5.2. 将基于密钥的身份验证设置为 OpenSSH 服务器的唯一方法
要提高系统安全性,通过在 OpenSSH 服务器上禁用密码身份验证来强制进行基于密钥的身份验证。
先决条件
-
已安装
openssh-server
软件包。 -
sshd
守护进程正在服务器中运行。 已使用密钥连接到 OpenSSH 服务器。
详情请参阅 生成 SSH 密钥对 部分。
流程
在文本编辑器中打开
/etc/ssh/sshd_config
配置,例如:# vi /etc/ssh/sshd_config
将
PasswordAuthentication
选项改为no
:PasswordAuthentication no
-
在新默认安装以外的系统中,检查
PubkeyAuthentication
参数是否未设置或设置为yes
。 将
Kbd interactiveAuthentication
指令设置为no
。请注意,对应的条目在配置文件中被注释掉,默认值为
yes
。要在 NFS 挂载的主目录中使用基于密钥的验证,启用
use_nfs_home_dirs
SELinux 布尔值:# setsebool -P use_nfs_home_dirs 1
- 如果您要进行远程连接,而不使用控制台或带外访问,在禁用密码验证前测试基于密钥的登录过程。
重新载入
sshd
守护进程以应用更改:# systemctl reload sshd
其他资源
-
sshd_config(5)
andsetsebool(8)
man pages on your system