前言
开发职员在工作中经常需要长途访问服务器和数据中心,然而,传统的基于暗码的SSH长途登录方式,尽管操作简便,却面对着暗码泄露、暴力破解等多重安全隐患,严峻威胁着企业的信息安全。
为了应对这些挑战,接纳私钥进行身份验证的SSH登录方式应运而生。Linux SSH服务作为一种安全、机动的网络协议,通过加密技术保障用户长途登录的安全。与暗码登录相比,私钥认证方式使用加密算法生成的密钥对进行身份验证,仅持有私钥的用户才能成功登录,从而极大降低了暗码泄露的风险。
但是,当SSH服务部署在内网情况中时,怎样突破内网限制,实现长途访问成为了一个亟待解决的问题。此时,cpolar内网穿透工具凭借其高效、易用的特性,成为了毗连内网与外网的桥梁。cpolar能够将内网服务器的端口映射到公网上,使得我们可以通过公网地址轻松访问内网服务。
本文将详细介绍怎样将Linux SSH服务与cpolar相结合,使用私钥进行长途登录的设置流程。从cpolar的安装与设置,到SSH私钥的生成与设置,再到最终的长途毗连测试,我们将为您提供全方位的指导。通过本文的学习,您将能够掌握一种更为安全、稳定的长途毗连方式,为您的企业信息安全保驾护航。
1. Linux 生成SSH秘钥对
当地ssh毗连上Linux ,实验ssh-keygen -t rsa 下令生成秘钥对,实验下令后,一路回车即可,实验完成后,我们可以看到生成的秘钥的文件都放在/root/.ssh/这个文件夹下面(具体以自己的路径为准)
生成后,我们实验:cd ~/.ssh 下令进入这个文件夹,然后列出目录,可以看到有两个文件,第一个是私钥 第二个.pub结尾是公钥
然后我们把公钥.pub结尾的那个文件改个名称,实验下面下令,把id_rsa.pub改为authorized_keys
- mv id_rsa.pub authorized_keys
2. 修改SSH服务设置文件
上面秘钥对生成设置好后,我们打开ssh 设置文件,输入下令:vim /etc/ssh/sshd_config,按i 键进入编辑,然后开启公钥验证,把暗码验证改为no,表示关闭,然跋文得生存
然后重启一下ssh服务,下面我们开始在windows设置毗连
3. 客户端秘钥文件设置
本例是使用windows来毗连Linux,我们需要在windows设置一下Linux的私钥,首先回到Linux,在Linux中我们输入下面下令检察id_rsa私钥内容
实验下令后,我们可以看到这个id_rsa私钥文件的全部内容,把这些内容全部复制下来
然后我们在windows任意文件夹下,这个文件夹路径自己要知道,比如我这边是放在E:/ssh/文件夹下面,具体以自己设置为准,然后创建一个名称为id_rsa的文件.不用指定后缀
创建好后,我们用记事本或者文本工具打开,把我们在Linux上看到的那个秘钥文件的内容全部粘贴进去,然后生存
接下来设置这个秘钥文件的权限,缩小权限的范围,选中右键点击属性,打开安全,点击高级
首先点击禁用继承
然后点击选择第一个选项
然后我们把这些全部的权限一个个删除掉,全部删掉
全部删除后我们点击添加一个用户权限
然后点击选择主体,输入自己电脑用户名,再点击确定按钮
然后会默认勾选两个权限,直接点击确定即可
然后我们可以看到添加了一个用户权限,直接点击应用再点击确定即可
再点击确定就全部设置完成了,下面我们就可以当地测试毗连了
4. 当地SSH私钥毗连测试
首先我们当地输入ssh 用户名@局域网IP 测试,可以看到 暗码的方式已经无法毗连了
现在我们加上指定秘钥文件路径再次毗连,下令格式ssh 用户名@局域网IP -i 秘钥文件全路径,可以看到成功毗连上了Linux.此中 -i E/ssh/id_rsa 这个参数就是指定我们上面在windows创建立置的秘钥文件全路径.当地测试就成功了,这样Linux ssh毗连就设置只能秘钥登录,无法使用暗码登录,极大的提高了安全性,下面我们在Linux安装cpolar,实现长途也可以毗连访问
5. Linux安装Cpolar工具
上面在当地成功设置了无暗码使用私钥方式ssh 毗连,并当地局域网测试成功,下面我们在Linux安装Cpolar内网穿透工具,通过Cpolar 转发当地端口创建公网地址,我们可以很容易实现长途访问,而无需自己注册域名购买云服务器.下面是安装cpolar步骤
