Linux禁用密码使用密钥登录指南
还在担心密码被暴力破解吗?本文提供了一份清晰、直接的操作指南,将带你一步步为Linux服务器禁用不安全的密码认证,并配置SSH密钥登录,从根本上加固你的服务器安全防线。
核心流程
- 本地:生成密钥对(公钥+私钥)。
- 本地 -> 服务器:上传公钥。
- 服务器:测试密钥登录。
- 服务器:禁用密码登录。
第一步:在本地计算机生成密钥对
操作位置:你的个人电脑(Windows/macOS/Linux)终端。
运行以下命令生成 ed25519 密钥。它比传统的RSA更安全、更高效。
1 | ssh-keygen -t ed25519 |
系统会询问你:
- 保存位置: 直接按回车,使用默认路径 (
~/.ssh/id_ed25519)。 - 密钥密码 (Passphrase): 强烈建议设置! 这是私钥的最后一道防线。输入时不可见。
完成后,你将在 ~/.ssh/ 目录下得到两个文件:
id_ed25519:私钥,绝对不能泄露。id_ed25519.pub:公钥,将要上传到服务器。
第二步:将公钥上传至服务器
操作位置:你的个人电脑终端。
使用 ssh-copy-id 命令是最简单、最推荐的方式,它能自动处理好服务器上的文件权限。
1 | # 将 username 替换为你的服务器用户名,your_server_ip 替换为服务器IP |
根据提示输入你的服务器登录密码(这可能是你最后一次使用它)。
备用方案:手动上传
如果本地没有 ssh-copy-id,可按以下步骤手动操作:
本地:复制公钥内容。
1
2cat ~/.ssh/id_ed25519.pub
# 复制屏幕上输出的 ssh-ed25519 开头的所有内容服务器:登录后,将公钥写入
authorized_keys文件。1
2
3
4
5
6# 确保 .ssh 目录存在且权限正确 (700)
mkdir -p ~/.ssh && chmod 700 ~/.ssh
# 将公钥追加到文件,并设置权限 (600)
echo "在此处粘贴你复制的公钥字符串" >> ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys
第三步:测试密钥登录
操作位置:你的个人电脑终端。
⚠️ 至关重要的一步!在禁用密码前,务必确认此步成功!
打开一个 新终端窗口,尝试登录:
1 | ssh username@your_server_ip |
如果配置正确,系统会提示你输入密钥密码 (passphrase) 而不是服务器登录密码。成功登录后,再进行最后一步。
第四步:在服务器上禁用密码登录
操作位置:已通过密钥登录的服务器终端。
编辑SSH服务配置文件。
1
sudo vim /etc/ssh/sshd_config
找到并修改以下三项,确保它们的值如下(如果被
#注释,请去掉#):1
2
3PubkeyAuthentication yes
PasswordAuthentication no
ChallengeResponseAuthentication noPubkeyAuthentication yes:确保密钥认证是开启的。PasswordAuthentication no:禁用密码认证。
保存文件并重启SSH服务使配置生效。
1
sudo systemctl restart sshd
完成!
恭喜!你的服务器现在已经切换到更安全的密钥登录模式。从现在开始,只有持有对应私钥的设备才能登录,大大提升了服务器的安全性。
小贴士:
如果你本地有多个密钥,想用指定的密钥登录,可以使用 -i 参数:
1 | ssh -i /path/to/your/private_key username@your_server_ip |
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 技术博客!
微信
支付宝
相关推荐
2025-06-06
掌握 ssh-keygen:揭秘公钥与私钥的工作原理与生成实践
在日常的软件开发和系统管理中,我们经常需要安全地连接到远程服务器、执行 Git 操作,或者进行其他需要身份认证的网络通信。传统的密码认证方式往往存在暴力破解和中间人攻击的风险,而基于SSH密钥认证的机制,则提供了一种更强大、更安全的解决方案。 SSH(Secure Shell)密钥对由公钥和私钥组成。公钥可以公开,放置在远程服务器上;私钥则必须严格保密,存放在本地。当尝试连接时,SSH客户端会用私钥加密一段数据,服务器用对应的公钥解密验证,从而完成身份认证,无需传输敏感的密码。 本文将深入解析生成SSH密钥对的核心命令:ssh-keygen -t rsa -b 4096 -C "your_email@example.com",并指导你如何在实践中正确使用它。 一、ssh-keygen:SSH密钥生成器ssh-keygen 是一个用于生成、管理和转换SSH密钥对的实用工具。它是 OpenSSH 套件的一部分,几乎在所有类Unix系统(包括Linux、macOS)以及通过Git...
