linux中ssh免密登录怎么关闭

有个学员跟我吐槽啊，他们公司那些服务器的密码，但是又臭又长啊，而且福气又多，每次登录的时候呢密码都得搞半天，然后呢我就推荐他使用 sh 的免密登录，总共呢分成四个步骤， 第一步呢就是在我们的笔记本电脑上去生成撕药和工药这样一对蜜药，打开插下，新建我们的用户密码，生成导向，然后选择我们的必要类型和密码程度，下一步把这时候就会生成一个工药，然后点击下一步输入我们系统的密码，点击下一步保存一下我们的这个工药文件。第二步呢就是把生成的这个工药啊 上传到我们服务器端的 ssh 下面有一个密码文件当中，使用我们的 xpp 做工具，点击到我们服务器，然后这里的选择密码登录，输入系统的用户名和密码点确定，然后点击连接，点击到服务器之后呢点击接受保存，然后把笔记本身边的这个公要上传到我们服务器端的日头动向，然后呢创建一个隐藏部落，然后在这个目录下面呢创建一个密码 认证文件，然后创业好之后呢，我们可以查看一下我们刚上传上的公要的一些内容，然后把这个内容啊从定向到我们刚所创建的这个必要文件当中，然后呢修改一下这个必要文件，它的权限为六零零。然后第三步呢就是把我们的撕药保存在 笔记本的本地，然后这是我们的撕药，然后把撕药导出到我们本地后端，然后这里输入我们的系统密码，点击确定，然后呢就可以在正面上看到我们的功药和撕药两个文件。然后第四步，在笔记本电脑使用插线或者是 cs 的时候呢，指定使用密药登录，而不是密码登录。 接下来我们再扣端，点击插校，点击我们的英子福气，输入相关的名称，写意为赛赛曲，主题是我们的福气答片取，然后选择我们的身份验证，用功药来进行验证，用户名呢就是入口，然后这里呢导入我们的撕药，然后密码是我们刚刚所设置的密码，然后点击确定，然后点连接，这时候呢就可以连到我们服务器应死的事情当中了，这样的话妈妈是不是再也不用担心我这个是密码了？

哎，你好。哎，你好，没事管，这是我的简历。嗯，先简单的做个自我介绍吧。 呃，那我想问一下你会如何防范 s s h 被暴力破解啊？我认为首先最基础的是改掉我们的默认端口啊，把二十二端口改成自定义的一些非标准的端口，可以直接躲开我们大部分的这种互联网上的批量扫描的工具。 然后呢，可以禁用我们的 root 用户啊，就是使用普通用户登录以后再去数度集全，就算密码泄露也没办法直接去拿到最高的权限。 其次是关掉密码登录，我强制用密钥登录，密钥比密码要复杂一些，暴力破解的话几乎不可能，还能够给我们的私钥加密，双重保护。 然后如果是特殊原因，我们如果必须用密码登录的话，就可以设置一些复杂的密码，比如长度十二位以上的，包含大小写和特殊制服这种，而且还要定期的更换。 另外如果是密码登录还可以装一下啊，放一处半这类工具，它可以监控我们的登录日期，连续多次搜索密码就可以自动封禁对方的 ip， 还能设置封禁时长，防止恶意的 ip 反复的去尝试。 最后开启 s s 五 h 的 日制审计配合监控工具啊，一旦发现异常登录行为，比如陌生的 ip 啊，高频的尝试也可以及时地告警处理。嗯，好的。 呃，我在你的简历上没有看到运维相关的工作，你之前是做什么的呀？运维测试开发相关的面试资料我都整理好了，留来份快递我发给你。

如果说 linux 的 服务器 s s h 远程登录连接不上，你第一步该怎么排查呢？先拼服务器的 ip， 检查网络的连通信， 如果说能够拼通的话，说明网络层没有问题，问题可能在传输层或者是应用层。那接下来的话可以继续排查 s s h 端口 s s h d 服务防火墙或者是账号的权限。如果说拼不通的话， 要说明网络层或者是链路层的问题，优先排查 ip 地址有没有配置错误，物理链路是否中断。或者说云服务器的安全组是不是禁用了 smp 协议。那如果说它能拼通啊，但是 smh 还是连不上，接下来怎么办呢？ 先确认端口的配置嘛，检查客户端连接的端口和服务器是不是一样的。然后呢，检查服务的状态，使用 system ctl， 然后 stat 是 ssd， 问系统为 ssh， 查看服务有没有处于 xt 五或者 running 状态，若服务挂掉，尝试重启并查看报错日期。其次的话，可以验证端口的一个监听，在服务器本地执行 s s 杠 t r p n 呃， group 端口号，确认 s s t。 进程是否正常，监听在零点，零点零或对应的网卡 ip 上。最后的话，排查一下防火墙的一个拦截。呃，像一般云端的话，检查安全主入方向的规则有没有放心 s s t。 去端口，系统内的话，临时关闭 file word appetables， 并执行 setting force， 零关闭 s e linux 排除安全策略拦截。那如果说像网络呀，还有这个 s s g 的 端口和服务，它都是正常的，当然还是连不上， 这个该怎么赔偿？这时候就需要看此盘的荧幕的使用率，如果小文件太多导致荧幕的满了，就算此盘空间还有剩余，也是没有办法写日字的， s s h 也会登录失败。好理解，还不错啊。

