🔑 OPNsense 开启 SSH 密钥鉴权
This content is not available in your language yet.
📢 施工前重要提示: 10.0.0.1 是我 OPNsense 的 LAN 地址。下面的所有示例命令均以此为准,请在实际施工时,根据你自己的网络环境将其修改为对应的 IP。
给 OPNsense 开放内网 SSH 端口是极客运维的刚需,但只用密码登录就像是给防盗门配了一把塑料钥匙。今天咱们来给它换上基于 Ed25519 算法的钛合金电子锁。
-
锻造钛合金钥匙 (本地终端操作)
如果你已经有密钥对(通常在
~/.ssh/id_rsa或id_ed25519)可以跳过此步。打开你用来操控全局的办公电脑(比如 Mac 或 Linux),在终端里执行以下命令,生成一把最现代化的 SSH 密钥:
Terminal window ssh-keygen -t ed25519 -C "admin@mac-mini"💡 包工头科普:关于
-C参数 >-C也就是 Comment(备注)的意思,它就像是这把钥匙上的“标签贴纸”。你可以随便写,比如填你的真实邮箱、当前设备的代号(如Mac-Mini),甚至写一句say-no-to-hackers都可以。它纯粹是为了以后你钥匙多的时候方便区分,完全不影响核心功能!一路回车即可。生成完毕后,使用以下命令查看并复制你的公钥(Public Key):
Terminal window cat ~/.ssh/id_ed25519.pub(复制终端里打印出来的那一长串以
ssh-ed25519开头的代码,这就是要交给网关的锁芯。) -
把锁芯装进 OPNsense (Web UI 操作)
通过浏览器登录 10.0.0.1 进入 OPNsense 的 Web 后台。在左侧菜单导航至:System (系统) -> Access (访问) -> Users (用户)。 找到你的管理员账号(通常是
root或admin),点击右侧的 ✏️ 编辑图标。 -
录入公钥白名单
在编辑页面一直往下滚,找到 Authorized keys (已授权的密钥) 文本框。 把你刚才复制的那一长串公钥直接粘贴进去。
滚到页面最底部,点击 【Save (保存)】。
-
开启 SSH 服务并关掉密码通道
在左侧菜单导航至:System (系统) -> Settings (设置) -> Administration (管理)。 向下找到 Secure Shell 区域,进行以下极其关键的勾选:
- ✅ Enable Secure Shell (启用 Secure Shell):打勾。
- ✅ Permit root user login (允许 root 用户登录):打勾。
- ✅ Permit password login (允许密码登录):取消打勾!(这是彻底焊死塑料钥匙孔的关键)。
确认无误后,点击底部的 【Save (保存)】。
-
竣工测试
回到你的本地电脑终端,敲下连接命令:
Terminal window ssh root@10.0.0.1如果没有弹出任何密码输入提示,瞬间就看到了 OPNsense 的字符画 Logo,恭喜你,电子锁安装成功!
至此,你的 OPNsense 底层通道已经实现了军工级的加密直连。以后就算有内网设备中了勒索病毒疯狂爆破你的网关,在没有私钥文件的情况下,它连门缝都进不来!