用密钥进行SSH的安全登陆[SSH+PAM+PuTTY]

最新推荐文章于 2025-10-08 15:35:00 发布
原创 最新推荐文章于 2025-10-08 15:35:00 发布 · 5.9k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ssh #服务器 #linux #user #防火墙 #session

本文详细介绍如何通过SSH密钥实现安全登录,包括在Windows环境下使用PuTTY生成密钥,在Linux环境下使用ssh-keygen生成密钥,以及如何在服务器端配置SSH服务仅允许密钥登录等关键步骤。

用密钥进行SSH的安全登录[SSH+PAM+PuTTY]

作者:萧少聪[Scott Siu]
E-Mail:scottsiuzs@gmail.com

以前看过好多关于SSH密钥进行登录的文章,好多都在点残缺不全,我在这整理一下!

系统平台

	服务器:SLES 9.3
	客户端:Window XP
	       RHEL 4 AS 4.0


笔记
    1、PuTTY生成密钥(Window)
	下载PuTTY的组件 http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
	包括:putty.exe puttygen.exe plink.exe pageant.exe 后两个文件这理暂时用不到
	生成KEY:
		运行 puttygen.exe 在最下方先择你要的加密算法及位数,如:SSH-2 DSA 2048
		点击 "Generate" 生成密钥
		"Save public key" 保存公钥如:wsshtest
		"Save private key" 保存私钥如:wsshtest.ppk

    2、ssh-keygen(Linux)
	例如:当前用户是root,我要加一个帐号 sshadmin 让它有登陆到远端服务器的权限
	# useradd sshadmin -m
	# passwd sshadmin
	# mkdir /home/sshadmin/.ssh
	# chown sshadmin:users /home/sshadmin/.ssh
	# cd /home/sshadmin/.ssh
	# ssh-keygen -t dsa 2048	(这里会让你输入密钥的文件名如:lsshtest)
	# cp lsshtest id_dsa		(cat /etc/ssh/ssh_config看看就明白为什么要cp了)

    3、服务器
	前提:我现在是 root 帐号,服务器地址192.168.1.100
	# useradd sshuser -m	(在服务器建立允许 SSH 登录的帐号)
	# passwd sshuser
	# mkdir /home/sshuser/.ssh
	# chown sshuser:users /home/sshuser/.ssh
	# vi /home/sshuser/.ssh/authorized_keys
	(把刚刚 LINUX 中 ssh-keygen 生成的 lsshtest.pub 的内容写入到这个文件
	把刚刚在 PuTTY 中 生成的 wsshtest 的内容也写入到这里,最后文件类似于:
	ssh-dsa XXXXXXXXXXXXXXXXXXXXXXXXX
	XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
	XXXXXXX xxx@localhost
	ssh-dsa XXXXXXXXXXXXXXXXXXXXXXXXX
	XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
	XXXXXXX dsa-key-20061115
	要注意的是:PuTTY生成的文件在LINUX中可能会出现分行而不是单行的文本,请把它串成一行!
	authorized_keys中一行代表一个KEY)

	下面是对SSH服务的设置
	# vi /etc/ssh/sshd_config
		PermitRootLogin no		(不允许root登录)
		AllowUsers sshuser user1 user2 	(只允许user1 user1登录)
		PasswordAuthentication no	(对于是否能用密码登录的设定)
		KerberosAuthentication no	(同上)
		UsePAM no
		(我发现SSH安装时的设定就已经是只支持密钥登录的,只是PAM又允许了密码的使用
		这里有两个方法可以把它设为只支持使用密钥,一个是上面的UsePAM设为no不使用PAM,
		第二种是下面的在PAM SSH配置文件中加上一行。)
	# vi /etc/pam.d/sshd
		auth     required       pam_securid.so  reserve		(只允许通过密钥登录)

	# /etc/init.d/sshd restart
	# chkconfig sshd on


    4、防火墙iptables
	# iptables -A INPUT -p tcp --dport 22 -j ACCEPT


    5、测试

	WINDOW:运行PuTTY
		Session -> Host Name: 192.168.1.100
		Connection -> Data -> Auto-login username: sshuser
		Connection -> SSH -> Auth: 选择刚刚生成的 wsshtest.ppk

	LINUX: 以sshadmin登陆
		# ssh sshuser@192.168.1.100

	你可以试试在PuTTY中不用ppk来登陆。。。呵呵。。。通不过验证吧!
	你也可以试试sshd_config中UsePAM yes和no的效果,我更推荐用no


以上内容如有遗漏讲与我联系,转载讲注明出处!谢谢!
 
