sshd简介
sshd= secure shell
可以通过网络在主机中开机shell的服务
客户端软件 sshd
连接方式:
ssh username@ip 文本模式连接
ssh username@ip -X 图形模式连接
注:第一次连接陌生主机时需要建立认证文件,所以会询问是否建立,输入“yes”即可,再次连接此台主机时,因已生成~/.ssh/know_hosts文件所以不需要再次输入“yes”
远程复制:
scp file root@ip:dir 上传
scp root@ip:file dir 下载
下载目录用scp -r
例:上传文件file2到server主机的桌面
下载server主机的文件file1到当前主机
下载server主机的westos目录到当前主机
sshd的key认证
1.生成认证KEY
ssh-keygen 生成密钥的命令
上图中:
Enter file in which to save the key (/root/.ssh/id_rsa): 指定保存加密字符的文件(使用默认)
Enter passphrase (empty for no passphrase): 设定密码
Enter same passphrase again: 确认密码
/root/.ssh/id_rsa 私钥
/root/.ssh/id_rsa.pub 公钥(锁)
!
2.加密服务
ssh-copy-id -i /root/.ssh/id_rsa.pub root@172.25.254.103 加密sshd服务(ip地址为需要被加密的主机ip)
输入命令后需要确认是否加密,键入yes即可。(y或ye都不能识别)
在输入超级用户密码即可完成
ls查看/root/.ssh/
authorized_keys id_rsa id_rsa.pub known_hosts
^
此文件出现表示加密完成
3.分发钥匙
scp /root/.ssh/id_rsa root@172.25.254.203:/root/.ssh/
此ip地址为需要连接被加密主机的id
由接收私钥的主机连接加密主机 ssh root@172.25.254.103 -X
连接时会直接登陆不需要root登陆系统密码验证
sshd的安全设定(在sshd_config中 最前面有#默认为给人看,系统会忽略,没有#系统会读取)
vim /etc/ssh/sshd_config
78 PasswordAuthentication yes|no 是否允许用户通过登陆系统的密码做sshd的认证
48 PermitRootLogin yes|no 是否允许root用户通过sshd服务的认证
52 Allowusers student westos 设定用户白名单(用户student),白名单出现后,默认不再名单中的用户不能使用sshd
53 Denyusers westos 设定用户黑名单(用户student),黑名单出现默认不再名单中的用户可以使用sshd
更改sshd_config文件后需systemctl restart sshd重启服务使更改生效
例:1.设置白名单内student用户,然后用不在白名单的westos用户使用sshd服务
westos用户不再白名单内,所以无法登陆
2.注销刚刚设置的白名单,设置student用户在黑名单内,用不在黑名单的用户westos使用sshd服务
不在黑名单的用户westos成功连接,而在黑名单内的student连接失败
添加sshd登陆信息
vim /etc/motd 文件内容就是登陆后显示的信息
在motd内编辑需要的内容
使用sshd连接时成功登陆会显示
用户的登陆审计
w 查看正在使用当前系统的用户
w -f 查看使用源
w -i 显示ip
文件信息储存在/var/run/utmp中
last 查看使用过并退出的用户信息(文件信息储存在/var/log/wtmp中)
lastb 试图登陆但没有成功的用户(文件信息储存在/var/log/btmp中)