配置服务器 SSH 密钥登录禁用密码登录详解

在现代网络环境中，服务器的安全性至关重要。SSH（Secure Shell）是一种广泛使用的网络协议，用于在计算设备之间进行加密的通信。默认情况下，SSH 允许用户使用用户名和密码进行身份验证。然而，这种方法存在安全风险，因为密码可能被猜测或泄露。为了提高安全性，许多管理员选择配置服务器以禁用密码登录，并使用 SSH 密钥进行身份验证。本文将详细介绍如何配置服务器 SSH 密钥登录并禁用密码登录，以及相关的注意事项和最佳实践。

什么是 SSH 密钥？

SSH 密钥是一种加密算法生成的密钥对，包括公钥和私钥。公钥可以像证书一样被其他人查看，而私钥则必须保密。在 SSH 认证过程中，客户端使用私钥生成一个签名，然后将公钥发送给服务器。服务器使用公钥验证签名，如果验证通过，则允许客户端登录。

使用 SSH 密钥进行身份验证比使用密码更安全，因为密钥对是数学生成的，难以被猜测或破解。此外，密钥不需要像密码那样频繁地更改，从而减少了管理负担。

为什么要禁用密码登录？

禁用密码登录可以显著提高系统的安全性。以下是几个主要的原因：

1. 减少暴力破解风险：密码登录更容易受到暴力破解攻击，因为攻击者可以尝试大量密码组合来获取访问权限。禁用密码登录后，这种风险将大大降低。

2. 防止密码泄露：密码如果被泄露，可能会导致整个系统的安全受损。使用 SSH 密钥进行身份验证可以避免这种情况，因为私钥的泄露比密码更难被利用。

3. 简化管理：使用密钥对进行身份验证后，用户不需要记住密码，也不需要定期更改密码。这使得管理过程更加简单高效。

配置服务器 SSH 密钥登录

生成 SSH 密钥对

首先，需要在本地计算机上生成 SSH 密钥对。可以使用 ssh-keygen 命令来完成这一过程。以下是一个示例命令：

ssh-keygen -t rsa -b 4096 -C "your_email@example.com"

该命令会生成一个 RSA 密钥对，密钥长度为 4096 位，并在当前目录下创建两个文件：id_rsa（私钥）和 id_rsa.pub（公钥）。

将公钥添加到服务器

接下来，需要将公钥添加到服务器的 ~/.ssh/authorized_keys 文件中。可以使用 ssh-copy-id 命令自动完成这一过程：

ssh-copy-id username@hostname

输入服务器的密码后，公钥将被添加到 authorized_keys 文件中。

禁用密码登录

最后，需要修改 SSH 配置文件以禁用密码登录。打开服务器的 /etc/ssh/sshd_config 文件进行编辑：

sudo nano /etc/ssh/sshd_config

在文件中找到 PasswordAuthentication 行，并将其改为：

PasswordAuthentication no

保存并关闭文件。然后，重启 SSH 服务以使更改生效：

sudo systemctl restart sshd

验证配置

为了验证配置是否成功，可以从本地计算机尝试使用 SSH 登录服务器。如果配置正确，应该能够使用密钥登录而无需输入密码：

ssh username@hostname

注意事项和最佳实践

保持密钥安全

私钥必须保密，不能泄露给他人。如果私钥被他人获取，可能会导致账户被盗。可以将私钥文件设置为只有所有者可读写：

chmod 600 ~/.ssh/id_rsa

定期更换密钥

虽然密钥不需要像密码那样频繁更换，但定期更换密钥也是一个好的习惯。这可以进一步增加系统的安全性。

使用不同的密钥对

对于不同的服务器或项目，建议使用不同的密钥对。这样可以限制密钥的用途，减少一旦密钥被泄露时的风险。

使用 SSH 免密脚本

如果需要在服务器上执行多个命令，可以使用 SSH 免密脚本（SSH ProxyJump 或 SSH 委托）来简化操作。这需要在本地计算机上配置相应的密钥和脚本。

ssh agent@localhost
ssh-add ~/.ssh/id_rsa
ssh user@remote 'command1 && command2 && command3'

总结

配置服务器 SSH 密钥登录并禁用密码登录是一个重要的安全措施。通过使用 SSH 密钥进行身份验证，可以显著提高系统的安全性，并减少暴力破解和密码泄露的风险。本文详细介绍了如何生成 SSH 密钥对、将公钥添加到服务器、禁用密码登录以及相关的注意事项和最佳实践。希望这些信息能够帮助您更好地保护您的服务器安全。