2023-11-23
CentOS7更改默认SSH端口与配置指南
SSH(Secure Shell)是 Linux 服务器远程管理的核心工具,其默认监听端口为 22。由于端口 22 众所周知,这也使得服务器容易受到自动化扫描和暴力破解攻击。虽然更改 SSH 默认端口只是安全加固的一种辅助手段,但它能有效地降低被自动化攻击工具扫描的风险。 本文将系统性地介绍如何在 CentOS 7 系统中安全地更改 SSH 端口,解决 SELinux 和防火墙相关配置,确保远程访问不中断。同时,我们还会探讨提升 SSH 安全性的更有效搭配方案。 为什么要更改 SSH 默认端口? 减少自动扫描攻击:大量恶意机器人默认扫描 22 端口,通过更改端口可以减少被扫描的概率。 防止大规模暴力破解:将 SSH 端口调整到非标准端口可以有效防止针对 22 端口的暴力破解攻击。 配合其他安全措施提升防御层次:虽然更改端口并不能阻止有决心的攻击者扫描,但这是安全“深度防御”策略的一部分。 提示:更安全的 SSH 防护手段是使用基于密钥的无密码登录、限制 IP 白名单、以及开启两步验证等措施。 步骤详解:如何更改 CentOS 7 的 SSH 默认端口1. 备份...
2023-12-02
CentOS7完全卸载Docker全攻略
Docker 已成为现代云原生架构的核心组件,但在某些情况下,比如需要重新安装 Docker、升级版本或切换到其他容器管理工具时,彻底卸载 Docker 并清理相关数据成为必要步骤。本文将针对 CentOS 7 操作系统,详细梳理并扩展 Docker 卸载的完整流程,确保系统环境干净无残留。 卸载前的准备工作:确保容器和镜像不再使用卸载 Docker 前,必须先确认没有任何运行中的容器和正在使用的 Docker 镜像,否则可能导致后续操作失败或数据残留。 1. 停止并杀死所有运行中的容器终止所有正在运行的 Docker 容器: 1docker ps -q | xargs -r docker kill 说明: docker ps -q 会列出所有运行中容器的 ID,xargs -r 确保只有在有容器 ID 时才执行命令,避免报错。 2. 删除所有容器(包括已停止状态)清理所有容器: 1docker ps -a -q | xargs -r docker rm 3. 删除所有镜像清除所有 Docker 镜像,释放磁盘空间: 1docker images -q |...
2024-04-15
CentOS7与RockyLinux系统时间同步指南
系统时间的准确性对于服务器的稳定运行至关重要。无论是日志记录的准确性、安全认证的时效性,还是数据库事务与分布式系统的协调,时间均扮演关键角色。本文将全面介绍如何在 CentOS 7 和 Rocky Linux 9.4 上配置时间同步方案,重点对比传统工具 ntpdate 与现代工具 chrony 的使用方法和最佳实践,助您打造高效、稳定的服务器环境。 CentOS 7 上使用 ntpdate 进行时间同步在 CentOS 7 中,ntpdate 是一个常用但渐显过时的时间同步工具,适合快速手动同步系统时间,简洁易用但不适合长期自动同步。 安装 ntpdate1sudo yum install -y ntpdate 手动同步系统时间下面命令使用阿里云的 NTP 服务器作为时间源,立即同步系统时间: 1sudo ntpdate ntp.aliyun.com 同步硬件时钟为了确保硬件时钟(RTC)与系统时钟一致,建议执行: 1sudo hwclock --systohc 这有助于避免重启后时间偏差。 配置定时同步任务(可选)虽然不推荐频繁使用 ntpdate...
2024-07-30
CentOS系统中Hostname的修改方法详解
在Linux服务器管理中,修改主机名(hostname)是常见且必要的操作。不同版本的CentOS系统,其修改主机名的方法有所区别,本文将分别介绍CentOS 6和CentOS 7中修改hostname的最佳实践,并补充详细步骤及注意事项,帮助您正确高效地完成操作。 在CentOS 6中修改hostnameCentOS 6属于较老版本,修改主机名需要手动编辑配置文件,并重启网络服务或系统生效。具体步骤如下: 查看当前hostname 123hostname# 示例输出centos6.magedu.com 修改配置文件 打开 /etc/sysconfig/network 文件,在 HOSTNAME 字段中设置新的主机名,例如: 1vim /etc/sysconfig/network 将其中的行修改为: 1HOSTNAME=centos66.magedu.com 设置当前会话的hostname 立即生效当前会话的hostname,执行: 1hostname centos66.magedu.com 更新hosts文件 编辑 /etc/hosts 文件,确保...
2024-05-15
CentOS系统在线安装docker与docker-compose实战指南
本文将详细介绍如何在 CentOS 系统中,安装指定版本的 Docker 和 Docker Compose,保证环境的稳定与兼容。文中推荐的 Docker 版本为 25.0.5,Docker Compose 版本为 2.22.0,适合生产环境使用。 系统及环境要求在安装之前,请确认以下基础要求: CentOS 内核版本需高于 3.10,通过执行以下命令查看: 1uname -r Docker 在较低内核版本系统上可能无法正常工作,请务必确保符合要求。 安装过程需要网络通畅,尤其是访问外网的 GitHub 用于下载 Docker Compose。 清理旧版本 Docker(如有)如果系统中存在旧版本 Docker,为避免冲突建议先卸载: 1sudo yum remove -y docker docker-common docker-selinux docker-engine docker-ce docker-ce-cli containerd.io 安装必备依赖包为了保证 Docker 正常安装与运行,需先安装以下工具: yum-utils:提供...
