在CentOS 8中创建SSH密钥的最优方案是使用ssh-keygen命令生成Ed25519算法密钥,并通过ssh-copy-id将公钥部署至服务器,从而彻底摒弃密码登录,实现最高级别的身份验证安全。
SSH(Secure Shell)不仅是远程管理的通道,更是企业级Linux服务器的第一道防线,随着网络安全威胁日益复杂,传统的密码认证模式因易受暴力破解攻击,已逐渐被业界淘汰,业内专家指出,采用非对称加密技术的SSH密钥认证,在安全性与便捷性之间取得了最佳平衡,对于运维人员而言,掌握这一技能不再是可选项,而是必选项。
为什么必须从密码登录转向密钥认证
在深入操作之前,理解底层逻辑至关重要,许多初学者常问:CentOS 8 SSH密钥生成与密码登录区别是什么?本质上,密码登录依赖于“你知道什么”(Knowledge Factor),而密钥登录依赖于“你拥有什么”(Possession Factor),黑客可以通过字典攻击或彩虹表轻易撞开弱密码,但要在短时间内破解256位甚至更高级别的密钥,其算力成本几乎不可接受。
安全性维度的深度对比
密码认证的最大漏洞在于其可预测性,用户往往倾向于使用生日、手机号或简单组合,这些在字典攻击面前不堪一击,相比之下,SSH密钥对由私钥和公钥组成,私钥永远保留在客户端,绝不传输;公钥则放置在服务器端,登录过程是服务器向客户端发起挑战,客户端用私钥签名并返回,服务器用公钥验证,这一过程不仅防暴力破解,还能有效防御中间人攻击。
效率与自动化优势
除了安全,密钥带来的自动化价值同样巨大,在持续集成/持续部署(CI/CD)流水线中,脚本需要无交互地连接服务器,如果使用密码,脚本必须处理密码输入或加密存储密码,这增加了复杂度和泄露风险,密钥认证允许脚本直接通过私钥完成身份验证,无需人工干预,据统计,多数情况下,自动化运维任务中采用密钥认证的故障率显著低于密码认证,因为消除了凭据过期或修改导致的连接中断问题。
CentOS 8 SSH密钥生成实操指南
生成密钥的过程极其简单,但细节决定成败,我们推荐使用Ed25519算法,它是目前公认最安全且高效的现代算法,比传统的RSA算法生成速度更快,密钥更短。
检查现有密钥
在开始之前,先确认本地机器是否已存在密钥,打开终端,输入以下命令:
ls -al ~/.ssh/id_.pub
如果看到id_ed25519.pub或id_rsa.pub文件,说明已有密钥,若你希望重新生成,请先备份或删除旧文件,以免覆盖,若没有输出,则直接进行下一步。
执行生成命令
运行以下命令来创建新的密钥对:
ssh-keygen -t ed25519 -C "your_email@example.com"
这里有一个关键参数:-C用于添加注释,通常填入你的邮箱,方便日后识别该密钥属于哪个用户或哪台机器,执行后,系统会提示你指定文件保存路径,直接按回车使用默认路径~/.ssh/id_ed25519即可。
系统会要求设置密码短语(Passphrase),这是一个可选但强烈建议的步骤,密码短语相当于给私钥加了一把“锁”,即使私钥文件被盗,攻击者没有密码短语也无法使用,输入两次密码后,密钥即生成完毕,你会看到类似“Your identification has been saved in /home/user/.ssh/id_ed25519”的提示。
验证密钥文件
生成成功后,你可以再次运行ls -al ~/.ssh/查看文件列表,你应该能看到两个新文件:
id_ed25519:私钥,绝对保密,权限应为600。id_ed25519.pub:公钥,可公开,用于部署到服务器。
如何将公钥部署至远程服务器
生成密钥只是第一步,将其部署到CentOS 8服务器才算完成闭环,许多用户困惑于CentOS 8 SSH密钥部署失败原因,通常是因为权限设置错误或公钥未正确追加。
使用ssh-copy-id(推荐)
这是最便捷的方法,假设你的服务器IP为
168.1.100,用户名为root,执行:
ssh-copy-id -i ~/.ssh/id_ed25519.pub root@192.168.1.100
