文:鐵樂與貓
2017-6月中旬
堡壘機遠程桌面windows系統就不用細說了
堡壘機遠程ssh連接linux系統倒要說一下,畢竟是為安全一般只用通過密鑰連接,而不使用密碼的方式連接。
首先我們得在需要遠程的服務器上創建ssh密鑰對,
比如我在Redis服務器上有yunwei和kaifa兩個用戶,就可以分別在不同用戶的家目錄下創建密鑰對:
比如上圖是在kaifa的家目錄下,敲命令:
ssh-keygen -t rsa
表示創建一對rsa密鑰(因為阿里雲的堡壘機只認ssh-keygen創建的rsa密鑰)
三次回車(第一次是默認名稱、第二次是默認空密碼、第三次是確認)之后,
在kaifa的家目錄下會生成.ssh/(隱藏目錄)
和.ssh/下的id_rsa(私鑰,2048位)、id_rsa.pub(公鑰,要追加到認證文件)
接下來要做的是將公鑰追加到authorized_keys文件上(默認的名字,當然你也可以改)
這個文件隨追加命令敲完后而生成
cat id_rsa.pub >> authorized_keys
注意,以上命令操作都是在已經cd進.ssh目錄下敲的,不然的話你要敲全路徑。
還有特別重要的一步,修改authorized_keys文件為600權限!
chmod 600 authorized_keys
如果這一步沒做將會導致ssh連接不成功,認證失敗。
其實除了authorized_keys文件需要600權限以外,.ssh/目錄也是需要700權限,
只不過在敲ssh-keygen -t rsa 三次回車默認創建的.ssh/目錄就是700罷了。
authorized_keys:存放遠程免密登錄的公鑰,主要通過這個文件記錄多台機器的公鑰
id_rsa : 生成的私鑰文件
id_rsa.pub : 生成的公鑰文件
know_hosts : 已知的主機公鑰清單
如果希望ssh公鑰生效需滿足至少下面兩個條件:
1) .ssh目錄的權限必須是700
2) .ssh/authorized_keys文件權限必須是600
再來是修改sshd_config配置文件,使ssh使用密鑰認證生效
分別去除以下三行的#號注釋
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
(RSA認證開啟、公鑰開啟、公鑰記錄文件指定)
此外,如果只允許使用密鑰ssh連接,那么可以將密碼認證給設置為不開啟-no:
PasswordAuthentication no
這樣會更安全。
重啟ssh服務
service sshd restart
本機連接普通用戶測試
**ssh localhost **
堡壘機上設置好憑據,簡單來說也就是將私鑰id_rsa對應下載回本地客戶機,
然后再打開文件,復制里面的內容到堡壘機網頁相應設置上。
如果是在普通的linux客戶端上用ssh命令連接是這樣的:
ssh -i 私鑰文件 用戶@遠程服務器IP -p ssh端口
而在堡壘機上只不過隱藏了這條命令,界面是這樣的:
當然后面可以根據分明細組和用戶來做到列表明細化。
這就不是重點了。
END