cpolar官网地址: https://www.cpolar.com
- sudo curl https://get.cpolar.sh | sh
- 安装完成后,可以通过如下方式来操作cpolar服务,首先实验参加系统服务设置开机启动,然后再启动服务
- # 加入系统服务设置开机启动
- sudo systemctl enable cpolar
- # 启动cpolar服务
- sudo systemctl start cpolar
- # 重启cpolar服务
- sudo systemctl restart cpolar
- # 查看cpolar服务状态
- sudo systemctl status cpolar
- # 停止cpolar服务
- sudo systemctl stop cpolar
6. 设置SSHTCP公网地址
登录cpolar web UI管理界面后,点击左侧仪表盘的隧道管理——创建隧道:
- 隧道名称:可自定义,注意不要与已有的隧道名称重复
- 协议:tcp
- 当地地址:22 (ssh 默认端口)
- 域名范例:临时随机TCP端口 (首次使用 选择随机地址测试)
- 地区:选择China vip
点击创建 (注意点击一次即可!)
然后打开左侧在线隧道列表,检察刚刚创建隧道后生成的长途 TCP毗连地址,这个地址就是长途毗连的地址,在其他装备上使用该地址进行长途毗连,下面进行长途地址毗连测试
7. 长途SSH私钥毗连测试
创建好公网地址后,我们打开cmd窗口 ,使用公网地址进行毗连,输入下令格式:ssh 用户名@cpolar公网域名 -p 域名对应的端口 点击回车,我们可以看到,同样暗码的方式已经无法毗连了
下面我们指定一下私钥文件全路径,可以看到成功毗连上了Linux,不需要输入暗码,同时也是公网毗连,假如其他电脑要毗连Linux,我们只要把这个私钥文件拷贝去其他电脑,在毗连的时间指定这个私钥文件全路径,就可以在其他电脑进行长途毗连Linux了,到这里初步设置就全部完成了!
小结
为了更好地演示,我们在前述过程中使用了Cpolar生成的隧道,其公网地址是随机生成的。
这种随机地址的优势在于建立速度快,可以立刻使用。然而,它的缺点是网址是随机生成,这个地址在24小时内会发生随机变革,更适合于临时使用。
我一般会使用固定TCP域名,原因是我希望将地址发送给同事或客户时,它是一个固定、易记的公网地址,这样更显正式,便于交换协作。
8. 固定SSH公网地址
上面步骤在cpolar中使用的是随机临时tcp端口地址,所生成的公网地址为随机临时地址,该公网地址24小时内会随机变革。我们接下来为其设置固定的TCP端口地址,该地址不会变革,设置后将无需每天重复修改地址。
设置固定tcp端口地址需要将Cpolar升级到专业版套餐或以上。
登录Cpolar官网,点击左侧的预留,找到生存的tcp地址,我们来为长途联机地址生存一个固定的地址:
- 地区:选择China vip
- 描述:即备注,可自定义
点击生存
地址生存成功后,系统会生成相应的固定公网地址,将其复制下来
再次打开cpolar web ui管理界面,点击左侧仪表盘的隧道管理——隧道列表,找到我们上面创建的TCP隧道,点击右侧的编辑
修改隧道信息,将生存成功的固定tcp地址设置到隧道中
- 端口范例:修改为固定tcp端口
- 预留的TCP地址:填写官网生存成功的地址,
点击更新(只需要点击一次更新即可,不要重复点击)
隧道更新成功后,点击左侧仪表盘的状态——在线隧道列表,可以看到公网地址已经更新成为了和我们在官网固定的TCP地址和端口同等。这样表示地址已经成功固定了,下面测试固定地址毗连
9. 固定SSH地址测试
固定地址设置好后,我们再次使用固定的tcp地址进行毗连,同样也需要指定私钥文件全路径,可以看到,成功毗连上了Linux ,固定地址测试毗连就完成了,不用再担心地址端口会变革了.
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
