1.sshd简介
sshd=secure shell
可以通过网络在主机中开机shell的服务
客户端软件 sshd
连接方式:
sshd username@ip /文本模式的连接
ssh -X username@ip /可以在连接成功后开机图形
注意:
第一次连接陌生主机是要建立认证文件
所以会询问是否建立,需要输入yes
再次连接此台主机时,因此已经生成~/.ssh/know_hosts文件所以不需要再次输入yes
远程复制:
scp file root@ip:dir /上传
scp root@ip:file dir /下载
2.sshd的key认证
首先设置客户端(Desktop)和服务端(Server)的环境配置
nm-connection-editor
172.25.254.120(Desktop)
172.25.254.220(Server)
ifconfig eth0
Desktop:
hostnamectl set-hostname fische_client
Server:
hostnamectl set-hostname fische_server
设置私钥给客户端使访问时可以免密访问的操作:
client:
rm -fr /root/.ssh /删除.ssh文件,保证环境纯净
server:
rm -fr /root/.ssh /删除.ssh文件,保证环境纯净
ssh-keygen -f /root/.ssh/id_rsa -P "" /设置id_rsa文件
ls /root/.ssh/ /查看.ssh下的文件
ssh-copy-id -i /root/.ssh/id_rsa.pub root@172.25.254.220 /设置id_rsa.pub文件
ls /root/.ssh/
scp /root/.ssh/id_rsa root@172.25.254.120:/root/.ssh /分发钥匙,将id_rsa私钥拷给客户端
client:
ssh root@172.25.254.220 /测试,此时客户端可以免密访问服务端
用户丢失私钥后也无法使用密码访问服务的操作:
client:
rm -fr /root/.ssh/id_rsa /客户端丢失秘钥
cd /切换到~
cd .ssh /切换进入.ssh
ls /查看id_rsa文件是否被删除
ssh root@172.25.254.220 /访问服务端,已经无法免密访问,此时需要输入正确密码可以进行访问
server:
vim /etc/ssh/sshd_config :set nu /78 yes->no /编辑sshd_config文件第78行,把yes改为no
systemctl restart sshd /重启配置环境,使修改有效
client:
ssh root@172.25.254.20 /测试,访问服务端,此时访问被拒绝
3.sshd的安全设定
78 PasswordAuthentication yes|no /是否允许用户通过登录系统的密码做sshd的认证
48 PermitRootLogin yes|no /是否允许root用户通过sshd服务的认证
52 AllowUsers student /设定用户白名单,白名单出现默认不在名单中的用户不能使用sshd
53 DenyUsers westos /设定用户黑名单,黑名单出现默认不在名单中的用户可以使用sshd
4.添加sshd登录时的登录信息
vim /etc/motd /文件内容就是登录后显示的信息
测试:
client:ssh root@172.25.254.220
5.用户的登录审计
w /查看正在使用当前系统的用户
w -f /查看使用来源
w -i /显示IP
/var/run/utmp
2.
last /查看使用过并退出的用户信息
/var/log/wtmp
3.
lastb /试图登录但没有成功的用户
/var/log/btmp