配置ssh密钥登录可提升linux服务器安全性。1. 本地执行ssh-keygen生成私钥和公钥;2. 使用ssh-copy-id或手动复制将公钥添加到服务器的authorized_keys文件;3. 设置.ssh目录权限为700、authorized_keys文件权限为600,并确保主目录无其他用户写权限;4. 可选禁用密码登录,修改sshd_config并重启ssh服务,确保已有密钥登录可用以避免被锁。整个过程需注意权限设置,否则可能导致密钥失效。
配置SSH密钥登录是提升linux服务器安全性的常用做法。相比密码登录,使用密钥对验证更安全也更方便,尤其是在自动化脚本或频繁连接的场景下。关键在于正确设置authorized_keys文件。
1. 生成SSH密钥对(本地操作)
在你常用的电脑上(比如Mac或Linux)执行以下命令生成一对密钥:
ssh-keygen -t rsa -b 4096
- 会提示你选择保存路径,默认是~/.ssh/id_rsa,直接回车即可。
- 接着可以设置一个密码(passphrase),也可以不设,根据你的安全需求决定。
完成后会在.ssh目录下生成两个文件:
- id_rsa:私钥,一定要妥善保管,不能泄露。
- id_rsa.pub:公钥,要上传到服务器。
2. 将公钥上传到服务器
最简单的方法是用ssh-copy-id命令:
ssh-copy-id user@server_ip
- user是你要登录的用户名
- server_ip是目标服务器IP地址
这个命令会自动将你的公钥添加到服务器上的~/.ssh/authorized_keys文件中。
如果没有这个命令,也可以手动复制粘贴:
cat ~/.ssh/id_rsa.pub | ssh user@server_ip "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"
3. 设置正确的权限(服务器端操作)
SSH非常“挑剔”权限设置,如果不对,密钥可能不会生效。
你需要确保以下几点:
-
.ssh目录权限为700:
chmod 700 ~/.ssh
-
authorized_keys文件权限为600:
chmod 600 ~/.ssh/authorized_keys
-
用户主目录不能对其他用户有写权限(常见但容易忽略):
chmod go-w ~
如果你不确定哪里出问题,可以用ssh -v加详细输出查看原因:
ssh -v user@server_ip
4. 禁用密码登录(可选但推荐)
确认密钥登录正常后,建议关闭密码登录以提高安全性。
编辑SSH配置文件(一般在/etc/ssh/sshd_config):
sudo nano /etc/ssh/sshd_config
修改以下选项:
PasswordAuthentication no ChallengeResponseAuthentication no UsePAM no
然后重启SSH服务:
sudo systemctl restart sshd
⚠️ 注意:修改前请确保你至少有一个可用的密钥登录方式,否则可能被锁在外面。
基本上就这些。只要注意权限和路径,整个过程其实不复杂,但很多新手容易在权限或目录权限上踩坑。