最近我配置了一台 windows 服务器，客户端进行时免密登录的时候遇到了一个奇怪的问题，客户端可以用密码的方式远程登录，但是使用公要的方式就始终登录不进去。我网上搜索了很多解决方案，终于排查出 windows 平台上配置时的一些坑， 分享给大家，希望大家在配置的时候少走弯路。如果有帮到大家，请帮我点个关注和赞，谢谢！第一步，检查工要身份验证服务和 opens server 是否开启，打开计算机的服务页面，确保这两项的状态是正在运行。 第二步，打开文件资源管理器，进入 c program data 是文件夹，一般情况下 program data 是隐藏文件夹。打开 s s h d config 文件，检查以下内容是否被正确注视掉，同时确保 pub key authentication yes 和 authorized keys file short rise keys 两项配置没有备注是第三步最重要。进入 c users 用户名是文件夹，检查 authorize keys 文件的权限，避免因为继承原因而导致属法读取公要列表，如果没有这个文件，就手动创建一个。按照以下步骤进行，一、右键 authorize keys， 选择属性安全高级，左下角禁用继承。二、点击之后，如果有弹框选择，将已继承的权限转换为此对象的显示权限。在权限条目中只保留 system 和当前用户权限以下两项，如果 所有 administrators 用户组之类的项目将其删除，只保留，然后应用并退出，如图所示。最后，确保您客户端的公要文件 e w c top 里的内容拷贝到服务器端的 authorized keys 文件中，然后重启 opens server open short antication agent 两项服务配备完成，现在您就可以免密的方式登录式服务器了。

管几百台服务器，你还在那一遍遍敲密码，不仅手累，关键是还总出错，太心酸了！真正的技术大牛，从来不记密码！实现分终极自动化，靠的是信任，而不是体力。教你一招一次配置，永久免检通行。第一步，生成一对密钥， 一路回车，不用纠结。第二步，直接一条命令 s s copy， 它会帮你把公钥自动传到服务器，只需输一次密码，现在再连直接进去，别人还在输密码，你已经进系统了。 福气越多，这招越香！真正的效率是减少重复动作，不是你手速慢，是你方式不对。我是 perry， 这是六十个运维保密命令的第十八集，关注我，带你把运维操作全部自动化，下期视频见！

