SecureCRT
一:环境
SecureCRT版本:SecureCRT_5.1.3
linux版本:
[root@angelT ~]# cat /etc/redhat-release
CentOS release 6.4 (Final)
[root@angelT ~]# uname -r
2.6.32-358.el6.x86_64
linux系统的sshd_config配置文件是默认的,没有任何的修改。
二:配置SecureCRT客户端
CRT默认身份验证第一的是口令验证,这次我们测试使用它的密钥身份验证。
1、选择工具,创建公钥
2、选择RSA加密算法
3、输入通行短语(登录时会用到它,就是密码)
4、我是测试,密钥长度选择默认
5、完成,这里是公钥和私钥的地址,是可以更改的,我默认了。(注:这里高版本会有选择openssh格式的,直接选择这个格式,那么我下面格式转换的命令可以省略了)
6、这里的全局我选择了否
三:分发公钥到linux和linux端的配置
我这里用了rz命令,将公钥上传到了linux端上。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
|
[root@angelT ~]
# mkdir .ssh
[root@angelT ~]
# chmod 700 .ssh #创建隐藏目录.ssh,赋予700权限
[root@angelT ~]
# ll -ad .ssh
drwx------. 2 root root 4096 4月 15 02:25 .
ssh
[root@angelT ~]
# mv Identity.pub .ssh
[root@angelT ~]
# cd .ssh
[root@angelT .
ssh
]
# ll
总用量 4
-rw-r--r--. 1 root root 727 4月 14 18:12 Identity.pub
[root@angelT .
ssh
]
# ssh-keygen -i -f Identity.pub >>authorized_keys #我的版本没有直接能转换成OpenSSH密钥格式的选项,所以需要用此命令转换下 OpenSSH 认的密钥格式。
[root@angelT .
ssh
]
# chmod 600 authorized_keys #为了安全,更改其权限为600
[root@angelT .
ssh
]
# ll authorized_keys
-rw-------. 1 root root 589 4月 15 02:27 authorized_keys
[root@angelT ~]
# /etc/init.d/sshd restart #记得,要重启下sshd服务
停止 sshd: [确定]
正在启动 sshd: [确定]
|
四:SecureCRT客户端测试连接
选择公钥,将公钥验证提升到最上面的级别,选择属性
选择使用会话公钥设置
输入上面配置的通行短语
OK了,测试成功~~~~进入系统了。。。oye!!!
PUTTY
一般使用 PuTTY 等 SSH 客户端来远程管理 Linux 服务器。但是,一般的密码方式登录,容易有密码被暴力破解的问题。所以,一般我们会将 SSH 的端口设置为默认的 22 以外的端口,或者禁用 root 账户登录。其实,有一个更好的办法来保证安全,而且让你可以放心地用 root 账户从远程登录——那就是通过密钥方式登录。
密钥形式登录的原理是:利用密钥生成器制作一对密钥——一只公钥和一只私钥。将公钥添加到服务器的某个账户上,然后在客户端利用私钥即可完成认证并登录。这样一来,没有私钥,任何人都无法通过 SSH 暴力破解你的密码来远程登录到系统。此外,如果将公钥复制到其他账户甚至主机,利用私钥也可以登录。
下面来讲解如何在 Linux 服务器上制作密钥对,将公钥添加给账户,设置 SSH,最后通过客户端登录。
1. 制作密钥对
首先在服务器上制作密钥对。首先用密码登录到你打算使用密钥登录的账户,然后执行以下命令:
[root@host ~]$ ssh-keygen <== 建立密钥对
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): <== 按 Enter
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase): <== 输入密钥锁码,或直接按 Enter 留空
Enter same passphrase again: <== 再输入一遍密钥锁码
