一.sshd服务
1.sshd(secure shell daemon)
可以通过网络在主机中开启一个远程主机的shell环境的服务,通过寻址ip地址进行远程登录操作。
服务端:sshd
客户端:ssh
2.查看主机ip的方式 ifconfig
例如:以上两台主机中服务端ip为172.25.56.251,客户端ip为172.25.56.252。
3.远程登录的连接方式
ssh USERNAME@IP 文本模式连接远程主机
ssh -X USERNAME@IP 图形模式连接远程主机(可以在连接后打开图形)
注意:
1.在上图中,由于服务端是第一次连接客户端,需要输入yes来建立认证文件,再次连接时,由于已经生成了~/.ssh/know_hosts文件,所以不需要再输入yes。
2.若远程连接成功之后,要退出时可使用ctrl+d快捷键退出登录,或者输入命令logout即可。
4.远程复制文件或目录
scp FILENAME USERNAME@IP:dir 上传(dir为绝对路径)
scp USERNAME@IP:dir dir 下载 (远程复制目录时需要加-r参数)
二.sshd的key 认证
1.生成公钥和私钥 (生成锁与钥匙)
ssh-keygen
id_rsa为私钥,id_rsa.pub为公钥
2.加密服务(将公钥即锁 给自己)
ssh-copy-id -i /root/.ssh/id_rsa.pub root@172.25.56.251
若出现以下authorized_keys文件则表示加密成功:
3.分发密钥(发私钥给另一方)
scp /root/.ssh/id_rsa root@172.25.56.252: /root/.ssh(必须放在/root/.ssh目录中)
4.测试登录(在客户端测试)
连接时发现登录不需要输入root密码即可登录进客户端。
三.sshd的安全设定
vim /etc/ssh/sshd_config
1.是否允许用户通过登录系统的密码进行sshd的认证
2.是否允许root用户通过sshd服务登录系统
3.设定用户白名单,白名单中出现的用户可以通过sshd服务登录系统:
手动在以上配置文件里添加Allowusers USERNAME
4.设定用户黑名单,黑名单中出现的用户不能通过sshd服务登录系统:
手动在以上配置文件里添加Denyusers USERNAME
注意:以上配置文件改成功之后必须重启服务,即systemctl restart sshd之后方可生效。
四.添加sshd登录信息
vim /etc/motd
文件内容就是登录后显示的信息
五.用户的登录审计
1.
w 查看正在使用当前系统的用户
w -f 查看使用来源
w -i 显示ip
2.
last 查看使用过并退出的用户信息
3.
lastb 查看试图登录但没有成功的用户