配置SSH服务使用证书登录Ubuntu服务器

根据项目要求，需要将项目迁移到Linux系统上，作为测试，选用的是阿里云服务器，1核CPU，1G内存（没错就是这么穷），操作系统Ubuntu 16.04 64位。当然其实如果使用阿里云服务器其实是不需要单独配置证书登录的，因为可以在创建运行实例时直接配置证书登录。不过因为之前我没接触过Linux系统，配置服务器的时候也没有人提过登录方式的问题，当有人提的时候服务器里别人装了很多东西，我想如果重装系统会被打，所以就折腾了一下，还能多水一篇博客，岂不美哉？总之闲话少说。

为什么使用证书登录？通过SSH（Secure Shell）登录Linux服务器认证方式有密码和证书两种，证书登录更加安全。

=========================================================================

流程：

创建允许登录的用户及用户组；配置服务器上的sshd_config；客户端生成证书的私钥与公钥对；服务器添加公钥；使用私钥登录服务器及其FTP

=========================================================================

准备：

登录Shell软件：PuTTY；证书生成软件：puttygen

下载地址：https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html

登录FTP软件：FileZilla

下载地址：https://filezilla-project.org/

登录Shell软件XShell，登录FTP软件XFtp（推荐）：

http://www.xshellcn.com/xiazai.html

=========================================================================

创建允许登录的用户及用户组：

创建用户：

# adduser userxxx

创建用户组：

# groupadd groupxx

将用户退出原来的默认组并添加到一个已有用户组：

# usermod -g groupxx userxxx

如果不希望退出原来的组，使用-a(refers to append)并需要与-G（注意大写）配合

# usermod -a -G groupxx userxxx

从组中删除一个用户，但是要求groupxx不是userxxx的主组

# gpasswd -d userxxx groupxx

检查是否成功创建用户：可以查看到该user的uid，主组id，所在组

# id userxxx

赋予用户root权限

# vim /etc/sudoers

找到# User privilege specification，在root下面添加用户

root ALL=(ALL:ALL) ALL
# password needed when shifting user
userxxx ALL=(ALL:ALL) ALL
# password NOT needed when shifting user
userxxx ALL=(ALL:ALL) NOPASSWD:ALL

=========================================================================

配置服务器上的sshd_config：

注意：由于阿里云的服务器可以直接在控制台远程访问，因此坑少了很多，如果服务器只能通过客户端登录需要注意，在配置证书过程中需要禁用root登录，禁用用户密码登录，因此注意不要把自己锁在服务器外面。

配置sshd_config文件

# vim /etc/ssh/sshd_config

修改端口：默认为22，建议自定义，一般高于2000不超过65555

Port 

请确认修改后的端口能正常访问，以阿里云服务器为例，需要在管理控制台中设置安全组规则允许2222端口正常访问服务器。

协议：没有特殊原因不要使用协议1

Protocol 

登录控制：

允许密钥登录

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys

不允许空密码登录

PermitEmptyPasswords no

禁止图形界面转发及TCP转发

AllowTcpForwarding no
X11Forwarding no

允许SFTP

Subsystem sftp /usr/lib/openssh/sftp-server

禁止root账户登录

PermitRootLogin no

允许SSH登录的用户名/用户组：使用用户组更方便维护iii

AllowGroups groupxx
#AllowUsers userxxx

禁用密码登录：为防误操作，禁用密码登录可以等测试证书登录通过后再设置，否则会把自己关在服务器外。

PasswordAuthentication no

记录详细日志

LogLevel VERBOSE

=========================================================================

客户端生成私钥/公钥对：

客户端为windows:

打开puttygen.exe 默认key_type为RSA（SSH-2）位数为2048，推荐设置位数4096，点击generate，鼠标随机在上面空白处移动，证书就根据这些随机点产生，等进度条走完即可。

生成key后可以修改comment标识key的用途。

保存public key，如果使用文本编辑器打开，类似下图：

但是更方便的一种做法，是直接拷贝生成的public key，暂存到文本文档里备用

保存private key

保存私钥前可以对private key设置密码，每次使用证书登录前都要验证密码，更加安全，但是不设置也是可以的（我比较懒）。不设置的话会有提示确认是否不设置密码。