SSH-远程连接&文件传输
gxy_learning的博客
08-26 1301
SSH 常用远程连接软件 PuttyPuTTY为一开放源代码软件,只有500多k,小巧轻便,但功能单一 SecureCRT:SecureCRT是一款支持SSH(SSH1和SSH2)的终端仿真程序,简单地说是Windows下登录UNIX或Linux服务器主机的软件。缺点是颜色方案不符合大众习惯 XShell:Xshell是一个强大的安全终端模拟软件,它支持SSH1, SSH2, 以及Microsoft Windows 平台的TELNET 协议。Xshell 通过互联网到远程主机的安全连接以及它创
sshd-pam-0.8.0.zip
10-22
api-imdb.zip,imdb的移动json api的api
Putty 使用 SSH key 密匙认证
weixin_34233618的博客
06-26 612
这篇教程是教大家在 windows 下如何使用 Putty 实现密匙认证, 同样省去每次登陆输入密码的过程我们分为 3 个大的步骤去实现D1. 生成密匙对2. 生成密匙对后将公钥添加到远程机器的 authroized_keys 列表中3. 前面两部完成后, 设置本地 Putty 完成 SSH 密匙认证好, 开始1. 生成密匙对运行PUTTYGEN.EXE 工具 1.1 ...
SSH协议服务器、SUDO用法以及PAM机制
weixin_33963189的博客
09-17 631
SSH协议服务器、SUDO用法以及PAM机制-----------------------------------------------------------------------------------------------------------------------------------------------ssh...
Linux通过pam实现ssh登录
yiyu89的专栏
03-25 4599
准备工作搭建CentOS7,地址为:192.168.51.104 1.配置pam # 192.168.51.104 /etc/pam.d/sshd #%PAM-1.0 auth sufficient pam_python.so auth.py #新增内容 auth required pam_sepermit.so auth substack password-auth auth include postlogin # Used w
generate SSH key
m0_72743599的博客
07-13 762
this guide walks you through the process of generate SSH key.Run the following command,the system will ask for the file name and password of the key.You can press Enter to generate two files: and . Using the RSA algorithm by default,you can also use the
59、远程Linux服务器 SSH 安全配置与使用指南
tgb345678的博客
08-16 79
本文详细介绍了如何安全配置和使用SSH协议连接远程Linux服务器,涵盖了SSH配置、主机密钥生成、安全登录、文件传输、常见问题解决方法等内容,旨在帮助用户提升远程服务器管理的安全性和效率。
22、加密技术与 SSH 安全强化指南
food6的博客
08-08 77
本博客详细介绍了加密技术的基础知识和实践方法,包括 GPG 加密、磁盘加密方案(如 LUKS、eCryptfs 和 VeraCrypt)、OpenSSL 操作以及量子抗性加密算法。同时,全面探讨了 SSH 安全强化策略,涵盖密钥类型选择(RSA、ECDSA、Ed25519)、禁用不安全协议、禁用 root 登录、双因素认证、访问控制、chroot SFTP 环境配置以及从 Windows 远程连接的方法,旨在帮助用户提升系统和网络通信的安全性。
56、Linux SSH 安全配置与操作全解析
zz67890的博客
08-01 51
本文详细解析了在Linux系统中进行SSH安全配置与操作,包括SSH服务的安装与启动、生成主机密钥安全登录远程服务器以及通过SCP进行安全文件复制。同时介绍了常见问题的解决方法以及高级SSH配置优化,如更改默认端口、禁用root用户直接登录和使用密钥认证等,帮助用户提高SSH连接的安全性和效率。
1、探索 SSH:网络安全的可靠卫士
最新发布
garlic的博客
10-08 6
本文深入探讨了SSH(Secure Shell)作为网络安全核心工具的发展历程、技术原理与实际应用。从SSH-2协议的普及到OpenSSH的广泛部署,文章详细介绍了SSH安全机制,包括密码学基础、身份验证方式、协议架构以及文件传输和端口转发功能。同时涵盖了不同操作系统上的实现情况、安全威胁防范措施及未来发展方向,为终端用户和系统管理员提供了全面的SSH使用指南。
ssh_pam认证
