标签： SSH

SSH 服务器可以使用多种不同的方法对客户端进行身份验证。其中最基本的是密码认证，它易于使用，但不是最安全的。

现代处理能力与自动化脚本相结合，使得暴力破解受密码保护的帐户成为可能，因为密码通常并不复杂。SSH 密钥被证明是一种可靠且安全的替代方案。

　　什么是 SSH 密钥?

SSH 密钥对是两个加密安全的密钥，可用于向 SSH 服务器验证客户端。每个密钥对由一个公钥和一个私钥组成。

私钥由客户端保留在他的本地机器中，应该绝对保密。私钥的任何泄露都将允许攻击者登录到配置了相关公钥的服务器，而无需额外的身份验证。作为额外的预防措施，可以使用密码在磁盘上加密密钥。

公钥上传到您希望能够使用 SSH 登录的远程服务器上。当客户端尝试使用 SSH 密钥进行身份验证时，服务器可以测试客户端是否拥有私钥。如果客户端可以证明它拥有私钥，则会生成一个 shell 会话或执行请求的命令。

　　启用/禁用基于密码的身份验证

本文将为您提供在通过 SSH 加密密钥登录到您的服务器时启用/禁用基于密码的身份验证的步骤。针对 SSH 的密码身份验证还不错，但创建一个又长又复杂的密码也可能会鼓励您以不安全的方式存储它。使用加密密钥来验证 SSH 连接是一种更安全的替代方法。

　　启用密码认证

在启用基于密码的身份验证之前，请确保您已经拥有密码。如果要在启用基于密码的身份验证之前更改它，请以 root 用户身份登录，然后在终端中运行以下命令

passwd

系统将提示您输入新密码。输入您的新密码并完成设置过程。

以 root 用户身份登录服务器后，在编辑模式下打开 sshd_config 文件。您可以通过在终端中运行以下命令来执行此操作。我们将在本文中使用 vim 编辑器。按 I 编辑文件

vim /etc/ssh/sshd_config

查找PasswordAuthentication no行并将 no 替换为 yes。

PasswordAuthentication yes

按ESC键并将更改保存到文件中，然后键入：** wq!** 退出编辑器，然后按 Enter。

现在通过运行以下命令重新启动服务器。

service sshd restart

现在为 SSH 访问您的服务器启用了密码身份验证。

　　禁用密码验证

此步骤将向您解释在通过 SSH 登录到您的服务器时禁用基于密码的身份验证的步骤。在禁用基于密码的身份验证之前，请确保您已将公钥复制到服务器中，并且您的私钥与公钥匹配。如果您丢失了私钥并禁用了密码验证，那么您的服务器将无法访问。推荐阅读：《为什么我的 SSH 连接被拒绝》

从您的服务器以编辑模式打开 sshd_config 文件。您可以通过在终端中运行以下命令来执行此操作。我们将在本文中使用 vim 编辑器。按 I 编辑文件

vim /etc/ssh/sshd_config

查找PasswordAuthentication yes行并将 yes 替换为 no。

PasswordAuthentication no

按ESC键并将更改保存到文件中，然后键入：wq! 然后按 Enter。

现在通过运行以下命令重新启动服务器。

service sshd restart

现在从 SSH 访问您的服务器中删除了密码身份验证。

以上就是SSH 密钥是什么，如何启用和禁用的全部内容。推荐相关阅读：《SSH访问如何在共享主机计划上工作?》

当您尝试通过 SSH 连接到您的服务器时，可能会发生许多情况，这可能会导致错误读取“连接被拒绝”。

以下是一些可能会给您带来问题的最常见问题。

　　1. 您的 SSH 服务已关闭

为了使用 SSH 连接到您的服务器，它必须运行一个SSH守护进程——一个在后台运行以侦听和接受连接的程序。

如果此服务关闭，您将无法成功连接到您的服务器，并且可能会收到连接被拒绝的错误：

连接拒绝错误

终端中的连接拒绝错误

您的服务器的SSH守护程序可能由于各种原因而关闭，包括意外的流量高峰、资源中断，甚至分布式拒绝服务 (DDoS) 攻击。除了我们将在下面提到的故障排除步骤之外，您可能还需要联系您的托管服务提供商以确定问题的根本原因。推荐阅读：《SSH访问如何在共享主机计划上工作?》

如果您怀疑您的SSH服务可能已关闭，您可以运行以下命令来找出：

基于CentOS6的查看命令如下：

sudo service ssh status

如果命令行返回关闭状态，那么您可能已经找到了连接错误背后的原因。

　　2. 您的凭证有误

尽管这似乎太简单了，但您可能只是在尝试连接到服务器时输入了错误的凭据。运行 SSH 需要四项信息：

主机名–您尝试连接的服务器的IP 地址或您的域名。

用户名–您的 (S)FTP 用户名或是root。

密码–您的 (S)FTP 密码。

端口–默认端口为 22。

但是，一些托管服务提供商出于安全原因更改了他们的 SSH 端口号。

您还可以通过运行以下命令来检查哪个端口用于 SSH：

grep Port /etc/ssh/sshd_config

命令行应该返回正确的端口。

检查以确保您输入了正确的凭据， 并考虑到输入错误或输入错误 IP 地址或端口的可能性。

　　3. 您尝试使用的端口已关闭

“端口”只是您在连接到服务器时被定向到的端点。除了确保您拥有正确的端口外，您还需要检查您尝试使用的端口是否已打开。推荐阅读：《什么是服务器蛮力攻击? 您需要知道什么才能保持安全》

任何开放的端口都是一个安全漏洞，因为黑客可以尝试利用它并获得对服务器的访问权限。因此，通常会关闭未使用的端口以防止攻击。

如果端口22或服务器的自定义 SSH 端口已关闭，您可能会看到连接被拒绝的错误。您可以通过运行以下命令查看服务器上侦听的所有端口：

sudo lsof -i -n -P | grep LISTEN

此命令应返回具有 LISTEN 状态的端口列表。理想情况下，您希望看到此处列出的端口 22 或服务器的自定义SSH端口。如果不是，您需要重新打开端口才能连接到您的服务器。

　　4. 你的服务器上没有安装 SSH

正如我们之前简要提到的，服务器使用SSH守护进程来侦听和接受连接。因此，如果您尝试连接的服务器没有安装，您将无法使用SSH访问它。

一般来说，几乎所有的托管服务提供商都会默认在他们的服务器上安装 SSH 守护进程。这个特殊问题在本地主机或专用服务器上更为常见。

　　5. 防火墙设置阻止了 SSH 连接

由于开放端口存在安全风险，为保护服务器免受黑客攻击而安装的防火墙有时会阻止与它们的连接。不幸的是，这意味着即使是尝试通过 SSH 访问其服务器的无害用户也可能会由于防火墙设置而收到连接被拒绝的错误。

您需要查找这些元素以确定您的防火墙是否阻止了 SSH 连接：

dport 22：这是指目的端口，对于SSH通常是22端口。

REJECT：这表示来自指定目的地的连接被拒绝。

DROP：与 REJECT 一样，这意味着与相关端口的连接被阻止。

如果您在上述命令的结果中搜索 dport 22，您应该能够确定您的防火墙是否阻止了 SSH 连接。如果是这样，您必须更改规则才能接受请求。推荐相关阅读：《使用服务器后怎么确保网站安全》