嗨，大家好，我是郝小妙同学。那前面我们已经把搭建这个呃大数据序列记环境这一块，集区环境这一块的这个万科例子配好啦， 首先是我们在安装的安装的操作系统，六个是操作系统，然后也配置了网卡地址，完了之后的话呢，也配置了这个啊，厚实的文件也关闭了，防火墙也禁用了这个 c 六六 s 的这个安全策略。 接下来就轮到我们要配置一个 s h h 免密登录， s s h 免密登录就是可以很方便的。嗯，直接访问到 这几台这几台机器之间相互的这个登录访问啊，访问那个机器登录到这个，对于远程登录到那个，呃，其他的机器两两之间可以随意的这个访问啊，不用输入密码了， 他的原理呢就是要产生一个工药和失药的一个命令，然后把工药呢复制到哦各自的这个主机上面去。就是把把每一个主机的工药都复制到远程的主机上面去 啊，就相当于是远程的那个主机呢。呃，就就可以用我当前这个机器来进行这个免密登录了啊，就可以远程控制那台机器上面的一些文件了啊，拷贝复制啊，这些都是 啊，可以直接进行的。那怎么配呢？首先就要产生这个功药啊，产生一个功药撕药队撕药呢，在 自己本机上面放着公药呢，就复制到你想去访问远程访问的那台机身那台机器上面去。好，我们来试一下，比如说这里产生了一个工药，那我就要把这个工药像每一个机器都要复制一份啊，每一个机器都复制一份， 他都会这个命令， s h 杠 copy 杠 id， 他就会在对应的这个系统目的下产生对应的这个存放工药的约定的一些目录信息，包括这个工药的文件。哎，他就放到这里的陌路上去了，本机也要放，然后远程的机器上也要放， 那么产生公要的这个命令呢？是要的，这个是要公要命令，对，是 s h 杠 k g n 杠 t， 然后呢？空格 r s a 这个命令啊，现在我们有六台机器都已经打开了，对不对？ 我们六台机器都打开了，那我们来试一下吧，一个个来，比如说这个一二三是我们在前面，是我们在前面已经产生过了的，比如说这个一的，我们是已经产生过了的，但是二和三还没有产生过， 我们需要去给他产生一下，先从这个三开始吧， 这个三开始啊，好，那么从这个三开始的话，我们这个命令是 s s h 杠 干踢吗？踢，干干踢 ic， 好，我们来试一试啊，现在登录的是 rot s s h 干 key game key chain 干 t， 空格 i s a， 对不对？这样子的一个命令，然后呢？他会， 嗯，这个那个文件去保存到这个 k， 生成这个 ic， 嗯，特敲回车，表示这个这个文件要去生成。他创建了一个点 s s h 的，怎么录？他在入特底下创建了一个啊，点 s s h 的一个，怎么录，对不对？ 这里面他说要空，表示是不需要 pass face， 不需要转换，你就用空，然后输入同样的电影。空，这里我们要输这个 root root， 输两次 root。 那额弓也是太短了，至少要五个制服重新来一遍啊，我们用 ctrl p 重新来一遍， 没车。然后呢，空表示没有。好，我们就用空空。然后呢，就是要开始去复制了， 复制是用的 s s h 干 copy 干 i d， 还是在弱的底下产生那个点 s s h 的命的东西是不是？嗯，然后我们先复制到，复制到 零零，这是零零三的功药，我要往往零二去复制一下。 yes 啊，零二入他的密码。好，现在尝试用 ss h b， 对的，零二就可以直接进行登录了。 现在是在零三身上吗？我们可以试一下 ssh big date， 零二， 你看，直接就进入到零二的入口账户了，哎，他直接就进到零二的入手账户了。然后呢，我们可以，嗯， lslal 在路的底下有没有一个点 ssh 的？ 有的，他底下就有一个 s s h 的一个目录，看到没有，而且里面有文件， kiss 文件，这就是说明他已经复制好了，那我们还是回来吧， s s h 比对，嗯三 yes， 灵山的 good， 好，我们还是回到了灵山，那这个时候呢，我们还 是要继续复制 好他，没有的话呢？那我们就直接就是 s s h， 看锅皮 赶 id 对不对？我们要把它复制到 big date。 嗯，我们已经复制到 big date 的零零二了，他分大小写嘛，待会试一下分分大小。 big date 晚从零三晚零二复制过了，再把零一复制一份，你也是复制过去零一的 route。 好，那这样子零一也复制好了，那么我们要继续。 就是说我们零三的功药像零二，零一都复制过了，那么还有零零零零三需要复制一下，我们就用了大写的零零 bike， 看看他支不支持啊， 也是支持的，那说明这个机器名啊，一个队的零零三，哎，机器名他是不区分大小写的好， 那太好了，那么零三也复制了，那么接下来是复制给谁呢？复制给零零二，对不对？ yes， 零零二的，然后接下来复制给谁呢？复制给零零一，对不对？ yes， 零零一的入团密码，那这样子我就把零零三这个记 产生的东西，就像所有的这个其他的训练机，其他的机器都复制了一份他的工药，接下来我们要对零零二产生这个工药了。 sh 干 key game and key is a， 对不对？敲回车，保持默认，保持默认，他就产生了一个这样的文件， 然后也是复制啊，也是复制 s h 干 copy 干 id 往谁复制呢？先， 现在是零二吗？对不对？零二，嗯，先先玩这个 啊，挨个挨个来吧。一个 date， 零零一，复制一份。 yes， root， 然后呢？你就批零零二，复制一份 yes， 零零二的密码， 然后 ctrl p 零零三复制一份 yes， 零零三的密码 rot 好，然后 ctrl p 零一。 yes， root， 然后可以去 p 零二。 yes， root 密码，然后零零，然后就是零三。 yes， 哦，密码数错了， root， 零三也有了。好，那这样子六个我们都复制完了，接下来我们就要搞这个零一了， 比克队的零一也是一样的， s s h 杠先产生功药，对不对？杠 k 干 t s a 产生产生好，这样就产生了一个公司要的要。对，然后把公要复制过去，是用 s s h 干枯皮干 id 也是必备的。零零一。 yes， 复制到零零一散入成密码，然后 ctrl p 复制到零零二散， yeah root， 然后复制到零零三散。 yes， root， 然后复制到零衣散。 yes， root， 然后 ctrl p 上面的命，上一次的命令打出来 就 p 零三复制一下。 yes， root， 那这样子我们的这个零一 也向所有的中单都输出了一遍。再看看这个零三，这个零三我们要看一看 ls， 我们要看一看他这个 dr， 他有没有一个点 是 h 的目录。好，那这里是已经产生了这个目录了，从那边复制过来的东西已经产生了， 那这个零三的话，我们，我们要产生这个公司要对的话， 我们也是这样的一个思路啊， s s h， 干 k， 干，干啊干 t s a， 好，那在这里看来的话，这个零三是 已经存在了，对不对？零三四已经存在了，要不要覆盖？我们不要，不要覆盖对不对？已经成生了， 产生了的话就只存在一个，要复制了，因为这个可能是我之前已经产生过了，忘记了。 s s u， 看科比看 id， 嗯，往往 bike 的零一复制，零二复制， 对不对？ bigoday 的您，您衣服去复制。那这边呢？他是说的， 因为他已经存在了，所以他就跳过去了，远程的系统已经存在了，所以呢？这个零三应该是下零零一，零零二，零零三，三个机器都已经有了，他没有， 他没有的是后面新产生的三台机器，对不对？我们要向他复制一下，入后面新产生的三台机器。 yes， 复制一下，入 零零三，零三是没找到， 居然没 bid 的零三没找到，那可能是这个，这个零三这个里面的后视文件配的不对哦，否则为什么会找不到呢？ 那我们要去 win 看一下 etc 下面的 hose 文件有没有配对啊，没得的果然对不对？你看这多个零啊。 x 删掉一个好冒号 wq 保存， 开始拿 ctrl p 向上一个命令逃避到尼山区，你看这样子就能正常访问了，非常好。 yes 后视式文件就起这个作用啊，哎，用这个机器名就可以访问到对应的这个 ip 地址，主机 你后置词里面没有配这个机器人，他肯定就没办法去做解析了。 root 那这样子我们就也向尼桑拷贝了一份， 那他就是 ok 了，那我们再去找零二。