weixin_34099526的博客
09-20 918
设置ssh白名单登陆vim /etc/pam.d/sshdauthrequiredpam_listfile.soitem=usersense=allowfile=/etc/sshusersonerr=fail把需要登录的账号添加到 /etc/sshusers文件中 转载于:https://blog.51cto.com/eric1/1...
ssh pam_mysql_PAMSSH服务上的简单应用
weixin_35512156的博客
01-19 583
本文主要论述PAM(Pluggable AuthenticationModules)在ssh服务上的简单配置过程。我们知道PAM实际上起一个认证代理的过程。各应用层服务程序把认证请求信息发送给PAM模块,PAM模块在/etc/pam.d/调用相应的服务文件,然户服务文件通过调用组文件模块(位于/lib/security/下)来进行认证。sshd,vsftpd,ipop3d...->PAM l...
linux访问认证类-PAM模块学习1-附加ssh
weixin_44364942的博客
06-09 2316
一、PAM 1.不是一个应用程序,是一种认证框架,为各类应用程序(如:ssh、telnet、ftp、su)提供认证服务;例如ssh服务需要对用户的身份、特征(是普通用户还是root用户),用户的密码是否正确、是否过期,进行验证时就可以调用PAM模块;有了PAM模块,开发人员不再需要针对一个程序单独开发用户认证功能,直接调用PAM模块即可。 2.SSH服务本身具备基础的用户验证机制(在/etc/ssh/sshd_config文件中实现远程登录时,对于用户、密码等属性的限制),但并不丰富,易被攻击,
ssh登录主机时会读取哪些PAM文件进行认证
weixin_53389944的博客
04-28 782
是用于共享系统通用认证规则和模块的配置文件。在SSH登录时,PAM会根据这些配置文件中的内容来进行认证操作。:这是通用的系统认证配置文件,很多其他PAM配置文件引用这个文件来共享通用的认证规则和模块。:这是SSH守护程序的PAM配置文件,包含了用于SSH登录认证的规则和模块调用顺序。这些PAM配置文件包含了系统中定义的认证规则和模块调用顺序,其中。,通常也包含了通用的密码认证规则和模块。是针对SSH登录认证的特定配置文件,而。
SSHPAM模块全攻略:打造更安全的远程登录环境!
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
09-13 886
.ssh/known_hosts 存储ssh指纹sshd 服务器端/etc/ssh/sshd_config 服务器端的配置文件man 5 sshd_config 服务器端的配置文件帮助echo root:1111|chapasswd 修改密码openssl rand -base 64 9 随机取9位密码(随机数经过base编码取9位)ssh常用参数:Port 22 #生产建议修改 Lis...
SSH PAM后门(万能密码、记录密码)
网络安全。
08-19 4643
PAMLinux默认的ssh认证登录机制,我们可以通过修改源码来实现万能密码,记录登陆密码等功能。 1、在centos中需要关闭selinux。 永久关闭需要修改/etc/selinux/config,将其中SELINUX设置为disabled。 2、查看PAM版本。 rpm -qa|grep pam 源码下载地址:http://www.linux-pam.org/library/ 3、解压。 wget http://www.linux-pam.org/library/Linux-PAM-1.1.8
Linux权限维持—OpenSSH&PAM后门&SSH软连接&公私钥登录
剁椒鱼头没剁椒的博客
08-22 4144
由于密码日志文件是被隐藏的,所以可以直接使用cat去查看,这里只要管理者使用ssh进行连接就会记录密码,而这些操作都是无感的,当然若管理员会去定期排查,那么该被发现还是会被发现的,这些都是基于管理员不会定期去排查才能够持久。这里要注意一个问题就是,不一定编译就能够成功,有时候根本无法编辑,从网上找的很多资料中,都跳过直接给命令,所以这里我就提前说一下,不一定能够编译成功,不成功再次重新测试,若还是不行,就拉到吧。这里重启也可能存在问题,这个实验有时候很莫名其妙的,有时候能够测试成功,有时候测试是不成功的。
RSA SecurID Authentication linux sshd PAM deploy
cnbird's blog
07-15 1211
RSA SecurID Authentication linux sshd PAM deploy
OpenSSH/PAM <= 3.6.1p1 Remote Users Ident (gossh.sh)
cnbird's blog
01-30 1172
http://milw0rm.com/exploits/26http://milw0rm.com/exploits/25
远程ssh登陆闪退的原因,选择any
