ssh密钥对连接

实验之前先将防火墙和SElinux关闭
iptables –F 关闭防火墙
setenforce 0 关闭selinux

ssh密钥对，远程登录服务器的验证方式
默认使用账号密码验证：/etc/passwd /etc/shadow
密钥对验证（非对称密钥对），默认开启但是没有使用
/etc/ssh/sshd_config sshd的服务配置文件，该文档中注释的信息是默认生效的
私钥保存在客户端
公钥上传到服务端的指定目录下

密钥对的生成
1.windows下生成密钥对的方式：借助第三方软件：xshell，或者其他的软件
xshell：工具--新建用户密钥生成向导--选择RSA，否则一些客户端不一定支持

*.pub(公钥) 上传到指定的位置，放在谁的家目录中就登录到哪个用户，在密钥属性中查看公钥，导出。/etc/ssh/sshd_config 中指定了公钥的存放位置，放在目标主机的哪个家目录下就以谁的身份登录。

~/.ssh/authorized_keys 公钥的存放文件，每一个公钥文件必须为单独的一行。
开启目标主机上的私钥认证
     ~]#vim /etc/ssh/sshd_config
     取消以下两行的注释
PubkeyAuthentication  yes
AuthorizedKeysFile    .ssh/authorized_keys
 
重启ssh服务端
~]#service sshd restart
 
此时可以直接使用ssh取连接目标主机

私钥：用于连接目标主机，私钥的生成过程中会询问是否加密私钥，使用shh工具进行连接。
尝试使用使用远程工具连接目标主机。

2.linux下生成密钥对
~]#ssh-keygen -t rsa|dsa -b 2048 默认生成的密钥对保存在~/.ssh/
-t 支持rsa或者dsa类型
-b 指定密钥对长度 
 
于linux下生成的密钥对，我们需要将公钥上传到目标服务器上，以实现密钥对验证。
~]#ssh-copy-id IP 
#将生成的公钥同步到指定服务器上指定用户家目~/.ssh/authorized_keys文件中
 
使用远程复制的方式将公钥上传到指定服务器上的指定位置
~]#scp id_rsa.pub lm@192.168.11.20:/home/lm/.ssh/authorized_keys
 
开启目标主机上的私钥认证
     ~]#vim /etc/ssh/sshd_config
     取消以下两行的注释
PubkeyAuthentication  yes
AuthorizedKeysFile    .ssh/authorized_keys
 
重启ssh服务端
~]#service sshd restart
 
此时可以直接使用ssh取连接目标主机
~]#ssh username@IP
如果在生成密钥的时候没有指定私钥密码则会直接登录到目标主机，且密钥对的连接优先级高于直接使用密码。
 
~]#scp ~/.ssh/id_rsa.pub lm@192.168.11.20:/home/lm/.ssh/
上传到目标主机后进行改名或者将密钥导入到~/.ssh/authorized_keys中，或改名。
仅允许密钥对登录，禁止密码登录
首先我们要确保SSH公钥认证开启
~]#vim /etc/ssh/sshd_config
     取消以下两行的注释，并保证参数为yes
PubkeyAuthentication  yes
AuthorizedKeysFile    .ssh/authorized_keys
 
	修改完毕重启ssh服务
禁止密码安全验证：
~]#vim /etc/ssh/sshd_config
修改以下参数：
PasswordAuthentication no
 
~]#service sshd restart
重启ssh服务，如果当前正处于连接状态，可能会重启失败，可以尝试重启操作系统。
使用一台新的主机尝试尝试连接，结果如下：

xshell连接时密码选项禁用：
 ![](http://linuxhobby.top/usr/uploads/2018/10/2274710904.png)

「一键投喂软糖/蛋糕/布丁/牛奶/冰阔乐！」