为什么 ssh 用密钥比用密码更安全？你有没有发现一个现象，现在的 linux 服务器、云主机、网络设备越来越多，都在要求禁止密码登录，只能用 ssh 密钥。很多人会问，密码不也是加密传输的吗？为什么非要搞这么麻烦的密钥？今天 我们就把这件事讲透。第一幕，先说密码登录的问题。 ssh 的 密码登录本质是你输入一个秘密，服务器判断对而不对。虽然传输过程是加密的，但问题出在验证方式上，密码可以背时，只要密码登录开启，就一定会面对这三件事， 暴力破解，字典攻击、壮酷攻击，哪怕你用的是 admin at 二零二五感叹号、 at 警号，攻击者也可以每秒试几百次，二十四小时不停。在日制中，你会看到 failed password for root from x x。 问题二，密码是共享秘密。密码有一个致命特性，客户端和服务器知道的是同一个东西，一旦密码泄露，谁拿到，谁就能登录。而且你还得做这些事，定期改密码，通知所有人，防止被记在小本子上。第二幕， s s h 密要到底是啥？ s s h 密要不是高级密码，它是一堆东西。私要在你本地，公要在服务器， 他们的关系是，公要可以验证你，但推不出私要，服务器只保存公要，永远没有你的私要，这点非常关键。第三幕，密要登录是怎么工作的？我们用一句话把流程你发起，连接服务器说证明你是你自己， 服务器给你一个随机挑战。你用私要签名，服务器用公要验证全程过程中没有传密码，没有共享秘密，没有可被试的值，攻击者就算抓包也只能看到一次性的加密数据。第四幕，为什么密要几乎不怕暴力破解？因为攻击面不一样。密码攻击是这样，我猜一个， 你试试对不对？密钥攻击必须这样，我要算出你的私钥。而现实是， rsa two zero four eight eight two five five one nine。 破解难度约等于让宇宙热祭之后再回来看看。所以你会看到一句话， ssh 密钥不是靠复杂，而是靠不可能。第五幕， 密钥还能做哪些密码做不到的事？可以不输入任何东西，自动化运为脚本。 c i c d 可以 精确控制权限，只能执行某个命令，不能登录 s h e l l 三，可以随时单点失效删一行公钥，不影响别人不向密码一改，全体遭殃。第六幕， 那密钥就绝对安全吗？也不是真正的风险在私钥被偷，私钥没加密，私钥满世界考。所以工程师的正确姿势是，私钥加 passphrase， 权限六百，设备丢了立刻删公钥。 一句话，密码你猜对了就行。 s s h 密钥，你必须证明你是你。所以在生产环境里，借密码，家用密钥等于基本操作。结尾，京剧密码是记住的秘密，密钥是算不出来的证明。