阿里云堡垒机密钥连接ECS服务器

文：铁乐与猫

2017-6月中旬

堡垒机远程桌面windows系统就不用细说了

堡垒机远程ssh连接linux系统倒要说一下，毕竟是为安全一般只用通过密钥连接，而不使用密码的方式连接。

首先我们得在需要远程的服务器上创建ssh密钥对，

比如我在Redis服务器上有yunwei和kaifa两个用户，就可以分别在不同用户的家目录下创建密钥对：



比如上图是在kaifa的家目录下，敲命令：

ssh-keygen -t rsa

表示创建一对rsa密钥（因为阿里云的堡垒机只认ssh-keygen创建的rsa密钥）

三次回车（第一次是默认名称、第二次是默认空密码、第三次是确认）之后，

在kaifa的家目录下会生成.ssh/(隐藏目录）

和.ssh/下的id_rsa（私钥，2048位）、id_rsa.pub（公钥，要追加到认证文件）

接下来要做的是将公钥追加到authorized_keys文件上（默认的名字，当然你也可以改）

这个文件随追加命令敲完后而生成

cat id_rsa.pub >> authorized_keys

注意，以上命令操作都是在已经cd进.ssh目录下敲的，不然的话你要敲全路径。

还有特别重要的一步，修改authorized_keys文件为600权限！

chmod 600 authorized_keys

如果这一步没做将会导致ssh连接不成功，认证失败。

其实除了authorized_keys文件需要600权限以外，.ssh/目录也是需要700权限，

只不过在敲ssh-keygen -t rsa 三次回车默认创建的.ssh/目录就是700罢了。

authorized_keys:存放远程免密登录的公钥,主要通过这个文件记录多台机器的公钥
id_rsa : 生成的私钥文件
id_rsa.pub ： 生成的公钥文件
know_hosts : 已知的主机公钥清单
如果希望ssh公钥生效需满足至少下面两个条件：
　　　　    1) .ssh目录的权限必须是700
　　　　    2) .ssh/authorized_keys文件权限必须是600

再来是修改sshd_config配置文件，使ssh使用密钥认证生效

分别去除以下三行的#号注释

RSAAuthentication           yes
PubkeyAuthentication        yes
AuthorizedKeysFile          .ssh/authorized_keys

（RSA认证开启、公钥开启、公钥记录文件指定）

此外，如果只允许使用密钥ssh连接，那么可以将密码认证给设置为不开启-no:

PasswordAuthentication no

这样会更安全。

重启ssh服务

service sshd restart

本机连接普通用户测试

**ssh localhost **

堡垒机上设置好凭据，简单来说也就是将私钥id_rsa对应下载回本地客户机，

然后再打开文件，复制里面的内容到堡垒机网页相应设置上。

如果是在普通的linux客户端上用ssh命令连接是这样的：

ssh -i 私钥文件 用户@远程服务器IP -p ssh端口

而在堡垒机上只不过隐藏了这条命令，界面是这样的：



当然后面可以根据分明细组和用户来做到列表明细化。

这就不是重点了。

END