三、sshd服务配置和管理
1、OpenSSH配置文件:
常用配置文件有两个/etc/ssh/ssh_config和/etc/sshd_config
- ssh_config为客户端配置文件
- sshd_config为服务器端配置文件
2、服务启动关闭脚本:
#service sshd restart/stop/start/status
#systemctl restart/stop sshd
#systemctl list-unit-files |grep ssh [检查ssh是否开机自启]
3、sshd服务日志存放在:/var/log/secure
4、SSH配置调优
vim /etc/ssh/sshd_config
`Port 22` #设置sshd监听端口号
ListenAddress 0.0.0.0 #设置绑定IP,0.0.0.0 表示侦听所有地址
Protocol 2 #安全考虑,设置为最新的协议版本
#HostKey /etc/ssh/ssh\_host\_key #设置包含计算机私人密匙的文件
LoginGraceTime 2m #进行输入密码时的停留时间
`PermitRootLogin yes` #允许以root远程登录
PasswordAuthentication yes #验证方式为密码认证
PermitEmptyPasswords no #不允许空密码登录
# PrintMotd yes #登入后的提示信息
echo 'Warning ! From now on, all of your operation has been record!'> /etc/motd
# PrintLastLog yes # 显示上次登入的信息!预设也是 yes
`UseDNS no` #判断客户端来源是正常合法的,因此会使用 DNS 去反查客户端的主机名
四、SSH工作原理
直接看图吧!
第一次登录server时,由于本机未保存server的信息,因此会提示用户是否继续连接,输入yes后登录。同时将远程server写入用户主目录下的$HOME/.ssh/knows.hosts中。
五、免密登录
此次实验目标是:A(10.43.190.251) 能免密登录 B(10.43.190.252)
要在 Linux 中设置 SSH 免密登录,您只需生成公钥并将其附加到远程主机 ~/.ssh/authorized_keys 文件即可。.
以下步骤将介绍配置 SSH 免密登录的过程:
- 检查现有的 SSH 密钥对。
ls -al ~/.ssh/id_*.pub
如果存在现有密钥,您可使用这些密钥并跳过步骤2或者备份旧密钥并生成新密钥
- 生成新密钥对:
ssh-keygen
以下命令将生成一个新的 4096 位 SSH 密钥对,并将您的电子邮件地址作为注释:
ssh-keygen -t rsa -b 4096 -C "your_email@domain.com"
按 Enter 接受则默认文件位置和文件名:
Enter file in which to save the key (/home/yourusername/.ssh/id_rsa):
接下来,ssh-keygen 工具将要求您键入安全密码。无论您是否想要使用密码短语都取决于您,如果您选择使用密码短语,您将获得额外的安全保护。在大多数情况下,开发人员和系统管理员使用 SSH 而不使用密码,因为它们对完全自动化的流程很有用。如果您不想使用密码短语,请按 Enter
Enter passphrase (empty for no passphrase):
整个交互看起来像这样:
确认已经生成 SSH 密钥:
ls ~/.ssh/id_*
- ssh-copy-id把A的公钥发送给B
默认用法:
在A服务器上,ssh-copy-id root@10.43.190.252
如果由于某种原因, ssh-copy-id 无法正常使用,则可以使用以下命令复制公钥:(在A服务器上执行)
cat ~/.ssh/id_rsa.pub | ssh root@10.43.190.252 "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"
- 使用 SSH 密钥登录服务器
如果一切顺利,您将立即登录。
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
扫一扫
628
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
