根据项目要求,需要将项目迁移到Linux系统上,作为测试,选用的是阿里云服务器,1核CPU,1G内存(没错就是这么穷),操作系统Ubuntu 16.04 64位。当然其实如果使用阿里云服务器其实是不需要单独配置证书登录的,因为可以在创建运行实例时直接配置证书登录。不过因为之前我没接触过Linux系统,配置服务器的时候也没有人提过登录方式的问题,当有人提的时候服务器里别人装了很多东西,我想如果重装系统会被打,所以就折腾了一下,还能多水一篇博客,岂不美哉?总之闲话少说。
为什么使用证书登录?通过SSH(Secure Shell)登录Linux服务器认证方式有密码和证书两种,证书登录更加安全。
=========================================================================
流程:
创建允许登录的用户及用户组;配置服务器上的sshd_config;客户端生成证书的私钥与公钥对;服务器添加公钥;使用私钥登录服务器及其FTP
=========================================================================
准备:
登录Shell软件:PuTTY;证书生成软件:puttygen
下载地址:https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html
登录FTP软件:FileZilla
下载地址:https://filezilla-project.org/
登录Shell软件XShell,登录FTP软件XFtp(推荐):
http://www.xshellcn.com/xiazai.html
=========================================================================
创建允许登录的用户及用户组:
创建用户:
# adduser userxxx
创建用户组:
# groupadd groupxx
将用户退出原来的默认组并添加到一个已有用户组:
# usermod -g groupxx userxxx
如果不希望退出原来的组,使用-a(refers to append)并需要与-G(注意大写)配合
# usermod -a -G groupxx userxxx
从组中删除一个用户,但是要求groupxx不是userxxx的主组
# gpasswd -d userxxx groupxx
检查是否成功创建用户:可以查看到该user的uid,主组id,所在组
# id userxxx
赋予用户root权限
# vim /etc/sudoers
找到# User privilege specification,在root下面添加用户
root ALL=(ALL:ALL) ALL
# password needed when shifting user
userxxx ALL=(ALL:ALL) ALL
# password NOT needed when shifting user
userxxx ALL=(ALL:ALL) NOPASSWD:ALL
=========================================================================
配置服务器上的sshd_config:
注意:由于阿里云的服务器可以直接在控制台远程访问,因此坑少了很多,如果服务器只能通过客户端登录需要注意,在配置证书过程中需要禁用root登录,禁用用户密码登录,因此注意不要把自己锁在服务器外面。
配置sshd_config文件
# vim /etc/ssh/sshd_config
修改端口:默认为22,建议自定义,一般高于2000不超过65555
Port
请确认修改后的端口能正常访问,以阿里云服务器为例,需要在管理控制台中设置安全组规则允许2222端口正常访问服务器。
协议:没有特殊原因不要使用协议1
Protocol
登录控制:
允许密钥登录
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys
不允许空密码登录
PermitEmptyPasswords no
禁止图形界面转发及TCP转发
AllowTcpForwarding no
X11Forwarding no
允许SFTP
Subsystem sftp /usr/lib/openssh/sftp-server
禁止root账户登录
PermitRootLogin no
允许SSH登录的用户名/用户组:使用用户组更方便维护iii
AllowGroups groupxx
#AllowUsers userxxx
禁用密码登录:为防误操作,禁用密码登录可以等测试证书登录通过后再设置,否则会把自己关在服务器外。
PasswordAuthentication no
记录详细日志
LogLevel VERBOSE
=========================================================================
客户端生成私钥/公钥对:
客户端为windows:
打开puttygen.exe 默认key_type为RSA(SSH-2)位数为2048,推荐设置位数4096,点击generate,鼠标随机在上面空白处移动,证书就根据这些随机点产生,等进度条走完即可。
生成key后可以修改comment标识key的用途。
保存public key,如果使用文本编辑器打开,类似下图:
但是更方便的一种做法,是直接拷贝生成的public key,暂存到文本文档里备用
保存private key
保存私钥前可以对private key设置密码,每次使用证书登录前都要验证密码,更加安全,但是不设置也是可以的(我比较懒)。不设置的话会有提示确认是否不设置密码。
=========================================================================
服务器上配置用户公钥:
注意之前设置的公钥位置是:
AuthorizedKeysFile %h/.ssh/authorized_keys
也就是用户目录里的.ssh/authorized_keys
创建对应目录及文件:
# mkdir /home/userxxx/.ssh
# touch /home/userxxx/.ssh/authorized_keys
使用echo指令将公钥内容附加到指定文件结尾:
注意:最好在shell里粘贴公钥,如果使用的是阿里云服务器,直接在浏览器端的远程连接粘贴公钥会有大坑,可能部分字符串被转成命令执行。
# echo “ssh-rsa AA…..(content_of_pubkey)” >> /home/userxxx/.ssh/authorized_keys
修改文件访问权限:
# chmod /home/userxxx/.ssh
# chmod /home/userxxx/.ssh/authorized_keys
重启SSH服务:
# systemctl restart sshd
=========================================================================
到这里就可以使用证书登录了:
客户端为windows时,使用PuTTY
输入正确的HostName(IP Address)与Port,在左侧的Connection/SSH/Auth中设置Private Key File位置,回到Session保存,方便下次打开,点击右下的Open,输入用户名(如果私钥设置了密码还需要输入密码)即可连接到服务器了。
SFTP连接:使用FileZilla
在站点管理器中新建站点:主机端口与上面相同,协议(Protocal)选择SFTP,登录类型选择密钥文件,填好用户名及密钥文件位置即可登录成功。
因为实验室习惯使用XShell和XFtp客户端,而这两个客户端似乎无法使用由PuTTYgen生成的密钥对,因此需要重新通过Xshell生成密钥对。
首先新建会话,填好主机和端口后在左栏找到用户身份验证,方法选择Public Key, 填写用户名,浏览用户密钥,在对话框中点击生成,推荐密钥类型为RSA,长度为4096,按照向导填写导出的密钥名称、私钥密码等信息,下一步获取公钥,并将新的公钥在服务器上注册(如果之前已经注册过,可以将新的公钥直接使用echo命令追加到/home/userxxx/.ssh/authorized_keys文件后,如果之前没有注册过,请参考上文注册的步骤)。完成在服务器的注册后,回到XShell,选择刚才生成的私钥,确定连接即可。再转到XFtp可以直接找到刚才生成的密钥并进行连接,注意协议使用SFTP即可。
=========================================================================
如果客户端是Linux或Mac:
不需要用到软件,直接在命令行生成密钥对或访问服务器即可:
生成密钥对:
# ssh-keygen -t rsa -b -o -a -C “KEY_COMMENT”
-t设置密钥类型,-b设置密钥位数,-C设置注释
提示的passphrase就是为私钥设置的密码,不设置的话直接两次回车即可。
默认情况下,生成的密钥保存在当前用户的.ssh文件夹下,id_rsa是私钥,id_rsa.pub是公钥。
使用证书登录服务器:
# ssh -I /path_of_private_key/id_rsa userxxx@<server_ip> -p
或者设置配置文件快速访问服务器:
# vim ~/.ssh/config
Host server1
User userxxx
Host server_ip
Port
ServerAliveInterval
IdentityFile /path_of_private_key/id_rsa Host server2
…
…
使用以下命令即可登录服务器:
# ssh server1
=========================================================================
附录
SSH配置参数详解:http://0001111.iteye.com/blog/1980857
/etc/ssh/sshd_config文件常用参数:
# . 关于 SSH Server 的整体设定,包含使用的 port 啦,以及使用的密码演算方式
Port # SSH 预设使用 这个 port,您也可以使用多的 port !
# 亦即重复使用 port 这个设定项目即可!
Protocol , # 选择的 SSH 协议版本,可以是 也可以是 ,
# 如果要同时支持两者,就必须要使用 , 这个分隔了!
#ListenAddress 0.0.0.0 # 监听的主机适配卡!举个例子来说,如果您有两个 IP,
# 分别是 192.168.0.100 及 192.168.2.20 ,那么只想要
# 开放 192.168.0.100 时,就可以写如同下面的样式:
ListenAddress 192.168.0.100 # 只监听来自 192.168.0.100 这个 IP 的SSH联机。
# 如果不使用设定的话,则预设所有接口均接受 SSH
PidFile /var/run/sshd.pid # 可以放置 SSHD 这个 PID 的档案!左列为默认值
LoginGraceTime # 当使用者连上 SSH server 之后,会出现输入密码的画面,
# 在该画面中,在多久时间内没有成功连上 SSH server ,
# 就断线!时间为秒!
Compression yes # 是否可以使用压缩指令?当然可以?!
# . 说明主机的 Private Key 放置的档案,预设使用下面的档案即可!
HostKey /etc/ssh/ssh_host_key # SSH version 使用的私钥
HostKey /etc/ssh/ssh_host_rsa_key # SSH version 使用的 RSA 私钥
HostKey /etc/ssh/ssh_host_dsa_key # SSH version 使用的 DSA 私钥 # 2.1 关于 version 的一些设定!
KeyRegenerationInterval # 由前面联机的说明可以知道, version 会使用
# server 的 Public Key ,那么如果这个 Public
# Key 被偷的话,岂不完蛋?所以需要每隔一段时间
# 来重新建立一次!这里的时间为秒!
ServerKeyBits # 没错!这个就是 Server key 的长度!
