配置ssh使用密钥登陆，禁止口令登陆

背景

今天Mike说公司的服务器出问题了。阿里发来了消息

经检测您的云服务器（x.x.x.x）存在恶意发包行为，需要您尽快排查您的安全隐患。目前系统不会处罚您的机器，但请您务必重视。

查看了一下服务器，是因为git账户弱口令导致服务器被某些人扫到了（万恶的弱口令啊！），然后peter说，把口令登陆取消掉，只用密钥登陆。网上查了一下，有些地方还是比较说的不清楚。所以自己总结一下

公钥和私钥

先看一下这个
RSA算法原理（一），个人认为阮一峰老师的文章讲的很清楚。

配置ssh步骤

公钥认证，是使用一对加密字符串，一个称为公钥(public key)， 任何人都可以看到其内容，用于加密；另一个称为密钥(private key)，只有拥有者才能看到，用于解密。 通过公钥加密过的密文使用密钥可以轻松解密，但根据公钥来猜测密钥却十分困难。

在使用公钥认证之前，先检查一下服务器的ssh配置文件/etc/ssh/sshd_config

RSAAuthentication yes # 启用 RSA 认证，默认为yes
PubkeyAuthentication yes # 启用公钥认证，默认为yes
如果配置没有问题，那么你就可以进行下一步了。
下面我们举个例子，比如有两台机器，客户机A与服务器B，想用ssh公钥认证方式从A机器用client用户登录到B机器的server用户，方法如下：

1.在客户机A上生成密钥
[client@test ~]$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/client/.ssh/id_rsa): #此处直接按回车即可
Created directory ‘/home/client/.ssh’.
Enter passphrase (empty for no passphrase): #此处直接按回车即可
Enter same passphrase again: #此处直接按回车即可
Your identification has been saved in /home/client/.ssh/id_rsa.
Your public key has been saved in /home/client/.ssh/id_rsa.pub.
The key fingerprint is:
f5:30:ba:10:ee:7a:c6:cf:d8:ec:3f:4c:b3:f1:09:6d client@linuxsong.org

这样就生成了client用户在这台机器的公钥(/home/client/.ssh/id_rsa.pub )和私钥(/home/client/.ssh/id_rsa).
ps: 如果是windows用户，可以用git bash产生密钥，也可以利用putty、xshell 5等工具产生那对密钥

2.将上一步生成的公钥文件拷贝到服务器B上。然后将文件内容追加到server用户目录的.ssh/authorized_keys中：

[server@server]$ cat id_rsa.pub >> .ssh/authorized_keys

这样，client用户从客户机上登录到服务器的server用户，就不用再输入密码了。

另外，如果对服务器安全性比较高的情况下，可以设置用户只允许通过公钥认证，禁止用户用密码方式登录，只要修改一下服务器的配置文件/etc/sshd/sshd_config

PasswordAuthentication no

修改完后要重启sshd服务。
这样用户通过密码方式登录时就会提示：
Permission denied (publickey,gssapi-with-mic)

有效的提高了系统的安全性。
注意：

• .ssh 目录的权限必须是0700
• .ssh/authorized_keys 文件权限必须是0600
• 否则公钥认证不会生效。
• 用哪个用户登录，就必须在哪个用户的home目录下面建立.ssh/authorized_keys文件