配置ssh远程登录

本地和远程服务器都创建

在创建密钥的时候，可以定义加密类型和长度，具体可以参考ssh-keygen命令帮助。创建的过程中，首先会提示你 保存的位置 和 文件名 ，再提示你 给密钥加个密码 ，也可以直接回车不要密码。

公钥和私钥默认保存这用户目录的 /.ssh/ 文件夹下。默认情况下， id_rsa 为私钥， id_rsa.pub 为公钥。

此时 还是需要用用户名和密码登录远程Linux服务器。使用vi编辑 /etc/ssh/sshd_config 文件，先打开 PubkeyAuthentication 和 PermitRootLogin ，一般只要把这几个参数前面的#（注释符）删掉即可。

重启ssh服务

在macOS端操作以下命令，把公钥上传到远程服务器，会提示输入远程的Linux服务器的密码。

在远程Linux服务器上，操作以下命令，把公钥 追加 到服务器ssh认证文件中：

如果没有 authorized_keys 这个文件，请到 .ssh 文件夹下创建一个，并把权限设置为600。

追加好后，如果要禁止用户名密码登录，再编辑 /etc/ssh/sshd_config 文件，把 PasswordAuthentication 设置为no。

重启SSH服务（每次修改ssh配置都需要重启）

如果没有设置密钥密码，直接这终端输入 ssh root@IP 即可登录远程服务器。如果该用户下没有公钥，则会提示Permission denied。

从客户端来看，SSH提供两种级别的安全验证。

对于第二种级别，你必须知道自己密匙的口令。但是，与第一种级别相比，第二种级别不需要在网络上传送口令。第二种级别不仅加密所有传送的数据，而且“中间人”这种攻击方式也是不可能的（因为他没有用户的私人密匙）。但是整个登录的过程可能需要10秒。

将本地用户生成的公钥推送至远程服务器后，远程主机将用户的公钥，保存在登录后的用户主目录的$HOME/.ssh/authorized_keys文件中。公钥就是一段字符串，只要把它追加在authorized_keys文件的末尾就行了。

这里不使用ssh-copy-id命令，改用下面的命令，来解释公钥的保存过程：

输入命令 ssh user@host ，然后根据提示输入远程服务器的登录密码

也可在配置文件/etc/ssh/ssh_config 中设置user和host(ip), 来简化命令, 配置如下：

配置后, 登录请求时只需输入如下命令：

使用密码登录，每次都必须输入密码，非常麻烦。好在SSH还提供了公钥登录，可以省去输入密码的步骤。

公钥登录原理 ：就是用户将自己的公钥储存在远程主机上。登录的时候，远程主机会向用户发送一段随机字符串，用户用自己的私钥加密后，再发回来。远程主机用事先储存的公钥进行解密，如果解密验证成功，就证明用户是可信的，直接允许登录shell，不再要求密码。

执行上述命令首先会让你输入生成密钥的文件名： myPemKey (自定义)，之后一路回车。

配置后，登录远程服务器时只需输入一下命令，便可直接登录成功：

修改后重启ssh服务

则远程连接时指定端口

(1) 通过iptables设置ssh端口的白名单,如下设置只允许192.168.1.0/24网段的客户机可以远程连接本机

(2) 通过/etc/hosts.allow里面进行限制(如下)，/etc/hosts.deny文件不要任何内容编辑，保持默认！

例如：

修改远程服务器ssh服务配置文件/etc/ssh/sshd_config

修改远程服务器配置文件/etc/ssh/sshd_config， 如下：

如果本机系统有些账号没有设置密码，而ssh配置文件里又没做限制，那么远程通过这个空密码账号就可以登陆了，这是及其不安全的，所以一定要禁止空密码登陆。

修改远程服务器配置文件/etc/ssh/sshd_config，如下：

参考：

---