SSH毗连更安全!Linux私钥+内网穿透的终极配置方案
[*]
媒介
在这个数字化的江湖里,企业对技能的需求就像武侠小说中的秘笈一样层出不穷。特殊是疫情期间,长途办公成了大势所趋。然而,在享受云上办公的快感时,一个让人心塞的问题也随之而来:传统的密码登录方式简直弱爆了!不但容易被黑客攻破,还可能因为员工的一不警惕而泄露,给企业的信息安全带来巨大风险。
那么,如何在保证高效工作的同时确保数据安全呢?答案其实简单到令人发笑——用私钥进行身份验证,并搭配一款超级强大的内网穿透工具。今天,咱们就来聊聊如何通过 Cpolar ,让你的长途服务器管理变得既安全又酷炫!
https://i-blog.csdnimg.cn/direct/f8d0c688a44847b491b659ebed5e32f8.jpeg
1. Linux 生成SSH秘钥对
本地ssh毗连上Linux ,执行ssh-keygen -t rsa 命令生成秘钥对,执行命令后,一路回车即可,执行完成后,我们可以看到生成的秘钥的文件都放在/root/.ssh/这个文件夹下面(具体以自己的路径为准)
https://img-blog.csdnimg.cn/img_convert/f891cd1cb23ea156252e8cca16baee5c.png
生成后,我们执行:cd ~/.ssh 命令进入这个文件夹,然后列出目录,可以看到有两个文件,第一个是私钥 第二个.pub末端是公钥
https://img-blog.csdnimg.cn/img_convert/28cbb14a1392663f197338e3151b7248.png
然后我们把公钥.pub末端的谁人文件改个名称,执行下面命令,把id_rsa.pub改为authorized_keys
mv id_rsa.pub authorized_keys
修改后,我们再次检察列表,id_rsa.pub文件酿成了authorized_keys,这样就修改乐成了,接下来我们修改一下ssh配置文件
https://img-blog.csdnimg.cn/img_convert/4cdcefbb1608c5adfa77c7e7b795c6af.png
2. 修改SSH服务配置文件
上面秘钥对生成设置好后,我们打开ssh 配置文件,输入命令:vim /etc/ssh/sshd_config,按i 键进入编辑,然后开启公钥验证,把密码验证改为no,表示关闭,然后记得保存
https://img-blog.csdnimg.cn/img_convert/a6ef9b6ae0a8dff4fb631a04bc6f5f78.png
然后重启一下ssh服务,下面我们开始在windows设置毗连
systemctl restart sshd
3. 客户端秘钥文件设置
本例是利用windows来毗连Linux,我们需要在windows设置一下Linux的私钥,起首回到Linux,在Linux中我们输入下面命令检察id_rsa私钥内容
cat ~/.ssh/id_rsa
执行命令后,我们可以看到这个id_rsa私钥文件的全部内容,把这些内容全部复制下来
https://img-blog.csdnimg.cn/img_convert/b7774d519016bdb004532d74bb779f9f.png
然后我们在windows恣意文件夹下,这个文件夹路径自己要知道,比如我这边是放在E:/ssh/文件夹下面,具体以自己设置为准,然后创建一个名称为id_rsa的文件.不用指定后缀
https://img-blog.csdnimg.cn/img_convert/f34c30910dbbd7922720a9d0c7917641.png
创建好后,我们用记事本或者文本工具打开,把我们在Linux上看到的谁人秘钥文件的内容全部粘贴进去,然后保存
https://img-blog.csdnimg.cn/img_convert/90bb8e480b4ac04e2988ed1b4b6e4809.png
接下来设置这个秘钥文件的权限,缩小权限的范围,选中右键点击属性,打开安全,点击高级
https://img-blog.csdnimg.cn/img_convert/937f7f69a625a9a5dd8358a1bbed0ebf.png
起首点击禁用继承
https://img-blog.csdnimg.cn/img_convert/6b8a74835cb48809e259c8773ce504dc.png
然后点击选择第一个选项
