Openssh服务优化策略

最新推荐文章于 2023-08-20 18:21:38 发布
最新推荐文章于 2023-08-20 18:21:38 发布
阅读量505 收藏 2
点赞数
分类专栏: q'we 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenfeifei12345/article/details/106590797
版权

1.常用命令

在这里插入图片描述
##我们首先需要找两台主机,因为我们这块没有两台主机,只能用rhel7.6和没有装图形的rhel8.1作为两台主机进行试验操作:
##我们将rhel8.1作为操作机,将rhel7.6作为服务机(被操作机)
在这里插入图片描述
##我们先在rhel8.1上连接7.6的IPssh root@198.168.0.100,以root的身份连接,
在这里插入图片描述
##我们进入被操作机的桌面创建个file
在这里插入图片描述
##可以看到rhel7.6中的桌面上已经创建好了file
在这里插入图片描述
##我们尝试用操作机打开被操作机的firefox,发现不能打开不存在图形连接,因此我们需要在前面连接的命令前加上-X 变成 ssh -X root@192.168.0.100
然后我们再输入 firefox让他运行firefox,发现这个操作机上firefox运行了,但是我们查看任务管理器看不到他的进程,在rhel7.6(被操作机上发现了他的进程),我们切断(被操作机的)firefox发现操作机上的firefox页面已经被关闭了

2.密钥和密码认证

[root@localhost ~]# ssh-keygen##密钥的生成命令

Generating public/private rsa key pair.

Enter file in which to save the key (/root/.ssh/id_rsa):##密钥保存的位置,我们按回车采用默认的
Enter passphrase (empty for no passphrase):##我们只要密钥认证不要密码认证按回车就行,想要密码必须输入大于4位的密码
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.##生成的密钥就在id_rsa,

Your public key has been saved in /root/.ssh/id_rsa.pub.##通过这个文件生成公钥文件

The key fingerprint is:
SHA256:eXbRDOKKbmJuQYpNPscyDGJvjGAu1etWUyapfknwUz4 root@localhost.localdomain

The key's randomart image is:

+---[RSA 2048]----+
|          . .    |
|         . . +   |
|   .   .  . . o  |
|+oo + o.+o   .   |
|*O++ =.*S o .    |
|ooO+*.* Eo .     |
|. .Bo+o+ .       |
|   o=oo          |
|   o..           |
+----[SHA256]-----+

[root@localhost ~]# cd /root/.ssh/
[root@localhost .ssh]# ls##id rsa为私钥,谁要登录就给别人这个, id_ras.oub这个是锁头加密的,公钥的模板

id_rsa  id_rsa.pub  known_hosts

[root@localhost .ssh]# ssh-copy-id -i id_rsa.pub root@192.168.0.100##公钥上传到服务器,也就是本机上。锁定的用户为root

/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "id_rsa.pub"
The authenticity of host '192.168.0.100 (192.168.0.100)' can't be established.
ECDSA key fingerprint is SHA256:gbwiJQP7FDiJiHRaHZrgjCnV9ZtogjioIBTP8KBLRLg.
ECDSA key fingerprint is MD5:85:5a:df:28:c7:2c:41:3e:73:1b:43:6d:5b:a0:57:08.
Are you sure you want to continue connecting (yes/no)? yes
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@192.168.0.100's password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'root@192.168.0.100'"
and check to make sure that only the key(s) you wanted were added.

[root@localhost .ssh]# ls##这个就是真正的ssh的公钥,并且承认可以用私钥id_rsa把这个公钥打开

authorized_keys  id_rsa  id_rsa.pub  known_hosts

[root@localhost .ssh]# cat authorized_keys ##可以看到公钥的模板和公钥内容是一致的

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDC6NFY9o78IVMpTHkQg+3Vwd6gb0de1nxKs9HgUuAHTqIwPXPrYvRWViUnG+uEf0KwB5HDC8b7YMyISwPWr1NmBmJtkwTC4WwhTE0ir1v/p1kwSPr0OrSEXjpkE73WIlbT93vEZYEUmKdzIVfaiyxa/xQJNfo++2XjaNrajSjWD/BZyixjFSO88WDb2eukukVsFUBQQoTW1hIfFUNOyF5+Oi1rA9LYGH5JLnnRcL2C0u15m4gntHVfvLtaBdeOGJg2qpRYTarQhsrTRellxMRvD83WN878Jw1TnEItnaWIzzhx3jNpCGwT6CdKA35si+b2W/IZ6FEBqM8ZfCUtk9JB root@localhost.localdomain

[root@localhost .ssh]# cat id_rsa.pub

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDC6NFY9o78IVMpTHkQg+3Vwd6gb0de1nxKs9HgUuAHTqIwPXPrYvRWViUnG+uEf0KwB5HDC8b7YMyISwPWr1NmBmJtkwTC4WwhTE0ir1v/p1kwSPr0OrSEXjpkE73WIlbT93vEZYEUmKdzIVfaiyxa/xQJNfo++2XjaNrajSjWD/BZyixjFSO88WDb2eukukVsFUBQQoTW1hIfFUNOyF5+Oi1rA9LYGH5JLnnRcL2C0u15m4gntHVfvLtaBdeOGJg2qpRYTarQhsrTRellxMRvD83WN878Jw1TnEItnaWIzzhx3jNpCGwT6CdKA35si+b2W/IZ6FEBqM8ZfCUtk9JB root@localhost.localdomain

