本文详细介绍了如何在Linux系统中配置OpenSSH的基于主机的身份验证和PAM(PPluggable Authentication Modules)身份验证,以及IBM支持的OpenSSH版本中的新功能,如SSH与EFS的集成、ChkHomeDir、Frcpasswd策略等配置选项。通过这些设置,可以增强系统的安全性和控制用户登录的权限。
OpenSSH是一个免费工具,其中包括SSH1和SSH2协议的实现。 它是一种可靠且安全的工具,已广泛用于替代r命令。 ssh会话上的通信经过加密和安全处理,因为它可以加密所有流量,包括密码。
本文介绍如何配置基于主机的身份验证和PAM身份验证,以及IBM支持的OpenSSH版本中添加的一些新功能和配置选项。 请参阅“ 相关主题”部分以下载IBM支持的OpenSSH版本。
为了安装OpenSSH,必须首先安装OpenSSL。 现在,它可以作为installp映像格式使用。 请参阅“ 相关主题”部分以获取下载信息。
SSH中基于主机的身份验证
当受信任主机上的用户想要登录到远程计算机(可能是不受信任的系统)时,将使用SSH中基于主机的身份验证。 此方法不需要密码。 使用以下配置设置,受信任主机上的用户可以在不提供密码的情况下登录到远程计算机。
在客户端和服务器端启用以下配置选项。
- 在客户端计算机上的/ etc / ssh / ssh_config文件集中,进行以下更改:
HostbasedAuthentication yes EnableSSHKeysign yes - 在服务器端的/ etc / ssh / sshd_config文件中,进行以下更改:
HostbasedAuthentication yes IgnoreRhosts no - 请执行以下任一操作:
- 如果您以root用户身份登录服务器,请在/.rhosts或/.shosts文件中输入主机。
- 如果您以非root用户身份登录服务器,请在/etc/hosts.equiv文件中输入主机。
进入模式必须如下:
<client host name or IP Address > <client username>如果要以root用户身份在服务器计算机上登录,请运行
ssh root@< server host name >,服务器将在/.rhosts或/.shosts文件中检查客户端用户名和客户端主机名,并且仅在以下情况下允许登录:找到正确的用户名和主机名条目。如果要以非root用户身份登录服务器,请运行
ssh non-root@<server host name>,服务器将在/etc/hosts.equiv文件中查找客户端主机名和客户端用户名条目。并允许用户登录。以非root用户身份登录时,应将客户端计算机上的公钥复制到/ etc / ssh / ssh_known_hosts或/ etc / ssh / ssh_known_hosts2文件中。 该文件的格式应与〜/相同。 ssh / known_hosts文件。 公钥前面应有<客户端主机名>,<客户端IP地址>。
- 修改sshd_config文件中的配置选项后,停止并启动ssh守护程序(sshd):
#stopsrc –s sshd 0513-044 The sshd Subsystem was requested
最低0.47元/天 解锁文章
扫一扫
720
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