=========================================================================

服务器上配置用户公钥：

注意之前设置的公钥位置是：

AuthorizedKeysFile %h/.ssh/authorized_keys

也就是用户目录里的.ssh/authorized_keys

创建对应目录及文件：

# mkdir /home/userxxx/.ssh
# touch /home/userxxx/.ssh/authorized_keys

使用echo指令将公钥内容附加到指定文件结尾：

注意：最好在shell里粘贴公钥，如果使用的是阿里云服务器，直接在浏览器端的远程连接粘贴公钥会有大坑，可能部分字符串被转成命令执行。

# echo “ssh-rsa AA…..(content_of_pubkey)” >> /home/userxxx/.ssh/authorized_keys

修改文件访问权限：

# chmod  /home/userxxx/.ssh
# chmod  /home/userxxx/.ssh/authorized_keys

重启SSH服务：

# systemctl restart sshd

=========================================================================

到这里就可以使用证书登录了：

客户端为windows时，使用PuTTY

输入正确的HostName(IP Address)与Port，在左侧的Connection/SSH/Auth中设置Private Key File位置，回到Session保存，方便下次打开，点击右下的Open，输入用户名（如果私钥设置了密码还需要输入密码）即可连接到服务器了。

SFTP连接：使用FileZilla

在站点管理器中新建站点：主机端口与上面相同，协议（Protocal）选择SFTP，登录类型选择密钥文件，填好用户名及密钥文件位置即可登录成功。

因为实验室习惯使用XShell和XFtp客户端，而这两个客户端似乎无法使用由PuTTYgen生成的密钥对，因此需要重新通过Xshell生成密钥对。

首先新建会话，填好主机和端口后在左栏找到用户身份验证，方法选择Public Key, 填写用户名，浏览用户密钥，在对话框中点击生成，推荐密钥类型为RSA，长度为4096，按照向导填写导出的密钥名称、私钥密码等信息，下一步获取公钥，并将新的公钥在服务器上注册（如果之前已经注册过，可以将新的公钥直接使用echo命令追加到/home/userxxx/.ssh/authorized_keys文件后，如果之前没有注册过，请参考上文注册的步骤）。完成在服务器的注册后，回到XShell，选择刚才生成的私钥，确定连接即可。再转到XFtp可以直接找到刚才生成的密钥并进行连接，注意协议使用SFTP即可。

=========================================================================

如果客户端是Linux或Mac：

不需要用到软件，直接在命令行生成密钥对或访问服务器即可：

生成密钥对：

# ssh-keygen -t rsa -b  -o -a  -C “KEY_COMMENT”

-t设置密钥类型，-b设置密钥位数，-C设置注释

提示的passphrase就是为私钥设置的密码，不设置的话直接两次回车即可。

默认情况下，生成的密钥保存在当前用户的.ssh文件夹下，id_rsa是私钥，id_rsa.pub是公钥。

使用证书登录服务器：

# ssh -I /path_of_private_key/id_rsa userxxx@<server_ip> -p 

或者设置配置文件快速访问服务器：

# vim ~/.ssh/config
Host server1
  User userxxx
  Host server_ip
  Port
  ServerAliveInterval
  IdentityFile /path_of_private_key/id_rsa