##这样我们这台设备的加密已经做好了,一个是生成密钥,一个是上传密钥
##我们在用rehl8.1作为控制机控制rhel7.6,我们刚刚对7.6的ssh密钥加密了
在这里插入图片描述
##但是为何还是采用密码的方式进行验证
[root@localhost .ssh]# vim /etc/ssh/sshd_config##我们在这个文件的65行对将他的yes改为no

在这里插入图片描述
##这里下面的69行的yes也需要改为no
[root@localhost .ssh]# systemctl restart sshd.service##重新启动下sshd
在这里插入图片描述
##我们再次想进入rhel7.6发现被拒绝了,这就需要我们将私钥给rhel8.1才行
[root@localhost .ssh]# scp /root/.ssh/id_rsa root@192.168.0.200:/root/.ssh/

root@192.168.0.200's password: 
id_rsa                                              100% 1675    89.3KB/s   00:00

##私钥已经给rhel8.1了 ,用rhel8.1可以看到私钥
在这里插入图片描述
##已经可以成功连接rhel7.6了
在这里插入图片描述
[root@localhost .ssh]# mv authorized_keys authorized_keys.backup##我们现在将公钥修改,备份成。backup,但是rhel8.1依然有私钥的情况下依然不可以登录,这样就达到了,我随时让谁登录,就可以让谁登,不想让谁登,就不让谁登,大大提高了系统的安全性
在这里插入图片描述
##也可以采用非交互的方法:
我们先删除前面生成的ssh的文件
[root@localhost .ssh]# rm -fr /root/.ssh/*
[root@localhost .ssh]# ssh-keygen --help##查看ssh-keygen的帮助

