当前位置：首页 > news >正文

ssh设置:免密登入、修改默认端口、禁止root登入、限制错误登入次数

news 2026/2/10 13:33:16

服务器：

客户端：

在下面不再说明服务器和客户端。

1.修改ssh默认端口

是在服务器中设置。

该设置涉及三部分：sshd配置文件修改/增加新端口、Selinux添加新端口、Firewall开放新端口。

vim /etc/ssh/sshd.config，找到#Port行，默认Port策略是22号，取消注释就可以修改端口值，也可以保留22号端口，再添加一行写其他端口。添加的端口号建议在10000-65535之间，防止和系统端口冲突。例如，我们保留端口22号的同时添加32222端口。如果需要将22端口修改为32222，只需要将22端口注释即可。

当修改完之后需要重启服务：systemctl restart sshd
查看sshd的状态：发现错误信息，端口32222是没有许可的。

原因是：Selinux并不知道ssh的端口出现了改变，可以使用semanage工具对Selinux进行设置。
查询系统是否有该工具，如果没有安装则进行安装。

查看当前端口，可以使用ss（等于netstat），我们使用semanage port -l命令

那我们将ssh的新端口添加进去

此时还未生效，我们需要重启sshd服务使得新端口生效。

以修改之后的端口进行远程登入，如果没有指定用户名，则表示使用与当前本地用户相同的用户名登录远程服务器servera。

出现错误，no route to host，原因是：防火墙的对应端口32222没打开
防火墙端口查看和设置如下

上述，就完成了添加一个ssh端口登入的操作：

如果，我们仅仅想修改掉默认端口22为32222，那我们在/etc/ssh/sshd.config配置文件中删除22端口这一行即可。并且重启，可以看到sshd进程只运行在新端口上了。

现在只能新端口登入了，默认端口已经不能登入。

防火墙和Selinux去掉加入的端口：

2.禁止root登入和限制密码试错的最大次数

是在服务器中设置。

修改/etc/ssh/sshd.config文件中的以下位置
OpenSSH服务器使用/etc/ssh/sshd_config配置文件中的PermitRootLoain配置设置，以允许或禁止用户以root身份登录系统。当PermitRootLogin参数设为yes时，这也是默认设置，用户被允许以root身份登录系统。要防止这种情况，可将该值设为no。或者，若要禁止基干密码的身份验证，但允许对root执行基于私钥的身份验证，可将PermitRootLogin参数设为without-password。
OpenSSH服务器使用/etc/ssh/sshd_config配置文件中的PasswordAuthentication参数，用于控制用户在登录系统时能否使用基于密码的身份验证。Password Authentication参数的默认值是yes，这会使SSH服务器允许用户在登录系统时使用基于密码的身份验证。PasswordAuthentication的值为no时禁止用户使用基于密码的身份验证。
请记住，每当您更改/etc/ssh/sshd_config文件时，都必须重新加载sshd服务让更改生效，即systemctl reload sshd。
请记住，如果您为ssh关闭基于密码的身份验证，则需要有一种办法来确保用户在远程服务器上的
~/.ssh/authorized_keys文件中填充有公钥，以便可以登录。

3.免密登入

客户端ssh登入服务器的形式一般来说是交互式的，需要输入密码；这对于脚本执行很不友好。有时候脚本执行需要免密直接登入不同的服务器，那么免密设置就非常有必要了。

客户端root用户目录中的/root/.ssh文件夹，在无任何ssh远程登入服务器的时候是空的。使用ssh登入服务器，就会提示连接后会将服务器的指纹永久的加入known_hosts文件中。因此我们从该文件就可以看出，客户端曾连过多少台服务器。并且我们可以知道，这种方式登入，不管登入几次都是需要交互式的输入服务器账号对应的密码登入。

客户端中known_hosts文件的公钥信息来自于服务器中/etc/ssh/ssh_host_*.pub文件。例如上面公钥信息ecdsa加密方式，那么对应的就是服务器的ssh_host_ecdsa_key.pub文件，如下图

基于密钥的身份，甚至免密登入：

/etc/ssh/目录下面的密钥对，是系统自动生成提供给客户端登入的。/root/.ssh/目录下面的密钥对是用户自己手动生成的，目的是为了基于密钥的身份，甚至免密登入。

客户端执行密钥生成命令：ssh-keygen -t rsa，我们选择默认的存储位置，可以选择密钥的密码（也可以不设置直接回车），生成rsa加密方式的密钥对，默认保存在/root/.ssh/文件夹中，公钥文件以pub结尾。