Your identification has been saved in /root/.ssh/id_rsa. <== 私钥
Your public key has been saved in /root/.ssh/id_rsa.pub. <== 公钥
The key fingerprint is:
0f:d3:e7:1a:1c:bd:5c:03:f1:19:f1:22:df:9b:cc:08 root@host
密钥锁码在使用私钥时必须输入,这样就可以保护私钥不被盗用。当然,也可以留空,实现无密码登录。
现在,在 root 用户的家目录中生成了一个 .ssh 的隐藏目录,内含两个密钥文件。id_rsa 为私钥,id_rsa.pub 为公钥。
2. 在服务器上安装公钥
键入以下命令,在服务器上安装公钥:
[root@host ~]$ cd .ssh
[root@host .ssh]$ cat id_rsa.pub >> authorized_keys
如此便完成了公钥的安装。为了确保连接成功,请保证以下文件权限正确:
[root@host .ssh]$ chmod 600 authorized_keys
[root@host .ssh]$ chmod 700 ~/.ssh
3. 设置 SSH,打开密钥登录功能
编辑 /etc/ssh/sshd_config 文件,进行如下设置:
RSAAuthentication yes
PubkeyAuthentication yes
另外,请留意 root 用户能否通过 SSH 登录:
PermitRootLogin yes
当你完成全部设置,并以密钥方式登录成功后,再禁用密码登录:
PasswordAuthentication no
最后,重启 SSH 服务:
[root@host .ssh]$ service sshd restart
4. 将私钥下载到客户端,然后转换为 PuTTY 能使用的格式
使用 WinSCP、SFTP 等工具将私钥文件 id_rsa 下载到客户端机器上。然后打开 PuTTYGen,单击 Actions 中的 Load 按钮,载入你刚才下载到的私钥文件。如果你刚才设置了密钥锁码,这时则需要输入。
载入成功后,PuTTYGen 会显示密钥相关的信息。在 Key comment 中键入对密钥的说明信息,然后单击 Save private key 按钮即可将私钥文件存放为 PuTTY 能使用的格式。
今后,当你使用 PuTTY 登录时,可以在左侧的 Connection -> SSH -> Auth 中的 Private key file for authentication: 处选择你的私钥文件,然后即可登录了,过程中只需输入密钥锁码即可。
XShell
在我们平时使用Linux系统时候,通常使用的Linux SSH登录方式是用户名加密码的登录方式,今天来探讨另外的一种相对安全的登录方式——密钥登录。
我们知道SSH登录是用的RSA非对称加密的,所以我们在SSH登录的时候就可以使用RSA密钥登录,SSH有专门创建SSH密钥的工具ssh-keygen,下面就来一睹风采。
首先进入Linux系统的用户目录下的.ssh目录下,root用户是/root/.ssh,普通用户是/home/您的用户名/.ssh,我们以root用户为例:
- cd /root/.ssh
执行ssh-keygen命令创建密钥对,
- ssh-keygen -t rsa -b 4096
执行密钥生成命令,基本上是一路回车既可以了,但是需要注意的是:执行命令的过程中是会提示呢输入密钥的密码的(如下图中红色箭头处,输入两次相同的,即是又一次确认密码),不需要密码直接回车就行。
密钥生成后会在当前目录下多出两个文件,id_rsa和id_rsa.pub,其中id_rsa是私钥(敲黑板:这个很重要,不能外泄),id_rsa.pub这个是公钥,
把公钥拷贝到需要登录的远程服务器或Linux系统上,这里可以使用ssh-copy-id
- ssh-copy-id -i /root/.ssh/id_rsa.pub [email protected]
进入远程服务器需要SSH登录的用户的目录下,这里仍然用root用户,cd /root/.ssh,执行ls看看目录下是否有authorized_keys文件没有的话则执行以下命令创建:
- touch authorized_keys
- chmod 600 /root/.ssh/authorized_keys
将上面生成的公钥id_rsa.pub追加到authorized_keys文件中:
- cat /root/.ssh/id_rsa.pub >> /root/.ssh/authorized_keys
单尖括号>表示将文件内容全部替换掉;也就是说使用单尖括号>,authorized_keys文件里面如果原来有内容的话就全部不在了。
密钥准备好了接下来就可以使用密钥登录了,
- ssh -i ./id_rsa [email protected]
- 或者ssh [email protected] -i ./id_rsa
在Windows系统上使用密钥的话要看您使用的工具是否支持密钥登录, 笔者这里使用Xshell 5 演示,
在输入密码处选择Public key,可以在浏览处添加密钥,这里添加的是私钥id_rsa,如果创建密钥对的时候设置密码了,需要在下方的密码框中输入密码,没有密码直接确定登录。
小贴士:
ssh-keygen可用的参数选项有: -a trials 在使用 -T 对 DH-GEX 候选素数进行安全筛选时需要执行的基本测试数量。 -B 显示指定的公钥/私钥文件的 bubblebabble 摘要。 -b bits 指定密钥长度。对于RSA密钥,最小要求768位,默认是2048位。DSA密钥必须恰好是1024位(FIPS 186-2 标准的要求)。 -C comment 提供一个新注释 -c 要求修改私钥和公钥文件中的注释。本选项只支持 RSA1 密钥。 程序将提示输入私钥文件名、密语(如果存在)、新注释。 -D reader 下载存储在智能卡 reader 里的 RSA 公钥。 -e 读取OpenSSH的私钥或公钥文件,并以 RFC 4716 SSH 公钥文件格式在 stdout 上显示出来。 该选项能够为多种商业版本的 SSH 输出密钥。 -F hostname 在 known_hosts 文件中搜索指定的 hostname ,并列出所有的匹配项。 这个选项主要用于查找散列过的主机名/ip地址,还可以和 -H 选项联用打印找到的公钥的散列值。 -f filename 指定密钥文件名。 -G output_file 为 DH-GEX 产生候选素数。这些素数必须在使用之前使用 -T 选项进行安全筛选。 -g 在使用 -r 打印指纹资源记录的时候使用通用的 DNS 格式。 -H 对 known_hosts 文件进行散列计算。这将把文件中的所有主机名/ip地址替换为相应的散列值。 原来文件的内容将会添加一个".old"后缀后保存。这些散列值只能被 ssh 和 sshd 使用。 这个选项不会修改已经经过散列的主机名/ip地址,因此可以在部分公钥已经散列过的文件上安全使用。 -i 读取未加密的SSH-2兼容的私钥/公钥文件,然后在 stdout 显示OpenSSH兼容的私钥/公钥。 该选项主要用于从多种商业版本的SSH中导入密钥。 -l 显示公钥文件的指纹数据。它也支持 RSA1 的私钥。 对于RSA和DSA密钥,将会寻找对应的公钥文件,然后显示其指纹数据。 -M memory 指定在生成 DH-GEXS 候选素数的时候最大内存用量(MB)。 -N new_passphrase 提供一个新的密语。 -P passphrase 提供(旧)密语。 -p 要求改变某私钥文件的密语而不重建私钥。程序将提示输入私钥文件名、原来的密语、以及两次输入新密语。 -q 安静模式。用于在 /etc/rc 中创建新密钥的时候。 -R hostname 从 known_hosts 文件中删除所有属于 hostname 的密钥。 这个选项主要用于删除经过散列的主机(参见 -H 选项)的密钥。 -r hostname 打印名为 hostname 的公钥文件的 SSHFP 指纹资源记录。 -S start 指定在生成 DH-GEX 候选模数时的起始点(16进制)。 -T output_file 测试 Diffie-Hellman group exchange 候选素数(由 -G 选项生成)的安全性。 -t type 指定要创建的密钥类型。可以使用:"rsa1"(SSH-1) "rsa"(SSH-2) "dsa"(SSH-2) -U reader 把现存的RSA私钥上传到智能卡 reader -v 详细模式。ssh-keygen 将会输出处理过程的详细调试信息。常用于调试模数的产生过程。 重复使用多个 -v 选项将会增加信息的详细程度(最大3次)。 -W generator 指定在为 DH-GEX 测试候选模数时想要使用的 generator -y 读取OpenSSH专有格式的公钥文件,并将OpenSSH公钥显示在 stdout 上。