阿里雲堡壘機密鑰連接ECS伺服器

堡壘機遠程桌面windows系統就不用細說了

堡壘機遠程ssh連接linux系統倒要說一下，畢竟是為安全一般只用通過密鑰連接，而不使用密碼的方式連接。

首先我們得在需要遠程的伺服器上創建ssh密鑰對，

比如我在Redis伺服器上有yunwei和kaifa兩個用戶，就可以分別在不同用戶的家目錄下創建密鑰對：

比如上圖是在kaifa的家目錄下，敲命令：

ssh-keygen -t rsa

表示創建一對rsa密鑰（因為阿里雲的堡壘機只認ssh-keygen創建的rsa密鑰）

三次回車（第一次是默認名稱、第二次是默認空密碼、第三次是確認）之後，

在kaifa的家目錄下會生成.ssh/(隱藏目錄）

和.ssh/下的id_rsa（私鑰，2048位）、id_rsa.pub（公鑰，要追加到認證文件）

接下來要做的是將公鑰追加到authorized_keys文件上（默認的名字，當然你也可以改）

這個文件隨追加命令敲完後而生成

cat id_rsa.pub >> authorized_keys

注意，以上命令操作都是在已經cd進.ssh目錄下敲的，不然的話你要敲全路徑。

還有特別重要的一步，修改authorized_keys文件為600許可權！

chmod 600 authorized_keys

如果這一步沒做將會導致ssh連接不成功，認證失敗。

其實除了authorized_keys文件需要600許可權以外，.ssh/目錄也是需要700許可權，

只不過在敲ssh-keygen -t rsa 三次回車默認創建的.ssh/目錄就是700罷了。

-----------------

authorized_keys:存放遠程免密登錄的公鑰,主要通過這個文件記錄多台機器的公鑰

id_rsa : 生成的私鑰文件

id_rsa.pub ： 生成的公鑰文件

know_hosts : 已知的主機公鑰清單

如果希望ssh公鑰生效需滿足至少下面兩個條件：

1) .ssh目錄的許可權必須是700

2) .ssh/authorized_keys文件許可權必須是600

---------------

再來是修改sshd_config配置文件，使ssh使用密鑰認證生效

分別去除以下三行的#號注釋

RSAAuthentication yes

PubkeyAuthentication yes

AuthorizedKeysFile .ssh/authorized_keys

（RSA認證開啟、公鑰開啟、公鑰記錄文件指定）

此外，如果只允許使用密鑰ssh連接，那麼可以將密碼認證給設置為不開啟-no:

PasswordAuthentication no

這樣會更安全。

重啟ssh服務

service sshd restart

本機連接普通用戶測試

ssh localhost

堡壘機上設置好憑據，簡單來說也就是將私鑰id_rsa對應下載回本地客戶機，

然後再打開文件，複製裡面的內容到堡壘機網頁相應設置上。

如果是在普通的linux客戶端上用ssh命令連接是這樣的：

ssh -i 私鑰文件 用戶@遠程伺服器IP -p ssh埠

而在堡壘機上只不過隱藏了這條命令，界面是這樣的：

當然後面可以根據分明細組和用戶來做到列表明細化。

這就不是重點了。

2017-6月中旬

END

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！