系统会提示你输入服务器用户的密码,输入正确后,公钥会自动追加到服务器~/.ssh/authorized_keys文件中,这种方法自动处理了权限问题,是业内共识认为最稳妥的方式。
手动复制(备用方案)
如果目标服务器未安装ssh-copy-id工具,或你无法使用该方法,可以手动操作,在本地查看公钥内容:
cat ~/.ssh/id_ed25519.pub
复制输出的整行字符串,然后登录到服务器,执行以下命令:
mkdir -p ~/.ssh echo "粘贴刚才复制的公钥内容" >> ~/.ssh/authorized_keys chmod 700 ~/.ssh chmod 600 ~/.ssh/authorized_keys
注意权限设置:.ssh目录必须是700,authorized_keys文件必须是600,SSH守护进程对权限极其敏感,任何过于宽松的权限(如777或644)都会导致密钥认证被拒绝。
配置SSH守护进程以强化安全
密钥部署完成后,为了彻底杜绝密码登录,需要修改SSH配置文件,这一步是防止CentOS 8 SSH密钥登录被拒的关键环节,也是加固服务器的核心步骤。
修改sshd_config
使用编辑器打开配置文件:
sudo vi /etc/ssh/sshd_config
找到以下参数并进行修改:
PubkeyAuthentication yes:确保启用公钥认证。PasswordAuthentication no:禁用密码认证,这是最关键的一步,确保只有持有私钥的人才能登录。PermitRootLogin prohibit-password:建议禁止root用户通过密码登录,但允许通过密钥登录,如果安全性要求极高,可设为no,强制使用普通用户登录后再sudo提权。
修改完成后,保存并退出,然后重启SSH服务以应用更改:
sudo systemctl restart sshd
测试新配置
在断开当前连接之前,务必打开一个新的终端窗口进行测试,尝试连接服务器:
ssh root@192.168.1.100
如果配置正确,系统会要求你输入私钥的密码短语(如果设置了的话),输入正确后,即可成功登录,如果失败,立即回到旧窗口检查日志/var/log/secure以排查问题,切勿在测试成功前关闭当前会话,否则可能将自己锁在服务器之外。
常见问题与排查
Q&A:CentOS 8 SSH密钥生成后无法登录怎么办
如果登录被拒绝,首先检查权限,运行ls -ld ~/.ssh和ls -l ~/.ssh/authorized_keys,确保目录权限为700,文件权限为600,检查SELinux状态,CentOS 8默认启用SELinux,如果上下文标签错误,SSH可能拒绝访问,运行restorecon -Rv ~/.ssh可修复上下文,查看/var/log/secure日志,寻找“Authentication refused”或“Permission denied”的具体错误代码。
Q&A:CentOS 8 SSH密钥生成是否支持多平台同步
SSH密钥是平台无关的,你在Linux、macOS或Windows(使用OpenSSH客户端)上生成的密钥,都可以部署到任何支持SSH协议的Linux服务器,只需将对应的公钥内容复制到服务器的authorized_keys文件中即可,对于Windows用户,建议使用Git Bash或Windows Terminal中的OpenSSH,命令与Linux完全一致。
Q&A:CentOS 8 SSH密钥生成后如何更换密钥
更换密钥时,不要直接删除authorized_keys文件,建议先添加新公钥,测试新密钥登录成功后,再移除旧公钥,这样可以避免在操作失误时失去所有访问权限,记得更新本地~/.ssh/config文件中的IdentityFile路径,指向新的私钥文件,以免SSH尝试使用错误的密钥。
SSH密钥认证是现代Linux运维的基石,通过遵循上述步骤,你不仅提升了服务器的安全性,还简化了日常管理工作,安全是一个持续的过程,定期轮换密钥、保护私钥文件,才是长久之计。
首发原创文章,作者:世雄 - 原生数据库架构专家,如若转载,请注明出处:https://idctop.com/article/402362.html
