linux SSHDパスワード登録をオフにする
1168 ワード
私たちはよくSSHログイン管理サーバーを使って、便利さを享受すると同時にいくつかの安全上の危険性にも遭遇して、最もよく見られるのはSSHパスワードが暴力的に解読されたことです.SSHパスワードの設定が複雑すぎて、覚えにくいため、SSHログイン方式を制限すると、keyログインしか使用できないのは良い選択で、安全性を保証するだけでなく、非常に便利です.具体的な修正方法は以下の通りです.
1、信頼keyを追加し、パスワードなしで直接ログインできるかどうかをテストする
公開鍵情報をユーザディレクトリのSSH認証keyファイルの下に入れる.(linuxではssh-keygenコマンドで生成できますが、windowsではSecureCRTなどのツールで生成できます)
たとえば、次の形式の公開鍵情報を/root/.ssh/authorized_にコピーします.keys
ssh-rsa AAAAB3.....H+5w== [email protected]
このとき,対応する秘密鍵を持つ機器は既にその機器rootアカウントにアクセスする権限を持っている.
構成が完了したら、対応する秘密鍵付きのマシンでサーバにアクセスし、passwordの入力を求めずに直接ログインすると、構成が正しいことを証明します.
2、SSHプロファイルを修正し、SSHサービスを再起動する
SSHプロファイルの場所:/etc/ssh/sshd_config
2つのパラメータ構成が見つかりました.
PasswordAuthentication
ChallengeResponseAuthentication
この2つのパラメータ値をnoに変更します.
そしてSSHサービスを再起動します.
# service sshd restart
ユーザーのSSHログイン方式を制限し、key方式でのログインのみを許可しました.
さらにテストし、信頼性のないkeyを使用してログインしようとすると、次の情報が表示されます.
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
SSHログイン制限が成功したことを証明します.
1、信頼keyを追加し、パスワードなしで直接ログインできるかどうかをテストする
公開鍵情報をユーザディレクトリのSSH認証keyファイルの下に入れる.(linuxではssh-keygenコマンドで生成できますが、windowsではSecureCRTなどのツールで生成できます)
たとえば、次の形式の公開鍵情報を/root/.ssh/authorized_にコピーします.keys
ssh-rsa AAAAB3.....H+5w== [email protected]
このとき,対応する秘密鍵を持つ機器は既にその機器rootアカウントにアクセスする権限を持っている.
構成が完了したら、対応する秘密鍵付きのマシンでサーバにアクセスし、passwordの入力を求めずに直接ログインすると、構成が正しいことを証明します.
2、SSHプロファイルを修正し、SSHサービスを再起動する
SSHプロファイルの場所:/etc/ssh/sshd_config
2つのパラメータ構成が見つかりました.
PasswordAuthentication
ChallengeResponseAuthentication
この2つのパラメータ値をnoに変更します.
PasswordAuthentication no
ChallengeResponseAuthentication noそしてSSHサービスを再起動します.
# service sshd restart
ユーザーのSSHログイン方式を制限し、key方式でのログインのみを許可しました.
さらにテストし、信頼性のないkeyを使用してログインしようとすると、次の情報が表示されます.
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
SSHログイン制限が成功したことを証明します.