本地服务器搭建 二之 (服务器使用密钥安全连接)
【摘要】
作者:@lxchinesszz 本文为作者原创,转载请注明出处
紧接上文,上文的重点不是连接,而是如何在局域网中用废弃的电脑搭建,是不是感觉很easy,那么这篇文章我们的重点就放在了安全上了,因为毕竟服务器是我们放应用或者数据库的地方,安全性一定要可靠。小编是做Java开发的,一只热爱技术的小菜鸟,因为工作中常常要一条龙服务,即...
作者:@lxchinesszz
本文为作者原创,转载请注明出处
紧接上文,上文的重点不是连接,而是如何在局域网中用废弃的电脑搭建,是不是感觉很easy,那么这篇文章我们的重点就放在了安全上了,因为毕竟服务器是我们放应用或者数据库的地方,安全性一定要可靠。小编是做Java开发的,一只热爱技术的小菜鸟,因为工作中常常要一条龙服务,即,自己写需求文档,自己码代码,自己测试,自己部署,自己维护。虽然很累,但是很充实,很能提高自己。我也希望把自己的工作经验分享出来,对那些想小编一样热爱技术的小伙,有所帮助。说半天废话,下面开始。
-
密钥登录原理:
- 密钥常是一对的,即公钥和私钥,将公钥添加到服务器上的某个账户,然后客户端连接的时候,使用私钥完成认证就可以登录
小编我的两个物理主机一台虚拟主机和手机都是这样连接起来的
A.使用私钥登录
1.制作密钥对
- 首先在服务器制作,需要的登录账户,然后执行以下命令
[root@host ~]$ ssh-keygen #建立密钥对
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): #按 Enter
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase): # 输入密钥锁码,或直接按 Enter 留空
Enter same passphrase again: # 再输入一遍密钥锁码
Your identification has been saved in /root/.ssh/id_rsa. # 私钥
Your public key has been saved in /root/.ssh/id_rsa.pub. # 公钥
The key fingerprint is:
0f:d3:e7:1a:1c:bd:5c:03:f1:19:f1:22:df:9b:cc:08 root@host
2.安装公钥到服务端
- 讲公钥安装到服务器
[root@host ~]$ cd .ssh
[root@host .ssh]$ cat id_rsa.pub >> authorized_keys
- 设置权限
[root@host .ssh]$ chmod 600 authorized_keys #不让其他用户写入 600 权限
[root@host .ssh]$ chmod 700 ~/.ssh #读写执行的权限 700
-
ssh的配置文件都在
/etc/ssh/里面[centos@localhost ~]$ cd /etc/ssh/ [centos@localhost ssh]$ ls ssh_config #是客户单配置的 sshd_config #是服务端配置的 -
在
sshd_config中配置使用RSA登录RSAAuthentication yes PubkeyAuthentication yes PermitRootLogin yes # 允许root用户通过ssh登录 PasswordAuthentication no #不允许密码登录,只用使用私钥登录[一般我也用yes] -
最后服务端重启 ssh
[root@host .ssh]$ service sshd restart
3.操作客户端
- 3.1把服务端私钥复制到客户端,cat id_rsa,就是一下内容
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,A757691CABE05419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-----END RSA PRIVATE KEY-----
- 把里面的内容复制(这个是我的)自己的文件下
1.你也可以把服务端的id_rsa 下载到你的客户端,放在当前用户的.ssh目录下
2.也可以复制里面的内容然后再.ssh目录下,重新创建一个id_rsa
vi ~/.ssh/id_rsa # 创建私钥
4.直接可以登录了【然后就会发现问题】
✘ mac@MacBook-Air ~/.ssh ssh centos@192.168.1.112
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: UNPROTECTED PRIVATE KEY FILE! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0644 for '/Users/mac/.ssh/id_rsa' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Load key "/Users/mac/.ssh/id_rsa": bad permissions
centos@192.168.1.112's password:
# 遇到这个问题一般就是权限问题 赋权700 ,然后就ok了
mac@MacBook-Air ~/.ssh chmod 700 id_rsa
mac@MacBook-Air ~/.ssh ssh centos@192.168.1.112
Enter passphrase for key '/Users/mac/.ssh/id_rsa':
Last login: Sun Feb 19 12:56:05 2017 from 192.168.1.113
B.设置安全端口
- 默认使用22端口,这个在
etc/ssh/ssh_config就可以看到
我们可以不使用22端口,此时我们可以在服务器重新创建一个端口,然后使用防火墙屏蔽其他端口
-
开启端口
-
开启一个10222端口
/sbin/iptables -I INPUT -p tcp --dport 80 -j ACCEPT #写入修改 /etc/init.d/iptables save #保存修改 service iptables restart #重启防火墙,修改生效
-
-
然后可以查看一下端口状态
- 查看的时候一定要用root用户,否则查看不到的,所以我切换了10222 端口连接
- 端口的知识属于计算机的基础知识,如果你能看到这里,说明你的基础已经够了,不过下面我会专门写一篇关于底层的计算机的文章。
[centos@localhost ssh]$ su root
密码:
[root@localhost ssh]# /etc/init.d/iptables status
表格:filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:10222
2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:10222
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
4 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
5 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
6 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
7 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
- 服务端在/etc/ssh/sshd_config 中监听10222端口,然后就可以使用
ssh -p 10222 centos@192.168.1.112
文章来源: springlearn.blog.csdn.net,作者:西魏陶渊明,版权归原作者所有,如需转载,请联系作者。
原文链接:springlearn.blog.csdn.net/article/details/102425266
【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)