linux基础&配置SSH实现可靠安全的远程登录✍

SSH 远程登录的一种管理工具方式

怎么进行登录？
SSH的登录：
在客户端进行ssh

1.登录：

    ssh  172.24.8.131
    ssh root@172.24.8.131
    ssh  root@172.24.8.131 22    IP后边空格 加上端口 （如果修改默认端口的情况下通过此方式登录）

2.直接执行命令 -->最好全路径

   ssh root@172.24.8.131  ls -l  /mnt                       
       ==>ssh root@192.168.25.137 /bin/ls -ltr /backup/data               

3.查看已知主机

    cat /root/.ssh/known_hosts  

SSH 还自带了sftp 功能；客户端的scp(跨机远程拷贝)
sftp协议的简述：

Secure File Transfer Protocol的缩写，安全文件传送协议。可以为传输文件提供一种安全的网络的加密方法。sftp 与 ftp 有着几乎一样的语法和功能。SFTP 为 SSH的其中一部分，是一种传输档案至 Blogger 伺服器的安全方式。其实在SSH软件包中，已经包含了一个叫作SFTP(Secure File Transfer Protocol)的安全文件信息传输子系统，SFTP本身没有单独的守护进程，它必须使用sshd守护进程（端口号默认是22）来完成相应的连接和答复操作，所以从某种意义上来说，SFTP并不像一个服务器程序，而更像是一个客户端程序。SFTP同样是使用加密传输认证信息和传输的数据，所以，使用SFTP是非常安全的。但是，由于这种传输方式使用了加密/解密技术，所以传输效率比普通的FTP要低得多。

windows中可以使用Core FTP，FileZilla, WinSCP，Xftp来连接SFTP进行上传，下载文件，建立，删除目录等操作。

         1.Window的传输工具    wincp                     
            Linux的传输工具   filezip                   
           sftp  -->基于ssh的安全加密传输                   
         
         2.sftp客户端连接                   
            sftp -oPort=22 root@192.168.25.137                   
            put /etc/hosts /tmp                   
            get /etc/hosts /home/omd   

3.sftp小结：
1.linux下使用命令：
sftp -oPort=22 root@x.x.x.x
2.put加客户端本地路径上传
3.get下载服务器端内容到本地
4.远程连接默认连接用户的家目录
客户端远程拷贝 SCP：
scp是secure copy的简写，用于在Linux下进行远程拷贝文件的命令，和它类似的命令有cp，不过cp只是在本机进行拷贝不能跨服务器，而且scp传输是加密的。可能会稍微影响一下速度。两台主机之间复制文件必需得同时有两台主机的复制执行帐号和操作权限。

---

操作提升练习

---

一、修改ssh服务端口号
[root@localhost ~]# vim /etc/ssh/sshd_config （进入配置文件）
根据上一篇对配置文件的解释 找到对应的修改选项

[root@localhost ~]# systemctl restart sshd
[root@localhost ~]# exit

端口 2222 进行登录

二、拒绝root用户远程登陆

[root@localhost ~]# vim /etc/ssh/sshd_config

[root@localhost ~]# systemctl restart sshd
使用root用户 无法进行登录

使用其他用户登录 可以成功登录

进行切换到root用户

三、允许特定用户ssh登录 其他用户都不能登录
[root@localhost /]# vim /etc/ssh/sshd_config

[root@localhost /]# systemctl restart sshd（修改配置文件后一定要重启服务)
[root@localhost /]# exit

用户xuweilei登录失败

Xiaodong用户成功登录

切换到root
可以通过su 切换到root用户

四、虚拟和虚拟机之间实现ssh 互信,免登陆
A:
[root@A /]# ssh-keygen -t rsa 创建密钥对
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): 默认保存位置
Created directory ‘/root/.ssh’.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
7a:f1:a8:5c:a2:97:0b:57:9c:28:03💿1e:5d:f2:97 root@A
The key’s randomart image is:
±-[ RSA 2048]----+
| . . |
| o . + . |
| . + . . E |
| o . o o |
| + . S |
| o o + |
| . +.+ . |
| =o= |
| …+. |
±----------------+
[root@A /]# scp /root/.ssh/id_rsa.pub root@172.24.10.130:/root/.ssh/authorized_keys 发送公钥给B
The authenticity of host ‘172.24.10.130 (172.24.10.130)’ can’t be established.
ECDSA key fingerprint is e7:ce:bb:d0:3c:78:d1:a7:fb:db:f2:76:5f:e5:42:6d.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added ‘172.24.10.130’ (ECDSA) to the list of known hosts.
root@172.24.10.130’s password:
id_rsa.pub 100% 388 0.4KB/s 00:00
[root@A /]# ssh 172.24.10.130 登录验证 B
Last login: Wed Mar 20 19:35:55 2019 from 172.24.10.1
[root@B ~]# 成功登陆
B:

五、通过xshell使用证书进行登陆
[root@A .ssh]# ssh-keygen -t rsa -b 4096（生成密钥对）
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
/root/.ssh/id_rsa already exists.
Overwrite (y/n)? y
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
3a:e1:a9:1c:59:a9:92:6f:cf:13:8f:99:29:76:28:91 root@A
The key’s randomart image is:
±-[ RSA 4096]----+
| |
| |
| |
| . |
| . + S |
| E. =.+ |
| o.+.=B |
| .+=+B… |
| +++o. |
±----------------+
[root@A .ssh]# cp id_rsa.pub authorized_keys（将自己本身的公钥修改）

将私钥传递给Windows 后边用到

登陆时选择 用证书登陆

登陆验证：

在提升练习中，可能会出现一些问题；
ssh排查问题
1.判断物理链路是否通///是否同一个网的
ping 本身是icmp协议
2.判断服务是否正常 systemctl status sshd
3.Linux防火墙
firewall-cmd --list-al
4.测试：
ssh root@192.168.40.132

修改 ssh服务的启动文件
ssh服务的启动文件：/etc/ssh/sshd_config

UseDNS no	加快响应速度因为在内网环境下
PermitRootLogin no	不运行root用户直接登录
Port 12354	更改访问端口号
ListenAddress 192.168.25.130	只监听内网的IP
Allow User anoncvs	当前环境允许登录的用户
PermitRootLogin no	是否允许root用户登录，一般不允许开

如何防止SSH登录入侵
1.密钥登录,更改端口
2.监听本地内网IP(ListenAddress 192.168.25.*)