unknown option -- -
usage: ssh-keygen [-q] [-b bits] [-t dsa | ecdsa | ed25519 | rsa | rsa1]
                  [-N new_passphrase] [-C comment] [-f output_keyfile]
       ssh-keygen -p [-P old_passphrase] [-N new_passphrase] [
最低0.47元/天 解锁文章
chenfeifei12345
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
组态王怎么设置必须从登录界面才能看到其他页面_198.168.01登录入口 192.168.0.100设置【图解】...
weixin_39701768的博客
11-14 2649
  登录入口 设置【图解】  是常见路由器的登录网址,本文以为腾达tenda路由器介绍怎么登录页面,如果你的路由器是360或者其他品牌的路由器,同样可以参考下文,因为设置路由器方法都是一样的。  第一步:确认你的路由器登录网址是1968.0.  1.查看登录地址 在路由器底部贴纸上查看路由器登录IP地址,如下图所示:可以看到贴纸上的IP地址,该地址就是路由器默认的登录地址, 如下图所示:  第二步...
openssh服务的部署及安全优化
weixin_43834060的博客
01-21 636
一、openssh功能概述 openssh是一个服务,开启了openssh服务,就对外开放了远程连接的接口,是SSH(Secure Shell)协议的免费开源软件,软件安装的名称为Openssh-server,配置文件在/etc/ssh/sshd_conf,默认端口为22,客户端命令为ssh,服务端命令为sshd 可以使用命令rpm -qa | grep open来查看系统中是否安装了openss...
SSH协议原理及应用
最新发布
qq_54857874的博客
08-20 1096
以当前网络技术推广和发展过程中遇到的安全问题,有针对性的选择应用层网络安全协议SSH作为研究对象,仔细分析了SSH协议的三个层次和SSH服务的组成;阐述了SSH协议的原理(非对称加密技术)以及工作流程;指出了在 Windows环境下配置了SSH服务的局限性,并且实现了SSH协议在Windows下配置,并希望作为一种产品来应用;针对SSH协议指出了协议本身和各种实现版本中存在的主要问题,并对希望改进的方面做出解释;最后,对SSH协议的需求、技术和产品三方面做分析。
总结openssh服务、sudo、PAM架构及工作原理、配置文件格式,nologin.so, limits、DNS、防火墙,iptables、数据库mysql
weixin_50471413的博客
06-03 811
root@Rocky8 ~ ] #vim / etc / sudoers [ root@Rocky8 ~ ] #ls / etc / sudoers . d / #语法检查 [ root@Rocky8 ~ ] #visudo - c / etc / sudoers : parsed OKpam_application:该部分是PAM模块的入口点,它提供了PAM模块与应用程序之间的接口。应用程序可以使用PAM API调用PAM模块来进行认证和授权。
计算机网络实验(重庆交通大学)
qq_53920240的博客
01-06 1735
计算机网络实验(重庆交通大学)
Openssh服务的部署及安全优化
weixin_45792518的博客
02-02 322
1.Openssh服务功能概述 OpenSSH 是 SSH (Secure SHell) 协议的免费开源软件 软件安装名称:openssh-server 系统安装此软件才能被其它主机远程连接 配置文件在/etc/ssh/sshd_conf目录下 默认端口:22 端口的理解:我们连接一台主机都会用到这台主机的ip地址,进入目标主机后,该去访问系统中开启的哪一个程序,这些程序会自己开启一个接口,让我...
SSH服务器安装配置.docx
10-15
《SSH服务器安装配置详解》 SSH(Secure Shell)是一种网络协议,用于在不安全的网络环境中提供安全的...在实际操作中,应根据具体环境和安全策略进行适当的调整,确保既能满足日常运维需求,又能有效防止未授权访问。
Ansible的配置优化指南.docx
10-18
Pipelining 是一种优化策略,允许 Ansible 利用 SSH 会话直接将指令传输到远程主机,减少中间步骤。在 `ansible.cfg` 中启用此功能: ``` [ssh_connection] pipelining = True ``` 这将显著减少数据传输时间,...
ubuntu安装.docx
10-13
在预配置debconf阶段,确保安装程序组件正确加载,这是为了优化安装过程中的交互体验。调整debconf优先级是为了控制配置的详细程度,以便更高效地进行安装。检测光盘完整性是保证软件包无损坏的重要步骤,避免安装...
cwrsync文件同步案例说明
03-06
cwRsync是一款在Windows平台上使用的文件同步工具,它基于开源的rsync协议,可以实现不同服务器之间的文件同步。...在实际应用中,还需要注意网络安全、权限管理以及同步策略优化,以确保数据的安全性和同步效率。
Linux常见技术支持问题十一则
07-30
1. Apache 大量连接服务问题 在Apache服务器上,当配置固定数量的子进程(如1000)来处理连接时,可能会遇到"thundering herd"问题。这个问题源自于Linux系统在新连接到来时唤醒所有休眠进程,而非仅唤醒一个,导致...
Linux之nfs文件系统挂载命令
寞水
01-13 4390
寞水
openssh服务优化及sudo授权
黑乎乎的小升
05-11 155
wheel ALL=(ALL) NOPASSWD: ALL #NOPASSWD不用输密码,授权程序时可用。服务器端:配置文件路径在/etc/ssh/sshd_config下。编辑工具可用visudo,会检查语法是否错误,visudo -c。使用sudo得输入自己的密码,确认身份,五分钟内不用再次输密码。授权操作日志记录文件路径在/var/log/secure下。非交互式输入用户密码,默认没安装,在epel源中。客户端:/etc/ssh/ssh_config。改完重启sshd服务
SSH服务优化
RSQ博客
03-19 2061
目录 1 SSH简介 1.1 SSH连接原理 1.1.1 SSH1 1.1.2 SSH2 1.2 企业面试题 2 SSH优化 2.1 Linux下SSH远程连接服务慢 2.2 企业案例 2.2.1 利用sed实战修改多行配置 2.2.2 SSH入侵登录 2.2.3 如何防止SSH登录入侵 3 SSH客户端命令 3.1 ssh 3.1.1 报错问题及原因 3.1.2 小结 ...
Openssh 服务的部署及安全优化
FYRXP的博客
02-01 2166
Table of Contents 一. Openssh功能介绍 1.Openssh是ssh(Secure SHell)协议的免费开源软件 二. ssh 命令的用法 三. Openssh 服务的key认证 1. 加密方法 2.关于Openssh的文件 四.Openssh 服务的安全优化 一. Openssh功能介绍 1.Openssh是ssh(Secure SHell)协议...
ssh远程登录慢,关闭UseDNS和GSSAPIAuthentication来优化OpenSSH连接速度
叼不起的烟斗的博客
04-09 1574
问题 在部分环境下,会遇到ssh连接过慢的问题,普遍需要等待几十秒甚至1-2分钟才能连接上,正常ssh也还能接受,一旦使用scp等传输命令时,经常会因为长时间等不到输入密码而端断开连接,我们可以通过关闭UseDNS和GSSAPIAuthentication来进行连接优化 什么是UseDNS? UseDNS为服务器反向解析,假如 UseDNS选项是打开的话,服务器会先根据客户端的 IP地址进行 DNS PTR反向查询出客户端的主机名,然后根据查询出的客户端主机名进行DNS正向A记录查询,并验证是否.
日志管理,定时和延迟任务
chenfeifei12345的博客
06-12 2276
1日志的采集和方法 ##日志是系统记录系统内部重要的事情 ##日志是由系统本身产生的,产生的日志是在内存中的,然后肯定有程序将内存的日志采集到硬盘中,然后分成各类文件保存在不同的位置,这个程序就是rsyslog服务,他不生成日志,他的任务是采集日志 [root@localhost Desktop]# > /var/log/messages##我们先清空日志 [root@localhost Desktop]# ssh root@192.168.0.200##我们远程连接下200ip [root@loc
Linux安装openssh服务
06-08
好的,以下是在Linux上安装openssh服务的步骤: 1. 打开终端或SSH客户端,以root用户身份登录您的Linux服务器。 2. 输入以下命令来更新软件包列表: ``` sudo apt-get update ``` 3. 输入以下命令来安装...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值