# . 关于登录文件的讯息数据放置与 daemon 的名称!
SyslogFacility AUTH # 当有人使用 SSH 登入系统的时候,SSH会记录资
# 讯,这个信息要记录在什么 daemon name 底下?
# 预设是以 AUTH 来设定的,即是 /var/log/secure
# 里面!什么?忘记了!回到 Linux 基础去翻一下
# 其它可用的 daemon name 为:DAEMON,USER,AUTH,
# LOCAL0,LOCAL1,LOCAL2,LOCAL3,LOCAL4,LOCAL5,
LogLevel INFO # 登录记录的等级!嘿嘿!任何讯息!
# 同样的,忘记了就回去参考!
# . 安全设定项目!极重要!
# 4.1 登入设定部分
PermitRootLogin no # 是否允许 root 登入!预设是允许的,但是建议设定成 no!
UserLogin no # 在 SSH 底下本来就不接受 login 这个程序的登入!
StrictModes yes # 当使用者的 host key 改变之后,Server 就不接受联机,
# 可以抵挡部分的木马程序!
#RSAAuthentication yes # 是否使用纯的 RSA 认证!?仅针对 version !
PubkeyAuthentication yes # 是否允许 Public Key ?当然允许啦!只有 version
AuthorizedKeysFile .ssh/authorized_keys
# 上面这个在设定若要使用不需要密码登入的账号时,那么那个
# 账号的存放档案所在档名!
# 4.2 认证部分
RhostsAuthentication no # 本机系统不止使用 .rhosts ,因为仅使用 .rhosts 太
# 不安全了,所以这里一定要设定为 no !
IgnoreRhosts yes # 是否取消使用 ~/.ssh/.rhosts 来做为认证!当然是!
RhostsRSAAuthentication no # 这个选项是专门给 version 用的,使用 rhosts 档案在
# /etc/hosts.equiv配合 RSA 演算方式来进行认证!不要使用
HostbasedAuthentication no # 这个项目与上面的项目类似,不过是给 version 使用的!
IgnoreUserKnownHosts no # 是否忽略家目录内的 ~/.ssh/known_hosts 这个档案所记录
# 的主机内容?当然不要忽略,所以这里就是 no 啦!
PasswordAuthentication yes # 密码验证当然是需要的!所以这里写 yes ?!
PermitEmptyPasswords no # 若上面那一项如果设定为 yes 的话,这一项就最好设定
# 为 no ,这个项目在是否允许以空的密码登入!当然不许!
ChallengeResponseAuthentication yes # 挑战任何的密码认证!所以,任何 login.conf
# 规定的认证方式,均可适用!
#PAMAuthenticationViaKbdInt yes # 是否启用其它的 PAM 模块!启用这个模块将会
# 导致 PasswordAuthentication 设定失效!
# 4.3 与 Kerberos 有关的参数设定!因为我们没有 Kerberos 主机,所以底下不用设定!
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosTgtPassing no
# 4.4 底下是有关在 X-Window 底下使用的相关设定!
X11Forwarding yes
#X11DisplayOffset
#X11UseLocalhost yes
# 4.5 登入后的项目:
PrintMotd no # 登入后是否显示出一些信息呢?例如上次登入的时间、地点等
# 等,预设是 yes ,但是,如果为了安全,可以考虑改为 no !
PrintLastLog yes # 显示上次登入的信息!可以啊!预设也是 yes !
KeepAlive yes # 一般而言,如果设定这项目的话,那么 SSH Server 会传送
# KeepAlive 的讯息给 Client 端,以确保两者的联机正常!
# 在这个情况下,任何一端死掉后, SSH 可以立刻知道!而不会
# 有僵尸程序的发生!
UsePrivilegeSeparation yes # 使用者的权限设定项目!就设定为 yes 吧!
MaxStartups # 同时允许几个尚未登入的联机画面?当我们连上 SSH ,
# 但是尚未输入密码时,这个时候就是我们所谓的联机画面啦!
# 在这个联机画面中,为了保护主机,所以需要设定最大值,
# 预设最多十个联机画面,而已经建立联机的不计算在这十个当中
# 4.6 关于使用者抵挡的设定项目:
DenyUsers * # 设定受抵挡的使用者名称,如果是全部的使用者,那就是全部
# 挡吧!若是部分使用者,可以将该账号填入!例如下列!
DenyUsers test
DenyGroups test # 与 DenyUsers 相同!仅抵挡几个群组而已!
# . 关于 SFTP 服务的设定项目!
Subsystem sftp /usr/lib/ssh/sftp-server
=========================================================================
参考:
用户管理相关:
https://cnzhx.net/blog/linux-add-user-to-group/#usermod
http://634871.blog.51cto.com/624871/1325907
SSH配置相关:
https://cnzhx.net/blog/linux-server-ssh-key-auth-configuration/