Linux中SSH配置与使用：安全的远程访问方式_linux启动ssh服务

SSH（Secure Shell）是一种加密的网络协议，为Linux系统提供了安全、加密的远程访问方式。通过正确配置和使用SSH，管理员可以远程管理服务器，传输文件，并确保通信的机密性。本文将深入探讨Linux中SSH的配置和使用，提供详实的示例代码，帮助管理员更全面地了解和运用SSH技术。

安装和启动SSH服务

# 示例代码：安装OpenSSH服务器
sudo apt-get install openssh-server    # Ubuntu/Debian
sudo yum install openssh-server        # CentOS/RHEL

# 示例代码：启动SSH服务
sudo systemctl start ssh
sudo systemctl enable ssh

配置SSH服务

# 示例代码：编辑sshd_config文件
sudo nano /etc/ssh/sshd_config

在配置文件中，可以设置SSH服务监听的端口、允许的用户、禁止root登录等。

# 示例代码：更改SSH服务端口
Port 2222

# 示例代码：禁止root用户直接登录
PermitRootLogin no

重启SSH服务

# 示例代码：重启SSH服务使配置生效
sudo systemctl restart ssh

生成SSH密钥对

# 示例代码：生成SSH密钥对
ssh-keygen -t rsa -b 4096 -f ~/.ssh/my_key

使用SSH密钥登录

将公钥复制到目标服务器：

# 示例代码：复制公钥到目标服务器
ssh-copy-id user@remote_server

或手动复制：

# 示例代码：手动复制公钥到目标服务器
cat ~/.ssh/my_key.pub | ssh user@remote_server 'mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys'

配置SSH客户端

# 示例代码：编辑SSH客户端配置文件
nano ~/.ssh/config

# 示例代码：为远程主机配置别名
Host my_server
    HostName remote_server
    User user
    Port 2222
    IdentityFile ~/.ssh/my_key

使用SSH传输文件

# 示例代码：使用SCP传输文件到远程主机
scp /path/to/local/file user@remote_server:/path/to/remote/directory

使用SSH隧道

# 示例代码：建立SSH隧道
ssh -L 8080:localhost:80 user@remote_server

使用ProxyJump配置跳板主机

# 示例代码：配置ProxyJump跳板主机
Host final_server
    HostName final_server
    User user
    Port 2222
    IdentityFile ~/.ssh/my_key

Host jump_server
    HostName jump_server
    User user
    Port 2222
    IdentityFile ~/.ssh/my_key

Host remote_server
    HostName remote_server
    User user
    Port 2222
    IdentityFile ~/.ssh/my_key
    ProxyJump jump_server

使用SSH配置文件提高安全性

# 示例代码：设置SSH配置文件权限
chmod 600 ~/.ssh/config

配置SSH登录消息

# 示例代码：配置SSH登录消息
sudo nano /etc/ssh/sshd_config

在配置文件中添加Banner，以显示登录前的提示信息。

# 示例代码：配置Banner消息
Banner /etc/ssh/banner_message

配置SSH禁用密码登录

# 示例代码：配置禁用密码登录
sudo nano /etc/ssh/sshd_config

确保密码登录被禁用，只允许公钥认证。

# 示例代码：禁用密码登录
PasswordAuthentication no

限制SSH登录时间和IP范围

# 示例代码：限制SSH登录时间
sudo nano /etc/security/time.conf

在配置文件中添加时间限制规则。

# 示例代码：SSH限制时间规则
sshd;*;user;Al0800-1700

# 示例代码：限制SSH登录IP范围
sudo nano /etc/hosts.allow

# 示例代码：仅允许特定IP范围访问SSH
sshd : 192.168.1.0/24

监控SSH登录尝试

# 示例代码：安装并配置fail2ban监控SSH登录尝试
sudo apt-get install fail2ban    # Ubuntu/Debian
sudo yum install fail2ban        # CentOS/RHEL

# 示例代码：配置fail2ban监控SSH日志
sudo nano /etc/fail2ban/jail.local

# 示例代码：SSH监控规则
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5

配置多因素身份验证

# 示例代码：安装并配置Google Authenticator
sudo apt-get install libpam-google-authenticator    # Ubuntu/Debian
sudo yum install google-authenticator               # CentOS/RHEL

# 示例代码：配置PAM启用Google Authenticator
sudo nano /etc/pam.d/sshd

在/etc/ssh/sshd_config中添加以下行：

# 示例代码：启用ChallengeResponseAuthentication
ChallengeResponseAuthentication yes

使用SSH-Agent管理密钥

# 示例代码：启动SSH-Agent
eval $(ssh-agent)

# 示例代码：添加私钥到SSH-Agent
ssh-add ~/.ssh/my_key

使用SSH配置文件优化体验

# 示例代码：编辑SSH配置文件
nano ~/.ssh/config

在配置文件中添加一些选项，以提高SSH的使用体验，例如自动断开不活跃的连接：

# 示例代码：配置自动断开不活跃连接
Host *
    ServerAliveInterval 60

定期更新和维护SSH

# 示例代码：定期更新SSH软件包
sudo apt-get update && sudo apt-get upgrade    # Ubuntu/Debian
sudo yum update                                # CentOS/RHEL

确保SSH软件包和密钥文件都得到及时的更新。

总结

在本文中，深入探讨了Linux中SSH的配置与使用，为管理员提供了详实的示例代码和最佳实践，以确保远程访问方式的安全性与高效性。从安装与启动SSH服务，到更高级的配置如登录消息、禁用密码登录、限制登录时间和IP范围、监控登录尝试、以及多因素身份验证，本文详尽展示了SSH在系统安全管理中的全方位应用。

管理员通过学习配置SSH服务的基础步骤，如修改端口、禁用root登录、生成SSH密钥对等，进一步了解了如何配置SSH客户端、传输文件、建立SSH隧道、以及使用SSH配置文件等高级技巧。通过配置登录消息、禁用密码登录、限制登录时间和IP范围，管理员增加了系统的抗攻击性。此外，利用fail2ban监控登录尝试、配置多因素身份验证、使用SSH-Agent管理密钥等高级配置，为系统提供了更为强大的安全保障。

最终，管理员需要关注系统定期更新与维护，确保SSH软件包和密钥文件始终保持最新。通过这些最佳实践，管理员将能够在远程操作中更为自信地应对各种场景，确保系统的稳定、高效运行，并在安全性方面达到最佳水平。SSH的强大功能和灵活配置，使其成为Linux系统中不可或缺的远程访问工具。

学习网络安全技术的方法无非三种:

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。

第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，可能很长一段时间感觉自己没有进步，容易劝退。

第三种就是去找培训。

接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

第一阶段：基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

第二阶段：web渗透

学习基础 时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境 时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

渗透实战操作 时间：约6周：

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段

第三阶段：进阶

已经入门并且找到工作之后又该怎么进阶？详情看下图

给新手小白的入门建议：
新手入门学习最好还是从视频入手进行学习，视频的浅显易懂相比起晦涩的文字而言更容易吸收，这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦！

本文转自 https://blog.csdn.net/GitHub_miao/article/details/135050696?spm=1001.2100.3001.7377&utm_medium=distribute.pc_feed_blog_category.none-task-blog-classify_tag-6-135050696-null-null.nonecase&depth_1-utm_source=distribute.pc_feed_blog_category.none-task-blog-classify_tag-6-135050696-null-null.nonecase，如有侵权，请联系删除。