centos如何去除SSH key验证？详细步骤有哪些？

在Linux服务器管理中，CentOS作为广泛使用的操作系统，其安全性配置尤为重要，SSH（Secure Shell）的key验证机制是保障远程登录安全的核心手段，在某些特定场景下，如自动化脚本部署、临时测试环境或内部网络信任已建立的情况下，管理员可能需要临时或永久去除key验证，改用密码验证或其他认证方式，本文将详细介绍在CentOS系统中安全、规范地去除key验证的方法、注意事项及相关配置技巧,帮助管理员在保障安全的前提下灵活调整认证策略。

理解SSH key验证机制的重要性

SSH key验证基于非对称加密技术，通过公钥和私钥的配对实现身份认证，相较于密码验证，key验证具有更高的安全性，因为私钥存储在本地且可设置密码保护，不易受到暴力破解或中间人攻击的威胁，默认情况下，CentOS的SSH服务（sshd）会优先使用key验证，若未配置公钥，则可能拒绝登录或回退到密码验证，在去除key验证前，必须明确操作目的,并评估潜在的安全风险。

备份原始SSH配置文件

在进行任何修改前，建议先备份原始的SSH配置文件，以便在出现问题时快速恢复，CentOS的SSH主配置文件通常位于/etc/ssh/sshd_config，可通过以下命令备份：

sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

若服务器已配置SSH key，建议备份~/.ssh/authorized_keys文件,避免误操作导致无法通过key登录。

修改SSH配置以禁用key验证

要去除key验证，核心操作是修改sshd_config文件，调整PubkeyAuthentication和PasswordAuthentication参数的设置，具体步骤如下：

1. 编辑配置文件
   使用文本编辑器（如vi或nano）打开/etc/ssh/sshd_config：

   sudo vi /etc/ssh/sshd_config

2. 调整认证参数

   • 找到PubkeyAuthentication yes行，将其修改为no，禁用key验证：

     PubkeyAuthentication no

   • 确保密码验证已启用（默认情况下可能为yes）：

     PasswordAuthentication yes

   • 若需进一步限制仅允许密码验证，可注释或删除其他认证相关行（如ChallengeResponseAuthentication）。

3. 保存并退出
   在vi中按Esc键，输入wq保存退出。

   

重启SSH服务使配置生效

修改配置文件后，需重启SSH服务以应用更改，使用以下命令：

sudo systemctl restart sshd

若需确保服务开机自启，可运行：

sudo systemctl enable sshd

验证配置是否生效

重启服务后，可通过以下方式验证key验证是否已被禁用：

1. 尝试使用SSH key登录，若提示Permission denied (publickey,password).，则说明key验证已成功禁用。
2. 使用密码登录测试，确保密码验证功能正常。

安全注意事项与最佳实践

去除key验证会降低SSH连接的安全性，因此在操作时需遵循以下原则：

1. 限制网络访问
   仅在可信网络环境中禁用key验证，并通过防火墙（如firewalld或iptables）限制SSH端口（默认22）的访问IP，避免公网直接暴露。

2. 强化密码策略
   若启用密码验证，需确保使用强密码（包含大小写字母、数字及特殊符号），并定期更换密码，可安装fail2ban工具防止暴力破解。

3. 临时禁用与审计
   若非长期需求，建议通过脚本定时修改配置并在任务完成后恢复，同时记录操作日志以便审计。

   

4. 多因素认证（MFA）
   对于高安全性场景，可结合PAM模块实现多因素认证，即使禁用key验证，仍可通过动态口令或短信验证码增强安全性。

常见问题排查

若修改后仍无法通过密码登录，可检查以下问题：

1. SELinux状态：SELinux可能阻止SSH服务，尝试临时关闭测试：sudo setenforce 0，若正常则需调整SELinux策略。
2. 文件权限：确保~/.ssh/目录权限为700，authorized_keys文件权限为600，否则可能导致认证失败。
3. 配置语法错误：使用sshd -t命令检查配置文件语法是否正确。

相关问答FAQs

Q1：去除key验证后，如何防止暴力破解密码？
A：可通过以下措施增强安全性：

1. 使用fail2ban工具监控SSH登录失败日志，自动封禁恶意IP：安装后编辑/etc/fail2ban/jail.local，配置SSH监狱规则。
2. 修改SSH默认端口（如改为2222），减少自动化扫描攻击。
3. 禁用root远程登录，创建普通用户并配置sudo授权。

Q2：如何临时禁用key验证而不修改配置文件？
A：可通过以下方式实现临时禁用：

1. 备份并重命名/etc/ssh/sshd_config中的AuthorizedKeysFile参数指向的文件（如~/.ssh/authorized_keys），使SSH无法加载公钥。
2. 使用iptables规则临时阻止SSH连接，完成任务后恢复规则。
3. 在测试环境中，可通过ssh -o PreferredAuthentications=password user@host强制使用密码验证，无需修改服务端配置。

通过以上方法，管理员可根据实际需求灵活调整CentOS的SSH认证策略，同时兼顾安全性与操作便利性，建议在非必要情况下保留key验证,并定期审查服务器安全配置。