首先查看服务器用户目录下面的.ssh文件夹，可以看到文件夹内没有authorized文件

我们在客户端中执行命令：ssh-copy-id root@servera
在可以使用基于密钥的身份验证之前，需要将公钥复制到服务器（目标系统）上。ssh-copy-id命令可将 SSH密钥对的公钥复制到目标系统。如果在运行ssh-copy-id时省略了公钥文件的路径，它会使用默认的/home/user/.ssh/id_rsa.pub文件。这里我们是省略了指定公钥文件的路径。

这个时候我们就可以基于密钥的身份登入服务器ssh servera，我们还是需要交互式的输入自己创建密钥对时设置的密码。注意，这里发生了本质区别，以前登入需要输入服务器端的用户密码，密码由服务器拥有者可以随意改动；现在登入需要输入的是客户端拥有者的密钥密码，由自己控制。
将公钥成功传输到远程系统后，我们可以使用对应的私钥对远程系统进行身份验证，同时通过SSH登录远程系统。如果在运行ssh命令时省略了私钥文件的路径，它会使用默认的/home/user/.ssh/id_rsa文件。这里我们省略了指定私钥文件的路径。

如果我们要达到真正的免密（免客户端自己的密钥密码）有两种方式：
方式一，创建密钥对的时候不设置密钥密码，这样在登入的时候也不会出现交互式的让我们输入密钥密码。但是有安全问题，在这种情况下，任何拥有您私钼文件的人都可以使用它进行服务器的身份验证，如果您设置了密码，则在使用私钥进行身份验证时需要输入此密语。
方式二，已经设置了密钥密码，通常必须输入密语才能使用私钥进行身份验证。但是，我们可以使用名为ssh-agent的程序临时将密语缓存到内存中。之后，当我们使用SSH通过私钥登录另一个系统时，ssh-agent会自动为我们提供密码。这样做不仅方便，而且能减少他人“肩窥”您密码输入的机会，从而提高安全性。

方式二具体操作
运行eval $(ssh-agent)命令，将启动ssh-agent并自动为该shell会话设置这些环境变量。此外，它还显示ssh-agent进程的PID。
一旦ssh-agent开始运行，我们需要告诉它私钥密语或密钥。运行ssh-add命令会添加分别来自/home/user/.ssh/id_rsa(默认)文件的私钥。。如果我们使用的是默认文件之外的私钥文件，必须将-i 选项用于ssh命令来指定私钥文件的路径。
当我们注销启动了ssh-agent的会话时，将退出进程，并且您的私钥密语也将从内存中清除。

ssh设置:免密登入、修改默认端口、禁止root登入、限制错误登入次数

1.修改ssh默认端口

2.禁止root登入和限制密码试错的最大次数

3.免密登入

相关文章：

ssh设置:免密登入、修改默认端口、禁止root登入、限制错误登入次数

【Fastdfs】| 入门连续剧——安装

【ESP32-S3】Pycharm 使用 microPython 教程（避坑）

Allegro如何通过报表的方式检查单板上是否有假器件操作指导

清理bib文件（删除重复项，仅保留tex中引用的条目）

Rust编程细节知识点拾遗

【Linux】线程池

运动版蓝牙耳机什么牌子的好、运动款蓝牙耳机推荐

MySQL中自带的数据库表相关介绍

【微信小程序】--注册小程序账号（一）

Java多线程 - 利用Callable或CompletableFuture实现多线程异步任务执行

【ts + webpack】贪吃蛇小游戏

传统巨头生“变”，中国毫米波雷达市场战火再升级

26岁曾月薪15K，现已失业3个月，我依然没有拿到offer......

华为OD机试 - 打印文件 | 机试题算法思路【2023】

【前端】浏览器的渲染流程（完整）

华为OD机试 - 有效子字符串 | 机试题算法思路【2023】

抽象类和接口

STM32DSP库汇总

C++类和对象----思想基础应用

从深圳崛起的“机器之眼”：赴港乐动机器人的万亿赛道赶考路

页面渲染流程与性能优化

DIY｜Mac 搭建 ESP-IDF 开发环境及编译小智 AI

12.找到字符串中所有字母异位词

在鸿蒙HarmonyOS 5中使用DevEco Studio实现录音机应用

Device Mapper 机制

微软PowerBI考试 PL300-在 Power BI 中清理、转换和加载数据

技术栈RabbitMq的介绍和使用

【笔记】WSL 中 Rust 安装与测试完整记录

莫兰迪高级灰总结计划简约商务通用PPT模版