通常我们都利用ssh通过IP地址,账户,密码,端口号四个条件就可以远程登录服务器,一些软件可以自动保存账户密码非常的方便。但是一台设备放到互联网上不可避免的会受到各种攻击。最常见的就是流量攻击,从全球各个地方尝试用各种账户SSH远程登录。常用的账户就是root,admin,test这些,如果密码设置的比较简单,有可能就被暴力破解了,是非常危险的,所以,Linux系统下密码一定要复杂一些。
暴力登录
如果查看/var/log/secure文件,这里是ssh的日志文件,可以看到有各种IP尝试登录,当然,大部分都没成功。
尤其是使用root账户,每时每刻都被尝试登录,当然这个也不用担心,只需要关闭直接使用管理员登录就行,ubuntu系统默认是禁止root直接远程登录的,需要使用普通账户通过su -切换,就是为了系统安全。
密钥登录
为了避免这个问题,最好的方式就是使用密钥文件来远程连接。密钥文件通过将密码明文转换为一段特殊字符串,与服务器端的文件匹配后才可以登录,因此更加安全。可以通过公钥与私钥模式。公钥和私钥都属于非对称加密算法的一个实现,这个加密算法的信息交换过程是:
1) 持有公钥的一方(甲)在收到持有私钥的一方(乙)的请求时,甲会在自己的公钥列表中查找是否有乙的公钥,如果有则使用一个随机字串使用公钥加密并发送给乙。
2) 乙收到加密的字串使用自己的私钥进行解密,并将解密后的字串发送给甲。
3) 甲接收到乙发送来的字串与自己的字串进行对比,如果通过则验证通过,否则验证失败。
利用密钥登录并不难,现在很多云服务器都可以提供这种方式,例如亚马逊的云,避免直接使用账户密码的不安全行为。
下面我们具体演示一下几款常用远程工具使用密钥的方法。 云服务器提供方为提供一个密钥文件,一般命名为*_id_rsa。
xshell
1、正常填写名称,主机IP地址
2、填写用户名,在选择密码的地方选择“Public Key”。
3、选择浏览,导入密钥文件,完成配置
termius
如果是mac系统使用termius,方法类似。
1、首先点击Keychain菜单
2、导入密钥文件
3、登录账户,选择导入的密钥文件
filezilla
关闭了账户面的方式,filezilla该如何传输文件呢,其实filezilla同样支持密钥的方式。
1、 左上角新建一个登录站点,然后New Site
2、这一步要选择的比较多,协议选择SFTP,然后填入主机IP和端口号,端口号一定要填22,否则默认是21,然后登录类型选择密钥文件,填入用户名,然后导入密钥文件。
3、注意在导入密钥的时候,需要选择全部文件,才能找到密钥文件。
4、选择刚才保存的标签,就可以登录filezilla。
ssh命令行
如果不使用图形化工具,直接使用命令行,需要给ssh添加-i选项,后面接密钥文件。
The authenticity of host '129.28.190.125 )' can't be established.
ECDSA key fingerprint is SHA256:33d0odcIK6uSMqZquzrN1u/bY3dLEcpPwuf/M/gzDFQ.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '129.28.190.125' (ECDSA) to the list of known hosts.
Last login: Sat Aug 22 10:46:19 2020 from 113.234.173.34
[test@VM_0_11_centos ~]$
scp
如果过使用scp命令,同理也是使用-i选项,这样不需要账户密码,就可以直接传输,更加方便。
所以,请一定保存好你的密钥文件。