圖 5：基于密鑰的 SSH 連接沒有密碼挑戰

SSH 連接在后臺傳遞公鑰，證明您的身份。

明顯的好處是易于連接。不再被要求輸入密碼很方便。然而，在自動化的背景下，基于密鑰的身份驗證使管理員不必輸入或嘗試保護文件中的密碼。自動化工具可以在管理員不在場的情況下使用 SSH 連接并完成它們的任務。很難夸大此功能在當今自動化世界中的重要性。

強制執行基于密鑰的身份驗證

SSH 的基于密鑰的身份驗證肯定會改善您組織的安全狀況。要實施此方法，請更新遠程服務器上的/etc/ssh/sshd_config文件以要求基于密鑰的身份驗證并拒絕基于密碼的連接嘗試。

打開遠程服務器上的/etc/ssh/sshd_config文件進行編輯。找到讀取PubKeyAuthentication的節并將其編輯為yes。找到PasswordAuthentication的節并將其設置為no。

密碼認證號

PubKeyAuthentication 是

當您這樣做時，請考慮其他 SSH 安全最佳實踐，例如將用戶列入白名單和拒絕 root 帳戶的遠程連接。以下條目可能有助于更好地保護您的 SSH 連接。在生產環境中實施它們之前，請務必了解并測試它們。一個錯誤可能會停止與服務器的遠程連接。

PermitEmptyPasswords 否

PermitRoot登錄號

允許用戶 admin1

保持練習

基于 SSH 密鑰的身份驗證對于當今的遠程管理和自動化任務至關重要。花幾分鐘清點您經常通過 SSH 連接的 Linux 服務器和網絡設備，然后創建一個密鑰對。將公鑰復制到這些系統。我還鼓勵您將這些目標設備配置為需要 SSH 密鑰進行身份驗證并拒絕基于密碼的嘗試。

如果您正在準備 CompTIA Linux+、CompTIA Security+ 或CompTIA Cyber??security Analyst (CySA+)等認證考試，請確保您可以識別與基于密鑰的身份驗證相關的組件和命令。在您的家庭實驗室環境中完成這些步驟，直到它們成為第二天性。