密钥对生成规范
生成SSH密钥对应使用RSA 4096位或更高级别的加密算法,避免使用默认的2048位密钥长度。建议在本地终端执行命令时:
ssh-keygen -t rsa -b 4096 -C "your_comment"生成后应立即验证密钥文件权限,确保私钥(id_rsa)的权限为600,公钥(id_rsa.pub)为644。
私钥安全存储
私钥管理需遵循以下原则:
- 禁止通过明文传输私钥文件
- 使用加密存储介质保存私钥
- 为私钥文件设置强密码短语
阿里云等平台提供的密钥托管服务可避免私钥本地存储风险,但需定期审计密钥使用记录。
服务器配置要点
- 将公钥准确写入
~/.ssh/authorized_keys文件 - 修改SSH配置文件
/etc/ssh/sshd_config:- 禁用密码认证:
PasswordAuthentication no - 限制root登录:
PermitRootLogin no
- 禁用密码认证:
- 配置防火墙规则限制SSH端口访问源IP
密钥轮换策略
建议每90天执行密钥轮换操作:
- 生成新密钥对并验证有效性
- 分阶段替换旧密钥(保留7天过渡期)
- 彻底删除失效密钥文件
完整的密钥安全管理应覆盖生成、存储、部署、更新全生命周期,结合云平台提供的密钥管理服务与操作系统级安全加固措施,可构建多层防御体系。定期进行密钥有效性验证和访问日志审计,是维持系统安全性的必要手段。
