目的:為了鞏固線上外網服務器的安全,避免黑客攻擊植入木馬,初步決定禁用root密碼登錄(安全強度低),統一使用秘鑰登錄(4096位長度,安全性較高)
具體操作如下:
一、生成ssh秘鑰:
ssh-keygen -t rsa -b 4096
cat /root/.ssh/id_rsa.pub >> /root/.ssh/authorized_keys
chmod 600 /root/.ssh/authorized_keys
ssh -i ./id_rsa root@IP
-b bits 指定密鑰長度。對於RSA密鑰,最小要求768位,默認是2048位。DSA密鑰必須恰好是1024位(FIPS 186-2 標准的要求)-t type 指定要創建的密鑰類型。可以使用:"rsa1"(SSH-1) "rsa"(SSH-2) "dsa"(SSH-2)-C comment 提供一個新注釋
二、修改sshd配置文件:
[root@iZbp12gccdk5c3mxadyc4bZ ~]# vim /etc/ssh/sshd_config
將
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys三項配置開啟
將:
PasswordAuthentication yes
改為:
PasswordAuthentication no
三、重啟sshd服務:
[root@iZbp12gccdk5c3mxadyc4bZ ~]# service sshd restart
四、將服務器的秘鑰刪除,前提是必須要保存好現有秘鑰(可選項)