https://img-blog.csdnimg.cn/img_convert/ed9567dbd0c4edfbbae6b8f9bf36e5af.png
然后我们把这些全部的权限一个个删除掉,全部删掉
https://img-blog.csdnimg.cn/img_convert/12170d2fd5a963983cc96b721f85d5ce.png
全部删除后我们点击添加一个用户权限
https://img-blog.csdnimg.cn/img_convert/bb78d091ca2c455fdd3d802a7ffac823.png
然后点击选择主体,输入自己电脑用户名,再点击确定按钮
https://img-blog.csdnimg.cn/img_convert/5d0238cd9e4dfab2815fe49f41e9366b.png
然后会默认勾选两个权限,直接点击确定即可
https://img-blog.csdnimg.cn/img_convert/10f2e53494efaf9424428a8a8cb831c9.png
然后我们可以看到添加了一个用户权限,直接点击应用再点击确定即可
https://img-blog.csdnimg.cn/img_convert/a2d83e6ea69e23a2babd63413d54c3a8.png
再点击确定就全部设置完成了,下面我们就可以本地测试毗连了
https://img-blog.csdnimg.cn/img_convert/831f7a44a9927787ff4391916aedab4b.png
4. 本地SSH私钥毗连测试
起首我们本地输入ssh 用户名@局域网IP 测试,可以看到 密码的方式已经无法毗连了
https://img-blog.csdnimg.cn/img_convert/dfc2acb83812b93126ff90bd8443f07f.png
现在我们加上指定秘钥文件路径再次毗连,命令格式ssh 用户名@局域网IP -i 秘钥文件全路径,可以看到乐成毗连上了Linux.此中 -i E/ssh/id_rsa 这个参数就是指定我们上面在windows创建设置的秘钥文件全路径.本地测试就乐成了,这样Linux ssh毗连就设置只能秘钥登录,无法利用密码登录,极大的进步了安全性,下面我们在Linux安装cpolar,实现长途也可以毗连访问
https://img-blog.csdnimg.cn/img_convert/6567be43111780494ea51cf9d4b30bbc.png
5. Linux安装Cpolar工具
上面在本地乐成设置了无密码利用私钥方式ssh 毗连,并本地局域网测试乐成,下面我们在Linux安装Cpolar内网穿透工具,通过Cpolar 转发本地端口创建公网地址,我们可以很容易实现长途访问,而无需自己注册域名购买云服务器.下面是安装cpolar步骤
cpolar官网地址: https://www.cpolar.com
[*]利用一键脚本安装命令
sudo curl https://get.cpolar.sh | sh
[*]安装完成后,可以通过如下方式来操作cpolar服务,起首执行参加体系服务设置开机启动,然后再启动服务
# 加入系统服务设置开机启动
sudo systemctl enable cpolar
# 启动cpolar服务
sudo systemctl start cpolar
# 重启cpolar服务
sudo systemctl restart cpolar
# 查看cpolar服务状态
sudo systemctl status cpolar
# 停止cpolar服务
sudo systemctl stop cpolar
Cpolar安装和乐成启动服务后,内部或外部浏览器上通过局域网IP加9200端口即:【http://192.168.xxx.xxx:9200】访问Cpolar管理界面,利用Cpolar官网注册的账号登录,登录后即可看到cpolar web 配置界面,接下来在web 界面配置即可
https://img-blog.csdnimg.cn/img_convert/e20672acb9d0791c1870cd570a84d3f1.png
6. 配置SSHTCP公网地址
登录cpolar web UI管理界面后,点击左侧仪表盘的隧道管理——创建隧道:
[*]隧道名称:可自定义,留意不要与已有的隧道名称重复
[*]协议:tcp
[*]本地地址:22 (ssh 默认端口)
[*]域名类型:暂时随机TCP端口 (初次利用 选择随机地址测试)
[*]地域:选择China vip
点击创建 (留意点击一次即可!)
