服务器如何配置SSH密钥登录提高安全性

网硕互联的小客服2026-02-10 11:02

SSH(Secure Shell)是管理服务器的基础工具,通过加密的方式实现安全的远程登录。传统的用户名和密码登录方式存在一定的安全风险,例如密码被暴力破解的概率较高。而SSH密钥登录是一种更安全的认证方式,通过使用私钥和公钥的配对机制,可以显著提升服务器的安全性。

本文将详细介绍如何配置SSH密钥登录,从密钥生成到配置的完整步骤,帮助用户更好地保护服务器的远程访问安全。

1. 什么是SSH密钥登录?

SSH密钥登录使用一对加密密钥进行认证,由私钥和公钥组成:

  • **私钥:**保存在客户端,必须妥善保护,不能泄露。
  • **公钥:**上传到服务器,用于验证客户端的身份。

与传统密码登录相比,SSH密钥登录具有以下优势:

  • 免受暴力破解的威胁,因为没有密码可以尝试。
  • 支持更强的加密算法,提供更高的安全性。
  • 可以结合密码短语(passphrase)进一步保护私钥。

2. 配置SSH密钥登录的操作方法

以下是配置SSH密钥登录的详细步骤:

2.1 生成SSH密钥对

在客户端生成一对SSH密钥(私钥和公钥)。以下是生成密钥的具体命令:

复制代码 
# 生成SSH密钥对
ssh-keygen -t rsa -b 4096 -C "your_email@example.com"

执行以上命令后,系统会提示以下内容:

  • 保存位置: 默认保存到 ~/.ssh/id_rsa,也可以指定其他路径。
  • **密码短语:**设置一个密码短语为私钥增加额外的安全保护(可选)。

成功生成后,会得到以下两个文件:

  • id_rsa:私钥,存储在客户端,需妥善保护。
  • id_rsa.pub:公钥,上传到服务器。

2.2 将公钥上传到服务器

将生成的公钥上传到服务器的授权密钥文件中。可以通过以下方法完成:

方法1:使用 ssh-copy-id 工具

这是最简单的方法,适合大多数场景:

复制代码 
# 将公钥上传到服务器
ssh-copy-id -i ~/.ssh/id_rsa.pub user@your_server_ip

执行后,公钥会被自动追加到服务器的 ~/.ssh/authorized_keys 文件中。

方法2:手动上传

如果无法使用 ssh-copy-id,可以手动将公钥内容复制到服务器:

复制代码 
# 在客户端查看公钥内容
cat ~/.ssh/id_rsa.pub

# 在服务器上创建 .ssh 目录(如果不存在)
mkdir -p ~/.ssh
chmod 700 ~/.ssh

# 将公钥内容追加到 authorized_keys 文件
echo "公钥内容" >> ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

2.3 配置SSH服务

为了确保SSH只允许密钥登录,可以修改SSH配置文件:

复制代码 
# 编辑SSH配置文件
sudo nano /etc/ssh/sshd_config

# 确保以下配置项
PubkeyAuthentication yes         # 启用公钥认证
PasswordAuthentication no        # 禁止密码登录
ChallengeResponseAuthentication no

保存文件后,重启SSH服务以应用配置:

复制代码 
# 重启SSH服务
sudo systemctl restart ssh

2.4 测试密钥登录

配置完成后,使用SSH密钥登录测试连接:

复制代码 
# 使用私钥登录服务器
ssh -i ~/.ssh/id_rsa user@your_server_ip

如果设置了密码短语,系统会提示输入密码短语进行解锁。

3. 提升密钥登录安全性的额外措施

为了进一步提升安全性,可以结合以下措施:

3.1 禁止Root用户登录

编辑SSH配置文件,禁止Root用户通过SSH登录:

复制代码 
# 禁止Root登录
sudo nano /etc/ssh/sshd_config

# 修改以下配置
PermitRootLogin no

3.2 限制登录IP地址

通过防火墙或 /etc/hosts.allow/etc/hosts.deny 文件限制允许访问的IP地址。

复制代码 
# 允许特定IP登录
echo "sshd: 192.168.1.100" >> /etc/hosts.allow

# 拒绝其他IP登录
echo "sshd: ALL" >> /etc/hosts.deny

3.3 定期更换密钥

定期更新SSH密钥对可以减少密钥泄露的风险。更新密钥时,请记得将旧密钥从 authorized_keys 文件中删除。

3.4 使用Fail2Ban防护暴力攻击

安装 fail2ban,自动封禁多次失败尝试的IP地址:

复制代码 
# 安装Fail2Ban
sudo apt-get install fail2ban

# 启动Fail2Ban服务
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

总结

通过配置SSH密钥登录,可以显著提高服务器的安全性,避免密码被暴力破解的风险。本文详细介绍了SSH密钥的生成、公钥上传、服务配置和密钥登录测试的完整过程,同时提供了一些额外的安全措施,如禁止Root登录、限制IP访问和使用Fail2Ban防护。

在实际应用中,建议用户结合业务需求,定期审查和优化服务器的安全策略,并妥善保管私钥,避免泄露。通过合理配置和持续维护,SSH密钥登录将为服务器提供强大的安全保障。

相关推荐
甲鱼92921 小时前
MySQL 实战手记:日志管理与主从复制搭建全指南
运维
YuMiao2 天前
gstatic连接问题导致Google Gemini / Studio页面乱码或图标缺失问题
服务器·网络协议
碳基沙盒3 天前
OpenClaw 多 Agent 配置实战指南
运维
Sinclair5 天前
简单几步,安卓手机秒变服务器,安装 CMS 程序
android·服务器
Rockbean6 天前
用40行代码搭建自己的无服务器OCR
服务器·python·deepseek
蝎子莱莱爱打怪6 天前
Centos7中一键安装K8s集群以及Rancher安装记录
运维·后端·kubernetes
埃博拉酱6 天前
VS Code Remote SSH 连接 Windows 服务器卡在"下载 VS Code 服务器":prcdn DNS 解析失败的诊断与 BITS 断点续传
windows·ssh·visual studio code
茶杯梦轩6 天前
CompletableFuture 在 项目实战 中 创建异步任务 的核心优势及使用场景
服务器·后端·面试
海天鹰7 天前
【免费】PHP主机=域名+解析+主机
服务器
DianSan_ERP7 天前
电商API接口全链路监控:构建坚不可摧的线上运维防线
大数据·运维·网络·人工智能·git·servlet
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03OpenClaw + 飞书(Feishu)环境搭建指南04Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services05OpenClaw优化飞书API 额度已耗尽问题06Window 10部署openclaw报错node.exe : npm error code 12807本地部署 OpenClaw + DeepSeek-R1 完全指南08网站改了域名,如何查找?09小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)10Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