07-29
在排查远程通过 SSH 登录时出现闪退问题时,可以从以下几个方面进行详细分析和排查: ### 1. **权限配置问题** SSH 对目录和文件的权限要求非常严格。如果 `/etc/ssh` 目录或其下的密钥文件权限设置不当,可能会导致 SSH 服务无法正常加载密钥,从而引发连接中断。例如,将 `/etc/ssh` 目录权限设置为 `777` 会导致 SSH 服务拒绝连接。建议将 `/etc/ssh` 目录的权限设置为 `400` 或 `755`,并确保密钥文件(如 `/etc/ssh/ssh_host_rsa_key`)的权限为 `600`,所有者为 `root` [^1]。 ### 2. **SSH 配置文件问题** 检查 `/etc/ssh/sshd_config` 文件中的配置是否正确。某些配置项可能导致 SSH 登录失败,例如: - `UsePAM`:如果该选项被设置为 `no`,而系统依赖 PAM(Pluggable Authentication Modules)进行身份验证,则可能导致登录失败。可以尝试将其设置为 `yes`。 - `PasswordAuthentication`:如果该选项被设置为 `no`,则不允许使用密码登录,需确保其设置为 `yes`(如果需要密码登录)。 - `PermitRootLogin`:如果禁止 root 登录且尝试以 root 身份登录,也会导致连接失败。 - `MaxAuthTries`:如果设置的认证尝试次数过少,可能导致登录失败。 修改配置后需重启 SSH 服务: ```bash systemctl restart sshd ``` ### 3. **SSH 密钥格式问题** 如果 SSH 服务无法加载主机密钥,会导致连接中断。日志中可能出现类似以下错误: ``` error: key_load_private: invalid format error: key_load_public: invalid format error: Could not load host key ``` 这表明 `/etc/ssh` 目录下的密钥文件(如 `ssh_host_rsa_key`、`ssh_host_ecdsa_key`、`ssh_host_ed25519_key`)格式不正确或损坏。可以尝试重新生成这些密钥文件: ```bash ssh-keygen -A ``` 此命令会重新生成所有缺失或损坏的主机密钥。 ### 4. **SSH 客户端配置问题** 有时问题可能出在客户端配置上。例如,使用 PuTTY 登录时,如果配置的连接方式或加密算法不兼容服务器端,可能导致连接闪退。可以尝试以下操作: - 更新 PuTTY 或使用其他 SSH 客户端(如 OpenSSH、Xshell)进行测试。 - 检查 PuTTY 的配置,确保使用的协议为 `SSH`,并尝试更改加密算法(如选择 `aes256-cbc`)。 - 禁用 PuTTY 的“试图将所有流量压缩”选项。 ### 5. **系统资源或安全策略限制** 某些系统资源限制或安全策略也可能导致 SSH 登录失败。例如: - **SELinux 或 AppArmor**:如果启用了 SELinux 或 AppArmor,并且其策略限制了 SSH 服务的访问,可能导致连接失败。可以临时禁用 SELinux 进行测试: ```bash setenforce 0 ``` - **防火墙安全组**:确保服务器防火墙(如 `iptables`、`firewalld`)或云平台的安全组规则允许 `22` 端口的入站连接。 - **系统日志分析**:查看 `/var/log/secure` 或 `/var/log/auth.log`,寻找与 SSH 登录相关的错误信息,以进一步定位问题。 ### 6. **系统环境问题** 某些系统环境问题也可能导致 SSH 登录失败。例如: - **磁盘空间不足**:如果 `/var` 分区已满,可能导致 SSH 服务无法正常写入日志文件,从而引发连接问题。 - **系统文件损坏**:如果 `/etc/ssh/sshd_config` 或其他关键文件损坏,可能导致 SSH 服务无法正常启动。可以尝试重新安装 OpenSSH 服务: ```bash yum reinstall openssh-server ``` ### 7. **用户权限问题** 如果特定用户无法登录,可能是用户权限或家目录权限配置不当。例如: - 用户的家目录权限过于宽松,SSH 服务可能拒绝登录。建议将家目录权限设置为 `700`。 - 用户的 `.ssh` 目录或 `authorized_keys` 文件权限设置不当。`.ssh` 目录权限建议为 `700`,`authorized_keys` 文件权限建议为 `600`。 ### 8. **SSH 服务版本兼容性问题** 如果客户端和服务器端使用的 SSH 版本差异较大,可能导致连接失败。可以尝试更新客户端或服务器端的 SSH 版本,以确保兼容性。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值