Host server2
  …
  …

使用以下命令即可登录服务器：

# ssh server1

=========================================================================

附录

SSH配置参数详解：http://0001111.iteye.com/blog/1980857

/etc/ssh/sshd_config文件常用参数：

# . 关于 SSH Server 的整体设定，包含使用的 port 啦，以及使用的密码演算方式
Port 　　　　　　　　　　# SSH 预设使用  这个 port，您也可以使用多的 port ！
　　　　　　　　　　　　　 # 亦即重复使用 port 这个设定项目即可！
Protocol ,　　　　　　　 # 选择的 SSH 协议版本，可以是  也可以是  ，
　　　　　　　　　　　　　 # 如果要同时支持两者，就必须要使用 , 这个分隔了！
#ListenAddress 0.0.0.0　　 # 监听的主机适配卡！举个例子来说，如果您有两个 IP，
　　　　　　　　　　　　　 # 分别是 192.168.0.100 及 192.168.2.20 ，那么只想要
　　　　　　　　　　　　　 # 开放 192.168.0.100 时，就可以写如同下面的样式：
ListenAddress 192.168.0.100          # 只监听来自 192.168.0.100 这个 IP 的SSH联机。
　　　　　　　　　　　　　　　　　　 # 如果不使用设定的话，则预设所有接口均接受 SSH
PidFile /var/run/sshd.pid　　　　　　# 可以放置 SSHD 这个 PID 的档案！左列为默认值
LoginGraceTime 　　　　 # 当使用者连上 SSH server 之后，会出现输入密码的画面，
　　　　　　　　　　　　　 # 在该画面中，在多久时间内没有成功连上 SSH server ，
　　　　　　　　　　　　　 # 就断线！时间为秒！
Compression yes　　　　　　# 是否可以使用压缩指令？当然可以?！
　
# . 说明主机的 Private Key 放置的档案，预设使用下面的档案即可！
HostKey /etc/ssh/ssh_host_key　　　　# SSH version  使用的私钥
HostKey /etc/ssh/ssh_host_rsa_key　　# SSH version  使用的 RSA 私钥
HostKey /etc/ssh/ssh_host_dsa_key　　# SSH version  使用的 DSA 私钥  

