5.2. 将基于密钥的身份验证设置为 OpenSSH 服务器的唯一方法
要提高系统安全性,通过在 OpenSSH 服务器上禁用密码身份验证来强制进行基于密钥的身份验证。
先决条件
-
已安装
openssh-server软件包。 -
sshd守护进程正在服务器中运行。 已使用密钥连接到 OpenSSH 服务器。
详情请参阅 生成 SSH 密钥对 部分。
流程
在文本编辑器中打开
/etc/ssh/sshd_config配置,例如:# vi /etc/ssh/sshd_config将
PasswordAuthentication选项改为no:PasswordAuthentication no
-
在新默认安装以外的系统中,检查
PubkeyAuthentication参数是否未设置或设置为yes。 将
ChallengeResponseAuthentication指令设置为no。请注意,对应的条目在配置文件中被注释掉,默认值为
yes。要在 NFS 挂载的主目录中使用基于密钥的验证,启用
use_nfs_home_dirsSELinux 布尔值:# setsebool -P use_nfs_home_dirs 1- 如果您要进行远程连接,而不使用控制台或带外访问,在禁用密码验证前测试基于密钥的登录过程。
重新载入
sshd守护进程以应用更改:# systemctl reload sshd
其他资源
-
sshd_config(5)andsetsebool(8)man pages on your system
