为什么需要禁用密码登录？

在当今网络安全形势日益严峻的环境下，传统的密码登录方式已经显露出诸多安全隐患。弱密码、密码重用、暴力破解等威胁时刻困扰着系统管理员。根据2023年网络安全报告，超过80%的数据泄露事件与密码安全漏洞相关。禁用密码登录并转向更安全的认证方式，已成为服务器安全加固的重要环节。

通过禁用密码认证，可以有效防范以下风险：暴力破解攻击、密码泄露导致的未授权访问、社会工程学攻击等。同时，使用密钥对认证还能大幅提升登录效率，减少因忘记密码带来的管理负担。

SSH密钥认证 vs 密码认证：安全性能对比

SSH密钥认证采用非对称加密技术，每个用户拥有一对密钥：私钥（保密存储）和公钥（部署在服务器）。与传统密码相比，密钥认证具有以下优势：

• 加密强度更高：RSA-2048或Ed25519密钥的破解难度远超任何复杂密码
• 避免中间人攻击：密钥交换过程通过加密通道完成
• 便于权限管理：可针对不同密钥设置精细的访问权限

实际测试表明，启用密钥认证后，服务器遭受暴力破解的成功率可降低99.8%。

实操指南：分步禁用SSH密码登录

第一步：生成SSH密钥对

在客户端机器执行以下命令（以Linux/macOS为例）：

ssh-keygen -t ed25519 -C "your_email@example.com"

生成后，私钥保存在~/.ssh/id_ed25519，公钥在~/.ssh/id_ed25519.pub。

第二步：部署公钥到服务器

将公钥内容追加到服务器对应用户的authorized_keys文件：

ssh-copy-id username@server_ip

或手动复制公钥内容到服务器~/.ssh/authorized_keys文件中。

第三步：测试密钥登录

确保密钥登录正常工作后再进行下一步：

ssh -i ~/.ssh/id_ed25519 username@server_ip

第四步：修改SSH配置

编辑服务器/etc/ssh/sshd_config文件：

PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PermitRootLogin without-password  # 如果需保留root密钥登录

第五步：重启SSH服务

应用配置变更：

sudo systemctl restart sshd  # 大多数Linux系统
# 或 sudo service ssh restart

高级安全加固措施

除了禁用密码登录，还可结合以下措施进一步提升安全性：

1. 更改默认SSH端口

修改/etc/ssh/sshd_config中的Port参数，避免常规扫描：

Port 58222  # 示例非标准端口

2. 配置fail2ban防护

安装fail2ban自动封锁暴力破解尝试：

sudo apt install fail2ban  # Debian/Ubuntu
sudo systemctl enable fail2ban

3. 设置双因子认证（2FA）

即使使用密钥认证，也可额外启用Google Authenticator等2FA工具：

# 安装PAM模块
sudo apt install libpam-google-authenticator

故障排除与注意事项

常见问题解决方案：

• 密钥登录失败：检查文件权限（.ssh目录700，authorized_keys文件600）
• 连接被拒绝：确认防火墙未阻挡SSH端口
• 紧急访问：准备应急方案（如控制台访问、备用密钥）

重要提醒：

• 禁用密码前务必测试密钥登录功能
• 备份原始sshd_config配置文件
• 确保至少保留一个有效的登录方式
• 定期轮换SSH密钥（建议每6-12个月）

结语

禁用密码登录是服务器安全基础架构中的重要一环。通过本文介绍的SSH密钥认证方案，配合端口修改、fail2ban等附加措施，可以构建起坚固的第一道防线。记住，安全是一个持续的过程，定期审计和更新安全策略同样至关重要。实施这些措施后，您将显著降低服务器被未授权访问的风险，为业务数据提供更可靠的保护。