1.生成公钥和私钥
ssh-keygen -t rsa
提示默认生成位置为/root/.ssh/id_rsa ,直接回车。(也可以自己修改)
提示输入证书的密码,可以留空,建议输入,如果输入了,则需要再次确认,记住这个证书密码(证书再加一层密码,这样即使证书丢失,也有第二个保险,有个缓冲时间)
2.将公钥添加到 authorzied_keys文件中(在被登录的linux服务器操作)
cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys
3.下载私钥
进入目录 cd /root/.ssh/ 下载id_rsa这个文件
4.测试使用证书登录
建议先用证书登录,成功后再禁止密码登录,以免出错导致要重装系统
5.配置ssh文件
当使用证书登录成功后,编辑配置文件 vi /etc/ssh/sshd_config
PermitRootLogin 将值修改为 without-password //允许root登录,但只允许证书登录
PasswordAuthentication 将值修改为no //禁止密码登录
文件修改保存后,刷新ssh配置文件
systemctl restart sshd
此时原来密码登陆的ssh还能用,但是关闭再打开就不行了,证书登录正常
6.创建新用户使用证书登录
powershell
adduser 用户名
切换到用户
su 用户名
ssh-keygen -t rsa //生成密钥
cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys //将当前用户的公钥放到对应home下
下载对应用户的私钥
分配权限(root角色)
sudo chown 用户名:用户名 /home/用户名/.ssh/authorized_keys
sudo chmod 700 /home/用户名/.ssh
sudo chmod 600 /home/用户名/.ssh/authorized_keys7.刷新ssh配置(root角色)
powershell
systemctl restart sshd