User userxxx
  Host server_ip
  Port 2222
  ServerAliveInterval 30
  IdentityFile /path_of_private_key/id_rsa
 
Host server2
  …
  …

 

使用如下命令便可登陆服务器：

# ssh server1

 

=========================================================================

附录

SSH配置参数详解：http://0001111.iteye.com/blog/1980857

/etc/ssh/sshd_config文件经常使用参数：

# 1. 关于 SSH Server 的总体设定，包含使用的 port 啦，以及使用的密码演算方式  
Port 22　　　　　　　　　　# SSH 预设使用 22 这个 port，您也可使用多的 port ！  
　　　　　　　　　　　　　 # 亦即重复使用 port 这个设定项目便可！  
Protocol 2,1　　　　　　　 # 选择的 SSH 协议版本，能够是 1 也能够是 2 ，  
　　　　　　　　　　　　　 # 若是要同时支持二者，就必需要使用 2,1 这个分隔了！  
#ListenAddress 0.0.0.0　　 # 监听的主机适配卡！举个例子来讲，若是您有两个 IP，  
　　　　　　　　　　　　　 # 分别是 192.168.0.100 及 192.168.2.20 ，那么只想要  
　　　　　　　　　　　　　 # 开放 192.168.0.100 时，就能够写如同下面的样式：  
ListenAddress 192.168.0.100          # 只监听来自 192.168.0.100 这个 IP 的SSH联机。  
　　　　　　　　　　　　　　　　　　 # 若是不使用设定的话，则预设全部接口均接受 SSH  
PidFile /var/run/sshd.pid　　　　　　# 能够放置 SSHD 这个 PID 的档案！左列为默认值  
LoginGraceTime 600　　　　 # 当使用者连上 SSH server 以后，会出现输入密码的画面，  
　　　　　　　　　　　　　 # 在该画面中，在多久时间内没有成功连上 SSH server ，  
　　　　　　　　　　　　　 # 就断线！时间为秒！  
Compression yes　　　　　　# 是否可使用压缩指令？固然能够?！  
　  
# 2. 说明主机的 Private Key 放置的档案，预设使用下面的档案便可！  
HostKey /etc/ssh/ssh_host_key　　　　# SSH version 1 使用的私钥  
HostKey /etc/ssh/ssh_host_rsa_key　　# SSH version 2 使用的 RSA 私钥  
HostKey /etc/ssh/ssh_host_dsa_key　　# SSH version 2 使用的 DSA 私钥  
  
