【Linux】第十章 配置和保护SSH

1. 简单说下ssh如何实现用户的免密登录？

（1）生成公钥和私钥：使用 ssh-keygen -t rsa 命令，在客户端（即你登录的机器）上生成一对密钥——公钥（~/.ssh/id_rsa.pub）和私钥（~/.ssh/id_rsa）。公钥是公开的，可以发送给别人；私钥是保密的，只有你自己保管。

（2）将公钥发送到远程服务器：使用 ssh-copy-id user@remote_host 命令，将你的公钥复制到远程服务器的一个特定文件里（~/.ssh/authorized_keys），这样服务器就知道你是谁，可以信任你。

（3）使用私钥认证：当你从客户端第一次连接到远程服务器时，使用 SSH 协议的客户端会使用你的 私钥 来进行身份验证。服务器会用 公钥 来验证你是否是授权用户。匹配成功就可以无密码登录。

第一次连接时，SSH协议会从远程服务器获取并保存其公钥到客户端本地文件 ~/.ssh/known_hosts ，用于记录你已经连接过的远程服务器的公钥，这个公钥不是来认证你的身份，而是用来验证你连接的远程服务器是否是合法的，防止中间人攻击或服务器伪装。

当你下次连接到同一个服务器时，SSH 客户端会从 ~/.ssh/known_hosts  文件中查找该服务器的公钥。如果公钥匹配，连接继续进行；如果不匹配，SSH 会提示你警告，因为这可能意味着服务器的公钥发生了变化，可能是被篡改或存在中间人攻击。

2. SSH的公钥和私钥有什么区别？它们分别存放在哪里？

公钥 是公开的，可以自由地与任何人分享。它用于 加密信息 或 验证身份。在 SSH 中，公钥通常存放在服务器上，用于验证客户端的身份。客户端本地一般存放在 ~/.ssh/id_rsa.pub 中，远程服务器一般放在 ~/.ssh/authorized_keys 中。

私钥 是保密的，只能由它的拥有者保管。它用于 解密信息 或 签名。在 SSH 中，私钥存放在客户端本地，用于证明客户端的身份。私钥存放在本地客户端的安全位置，通常位于 ~/.ssh/id_rsa 中。

私钥只能由所有者读取，为 600 权限。公钥则可被任何人读取，通常设置为 644 权限

3. 如何设置禁止直接远程登录root账户？

编辑 /etc/ssh/sshd_config ，设置 PermitRootLogin no  。

4. 如何设置禁止使用基于密码的身份验证来进行远程登录？

编辑 /etc/ssh/sshd_config ，设置 PasswordAuthentication no 。

5. 在修改sshd配置文件后，需要执行什么操作让修改生效？

修改配置后，重新加载或重新启动 SSH 服务：systemctl reload sshd 或 systemctl restart sshd 。