# 2.1 关于 version  的一些设定！
KeyRegenerationInterval 　 　　　# 由前面联机的说明可以知道， version  会使用
　　　　　　　　　　　　　　　　　　 # server 的 Public Key ，那么如果这个 Public
　　　　　　　　　　　　　　　　　　 # Key 被偷的话，岂不完蛋？所以需要每隔一段时间
　　　　　　　　　　　　　　　　　　 # 来重新建立一次！这里的时间为秒！
ServerKeyBits  　　　　　　　　　 # 没错！这个就是 Server key 的长度！
# . 关于登录文件的讯息数据放置与 daemon 的名称！
SyslogFacility AUTH　　　　　　　　　# 当有人使用 SSH 登入系统的时候，SSH会记录资
　　　　　　　　　　　　　　　　　　 # 讯，这个信息要记录在什么 daemon name 底下？
　　　　　　　　　　　　　　　　　　 # 预设是以 AUTH 来设定的，即是 /var/log/secure
　　　　　　　　　　　　　　　　　　 # 里面！什么？忘记了！回到 Linux 基础去翻一下
　　　　　　　　　　　　　　　　　　 # 其它可用的 daemon name 为：DAEMON,USER,AUTH,
　　　　　　　　　　　　　　　　　　 # LOCAL0,LOCAL1,LOCAL2,LOCAL3,LOCAL4,LOCAL5,
LogLevel INFO　　　　　　　　　　　　# 登录记录的等级！嘿嘿！任何讯息！
　　　　　　　　　　　　　　　　　　 # 同样的，忘记了就回去参考！
# . 安全设定项目！极重要！
# 4.1 登入设定部分
PermitRootLogin no　　 　　# 是否允许 root 登入！预设是允许的，但是建议设定成 no！
UserLogin no　　　　　　　 # 在 SSH 底下本来就不接受 login 这个程序的登入！
StrictModes yes　　　　　　# 当使用者的 host key 改变之后，Server 就不接受联机，
　　　　　　　　　　　　　 # 可以抵挡部分的木马程序！
#RSAAuthentication yes　　 # 是否使用纯的 RSA 认证！？仅针对 version  ！
PubkeyAuthentication yes　 # 是否允许 Public Key ？当然允许啦！只有 version
AuthorizedKeysFile      .ssh/authorized_keys
　　　　　　　　　　　　　 # 上面这个在设定若要使用不需要密码登入的账号时，那么那个
　　　　　　　　　　　　　 # 账号的存放档案所在档名！
# 4.2 认证部分
RhostsAuthentication no　　# 本机系统不止使用 .rhosts ，因为仅使用 .rhosts 太
　　　　　　　　　　　　　 # 不安全了，所以这里一定要设定为 no ！
IgnoreRhosts yes　　　　　 # 是否取消使用 ~/.ssh/.rhosts 来做为认证！当然是！
RhostsRSAAuthentication no # 这个选项是专门给 version  用的，使用 rhosts 档案在
　　　　　　　　　　　　　 # /etc/hosts.equiv配合 RSA 演算方式来进行认证！不要使用
HostbasedAuthentication no # 这个项目与上面的项目类似，不过是给 version  使用的！
IgnoreUserKnownHosts no　　# 是否忽略家目录内的 ~/.ssh/known_hosts 这个档案所记录
　　　　　　　　　　　　　 # 的主机内容？当然不要忽略，所以这里就是 no 啦！
PasswordAuthentication yes # 密码验证当然是需要的！所以这里写 yes ?！
PermitEmptyPasswords no　　# 若上面那一项如果设定为 yes 的话，这一项就最好设定
　　　　　　　　　　　　　 # 为 no ，这个项目在是否允许以空的密码登入！当然不许！
ChallengeResponseAuthentication yes  # 挑战任何的密码认证！所以，任何 login.conf
　　　　　　　　　　　　　　　　　　 # 规定的认证方式，均可适用！
#PAMAuthenticationViaKbdInt yes      # 是否启用其它的 PAM 模块！启用这个模块将会
　　　　　　　　　　　　　　　　　　 # 导致 PasswordAuthentication 设定失效！
　
# 4.3 与 Kerberos 有关的参数设定！因为我们没有 Kerberos 主机，所以底下不用设定！
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosTgtPassing no
　
# 4.4 底下是有关在 X-Window 底下使用的相关设定！
X11Forwarding yes
#X11DisplayOffset
#X11UseLocalhost yes
# 4.5 登入后的项目：
PrintMotd no              # 登入后是否显示出一些信息呢？例如上次登入的时间、地点等
　　　　　　　　　　　　　# 等，预设是 yes ，但是，如果为了安全，可以考虑改为 no ！
PrintLastLog yes　　　　　# 显示上次登入的信息！可以啊！预设也是 yes ！
KeepAlive yes　　　　　　 # 一般而言，如果设定这项目的话，那么 SSH Server 会传送
　　　　　　　　　　　　　# KeepAlive 的讯息给 Client 端，以确保两者的联机正常！
　　　　　　　　　　　　　# 在这个情况下，任何一端死掉后， SSH 可以立刻知道！而不会
　　　　　　　　　　　　　# 有僵尸程序的发生！
UsePrivilegeSeparation yes # 使用者的权限设定项目！就设定为 yes 吧！
MaxStartups 　　　　　　# 同时允许几个尚未登入的联机画面？当我们连上 SSH ，
　　　　　　　　　　　　　# 但是尚未输入密码时，这个时候就是我们所谓的联机画面啦！
　　　　　　　　　　　　　# 在这个联机画面中，为了保护主机，所以需要设定最大值，
　　　　　　　　　　　　　# 预设最多十个联机画面，而已经建立联机的不计算在这十个当中
# 4.6 关于使用者抵挡的设定项目：
DenyUsers *　　　　　　　 # 设定受抵挡的使用者名称，如果是全部的使用者，那就是全部
　　　　　　　　　　　　　# 挡吧！若是部分使用者，可以将该账号填入！例如下列！
DenyUsers test
DenyGroups test　　　　　 # 与 DenyUsers 相同！仅抵挡几个群组而已！
# . 关于 SFTP 服务的设定项目！
Subsystem       sftp    /usr/lib/ssh/sftp-server  

=========================================================================

参考：

用户管理相关：

https://cnzhx.net/blog/linux-add-user-to-group/#usermod

http://634871.blog.51cto.com/624871/1325907

SSH配置相关：

https://cnzhx.net/blog/linux-server-ssh-key-auth-configuration/