通过秘钥登录管理服务器,你学废了吗?
目录
场景再现
这是不平凡的一天,天空中飘着小雪,走入公司大厦一眼就看到了今天格外特别的她,还记得初次见面我们彼此都红了脸,她羞涩的把我领到了会议室并递给我一杯满满爱意的水,我知道我们的故事开始了。淡黄的长裙、蓬松的头发,红扑扑的脸蛋儿着实让人着迷。于是我立下了一个flag - 必定要成功入职这家公司。果不其然不负众望的我成功的拿到今天来报道的资格。不能在扯下去了,我感觉有些大佬们已经默默的点击了右上角的 “X” ,进入正题。“老大,咱公司服务器Root口令,你告诉我下呗”我弱弱的问道。“我等会发你,对了咱公司不是用账号密码登录的,你会别的方法登录吗?”老大问道。“其它方法?难道是失传已久的……” 我边想边底气十足说了一句我会。(ps:这我哪能会啊,面试面懵了问啥都说会)。经过我与百度大战的三天三夜中,我终于寻得了结果,下面且听我来给大佬们分析分析:
前言
严格意义上来说,无论是金融、电商、网销、数据服务、亦或是医疗行业,在系统的安全要求上都必须严格,简单的拿我朋友的一个例子来说,他在这家公司做了两年,从这家公司离职半年后,好奇心促使他登录了一下上家公司的服务器。结果还真登录上了。万一出事了大佬们评一评理,责任该在谁?。所以说企业自己的维护制度一定好合理的完善,定期的修改服务器的密码。目前为止我认为最安全的登录就是大家都摒弃账号密码登录方式,一致采用秘钥方式登录,因为每个服务器的秘钥不同,黑客相比较**下来很较复杂。
详情操作
1)通过ssh-******生成**
[aaa@qq.com ~]# ssh-****** #暖男建议执行这条命令一路回车
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:dMv4JEbniFXi9E7LN+4MmyqhmhH4esBSNXfXc46rbSs aaa@qq.com
The key's randomart image is:
+---[RSA 2048]----+
| o .. |
| o .o.+. o . |
| . o .=.= = |
| .. = @ o. . |
|o.. . S O o. |
|oo . .. + o.. |
|..o . . oo. |
| ..o. . E*o |
|..o. ...oo+. |
+----[SHA256]-----+
[aaa@qq.com ~]# cd .ssh/
[aaa@qq.com .ssh]# ls
id_rsa id_rsa.pub
2)将私钥下载到本地将,通过客户端登录之前,我们需要将linux服务器的ssh配置更改,启用**登录
我把私钥放在桌面
[aaa@qq.com .ssh]# vim /etc/ssh/sshd_config #这两行要改成跟我一样呦
PubkeyAuthentication yes
PasswordAuthentication no
[aaa@qq.com .ssh]# systemctl restart sshd #重启一哈
3)开始使用配置生成秘钥,跟着步骤别眨眼吖
5)将生成的公钥追加到 authorized_keys(最后一张图的公钥)
[aaa@qq.com .ssh]# ls #注:刚才xshell生成的公钥
authorized_keys hya.pub id_rsa id_rsa.pub
[aaa@qq.com .ssh]# cat hya.pub > authorized_keys
[aaa@qq.com .ssh]# chmod 600 authorized_keys 6)登入(此时已登入)
总结
好家伙,这图截得眼花缭乱的,如果不是我自己做的我也看不明白。自我认为这种方式暂时还是蛮安全的。强力推荐给大佬们!!!
推荐阅读