# 2.1 关于 version 1 的一些设定！  
KeyRegenerationInterval 3600　 　　　# 由前面联机的说明能够知道， version 1 会使用   
　　　　　　　　　　　　　　　　　　 # server 的 Public Key ，那么若是这个 Public   
　　　　　　　　　　　　　　　　　　 # Key 被偷的话，岂不完蛋？因此须要每隔一段时间  
　　　　　　　　　　　　　　　　　　 # 来从新创建一次！这里的时间为秒！  
ServerKeyBits 768 　　　　　　　　　 # 没错！这个就是 Server key 的长度！  
# 3. 关于登陆文件的讯息数据放置与 daemon 的名称！  
SyslogFacility AUTH　　　　　　　　　# 当有人使用 SSH 登入系统的时候，SSH会记录资  
　　　　　　　　　　　　　　　　　　 # 讯，这个信息要记录在什么 daemon name 底下？  
　　　　　　　　　　　　　　　　　　 # 预设是以 AUTH 来设定的，便是 /var/log/secure  
　　　　　　　　　　　　　　　　　　 # 里面！什么？忘记了！回到 Linux 基础去翻一下  
　　　　　　　　　　　　　　　　　　 # 其它可用的 daemon name 为：DAEMON,USER,AUTH,  
　　　　　　　　　　　　　　　　　　 # LOCAL0,LOCAL1,LOCAL2,LOCAL3,LOCAL4,LOCAL5,  
LogLevel INFO　　　　　　　　　　　　# 登陆记录的等级！嘿嘿！任何讯息！  
　　　　　　　　　　　　　　　　　　 # 一样的，忘记了就回去参考！  
# 4. 安全设定项目！极重要！  
# 4.1 登入设定部分  
PermitRootLogin no　　 　　# 是否容许 root 登入！预设是容许的，可是建议设定成 no！  
UserLogin no　　　　　　　 # 在 SSH 底下原本就不接受 login 这个程序的登入！  
StrictModes yes　　　　　　# 当使用者的 host key 改变以后，Server 就不接受联机，  
　　　　　　　　　　　　　 # 能够抵挡部分的木马程序！  
#RSAAuthentication yes　　 # 是否使用纯的 RSA 认证！？仅针对 version 1 ！  
PubkeyAuthentication yes　 # 是否容许 Public Key ？固然容许啦！只有 version 2  
AuthorizedKeysFile      .ssh/authorized_keys  
　　　　　　　　　　　　　 # 上面这个在设定若要使用不须要密码登入的帐号时，那么那个  
　　　　　　　　　　　　　 # 帐号的存放档案所在档名！  
# 4.2 认证部分  
RhostsAuthentication no　　# 本机系统不止使用 .rhosts ，由于仅使用 .rhosts 太  
　　　　　　　　　　　　　 # 不安全了，因此这里必定要设定为 no ！  
IgnoreRhosts yes　　　　　 # 是否取消使用 ~/.ssh/.rhosts 来作为认证！固然是！  
RhostsRSAAuthentication no # 这个选项是专门给 version 1 用的，使用 rhosts 档案在  
　　　　　　　　　　　　　 # /etc/hosts.equiv配合 RSA 演算方式来进行认证！不要使用  
HostbasedAuthentication no # 这个项目与上面的项目相似，不过是给 version 2 使用的！  
IgnoreUserKnownHosts no　　# 是否忽略家目录内的 ~/.ssh/known_hosts 这个档案所记录  
　　　　　　　　　　　　　 # 的主机内容？固然不要忽略，因此这里就是 no 啦！  
PasswordAuthentication yes # 密码验证固然是须要的！因此这里写 yes ?！  
PermitEmptyPasswords no　　# 若上面那一项若是设定为 yes 的话，这一项就最好设定  
　　　　　　　　　　　　　 # 为 no ，这个项目在是否容许以空的密码登入！固然不准！  
ChallengeResponseAuthentication yes  # 挑战任何的密码认证！因此，任何 login.conf   
　　　　　　　　　　　　　　　　　　 # 规定的认证方式，都可适用！  
#PAMAuthenticationViaKbdInt yes      # 是否启用其它的 PAM 模块！启用这个模块将会  
　　　　　　　　　　　　　　　　　　 # 致使 PasswordAuthentication 设定失效！  
　  
# 4.3 与 Kerberos 有关的参数设定！由于咱们没有 Kerberos 主机，因此底下不用设定！  
#KerberosAuthentication no  
#KerberosOrLocalPasswd yes  
#KerberosTicketCleanup yes  
#KerberosTgtPassing no  
　  
# 4.4 底下是有关在 X-Window 底下使用的相关设定！  
X11Forwarding yes  
#X11DisplayOffset 10  
#X11UseLocalhost yes  
# 4.5 登入后的项目：  
PrintMotd no              # 登入后是否显示出一些信息呢？例如上次登入的时间、地点等  
　　　　　　　　　　　　　# 等，预设是 yes ，可是，若是为了安全，能够考虑改成 no ！  
PrintLastLog yes　　　　　# 显示上次登入的信息！能够啊！预设也是 yes ！  
KeepAlive yes　　　　　　 # 通常而言，若是设定这项目的话，那么 SSH Server 会传送  
　　　　　　　　　　　　　# KeepAlive 的讯息给 Client 端，以确保二者的联机正常！  
　　　　　　　　　　　　　# 在这个状况下，任何一端死掉后， SSH 能够马上知道！而不会  
　　　　　　　　　　　　　# 有僵尸程序的发生！  
UsePrivilegeSeparation yes # 使用者的权限设定项目！就设定为 yes 吧！  
MaxStartups 10　　　　　　# 同时容许几个还没有登入的联机画面？当咱们连上 SSH ，  
　　　　　　　　　　　　　# 可是还没有输入密码时，这个时候就是咱们所谓的联机画面啦！  
　　　　　　　　　　　　　# 在这个联机画面中，为了保护主机，因此须要设定最大值，  
　　　　　　　　　　　　　# 预设最多十个联机画面，而已经创建联机的不计算在这十个当中  
# 4.6 关于使用者抵挡的设定项目：  
DenyUsers *　　　　　　　 # 设定受抵挡的使用者名称，若是是所有的使用者，那就是所有  
　　　　　　　　　　　　　# 挡吧！如果部分使用者，能够将该帐号填入！例以下列！  
DenyUsers test  
DenyGroups test　　　　　 # 与 DenyUsers 相同！仅抵挡几个群组而已！  
# 5. 关于 SFTP 服务的设定项目！  
Subsystem       sftp    /usr/lib/ssh/sftp-server  

 

=========================================================================

参考：

用户管理相关：

https://cnzhx.net/blog/linux-add-user-to-group/#usermod

http://634871.blog.51cto.com/624871/1325907

SSH配置相关：

https://cnzhx.net/blog/linux-server-ssh-key-auth-configuration/