https://img-blog.csdnimg.cn/img_convert/eb6c795c95871e3fe8970241e91568b4.png
然后打开左侧在线隧道列表,检察刚刚创建隧道后生成的长途 TCP毗连地址,这个地址就是长途毗连的地址,在其他装备上利用该地址进行长途毗连,下面进行长途地址毗连测试
https://img-blog.csdnimg.cn/img_convert/e98fcb86f0d730a55c05ee84e2318f9d.png
7. 长途SSH私钥毗连测试
创建好公网地址后,我们打开cmd窗口 ,利用公网地址进行毗连,输入命令格式:ssh 用户名@cpolar公网域名 -p 域名对应的端口 点击回车,我们可以看到,同样密码的方式已经无法毗连了
https://img-blog.csdnimg.cn/img_convert/20302a805680c4569d9b90bc40341213.png
下面我们指定一下私钥文件全路径,可以看到乐成毗连上了Linux,不需要输入密码,同时也是公网毗连,如果其他电脑要毗连Linux,我们只要把这个私钥文件拷贝去其他电脑,在毗连的时候指定这个私钥文件全路径,就可以在其他电脑进行长途毗连Linux了,到这里开端设置就全部完成了!
https://img-blog.csdnimg.cn/img_convert/aa75741041520dbdce2bbfae9d4cd436.png
小结
为了更好地演示,我们在前述过程中利用了Cpolar生成的隧道,其公网地址是随机生成的。这种随机地址的优势在于建立速率快,可以立刻利用。然而,它的缺点是网址是随机生成,这个地址在24小时内会发生随机变化,更适合于暂时利用。
我一般会利用固定TCP域名,缘故原由是我希望将地址发送给同事或客户时,它是一个固定、易记的公网地址,这样更显正式,便于交流协作。
8. 固定SSH公网地址
上面步骤在cpolar中利用的是随机暂时tcp端口地址,所生成的公网地址为随机暂时地址,该公网地址24小时内会随机变化。我们接下来为其配置固定的TCP端口地址,该地址不会变化,设置后将无需每天重复修改地址。
登录Cpolar官网,点击左侧的预留,找到保留的tcp地址,我们来为长途联机地址保留一个固定的地址:
[*]地域:选择China vip
[*]形貌:即备注,可自定义
点击保留
https://img-blog.csdnimg.cn/img_convert/9adc2942f72c0b1d0c78b678d8cefb8c.png
地址保留乐成后,体系会生成相应的固定公网地址,将其复制下来
https://img-blog.csdnimg.cn/img_convert/f8c2836d4b91b4859d93beff46656110.png
再次打开cpolar web ui管理界面,点击左侧仪表盘的隧道管理——隧道列表,找到我们上面创建的TCP隧道,点击右侧的编辑
https://img-blog.csdnimg.cn/img_convert/720ad91aaffaf1df110a68da45512c59.png
修改隧道信息,将保留乐成的固定tcp地址配置到隧道中
[*]端口类型:修改为固定tcp端口
[*]预留的TCP地址:填写官网保留乐成的地址,
点击更新(只需要点击一次更新即可,不要重复点击)
https://img-blog.csdnimg.cn/img_convert/0d906b1650d38c061e955e8bf051050b.png
隧道更新乐成后,点击左侧仪表盘的状态——在线隧道列表,可以看到公网地址已经更新成为了和我们在官网固定的TCP地址和端口同等。这样表示地址已经乐成固定了,下面测试固定地址毗连
https://img-blog.csdnimg.cn/img_convert/23aa8fe5e4c1faf8dd3183ad17b4e51b.png
9. 固定SSH地址测试
固定地址设置好后,我们再次利用固定的tcp地址进行毗连,同样也需要指定私钥文件全路径,可以看到,乐成毗连上了Linux ,固定地址测试毗连就完成了,不用再担心地址端口会变化了.
https://img-blog.csdnimg.cn/img_convert/c5aacab4b294dc8f76b23aeadd608313.png
用私钥认证加上Cpolar这样的神器,不但能让你的信息体系安全性飙升,还能让长途办公变得轻松愉快。希望这篇文章能帮你在数字化转型的道路上走得更加稳健。如果你对这些技能有任何疑问或需要更多秘笈,请在评论区留言,我们保证第一时间为你答疑解惑!别忘了点赞、关注和分享哦,让我们一起成为长途工作的江湖高手!
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]