ssh
什么是ssh
sshd服务的作用:可以实现通过网络在远程主机中开启安全shell的操作。
全称:Secure SHell (ssh即客户端,c/s模型中的client)
Secure SHell daemon :是专门为ssh服务的守护进程sshd(sshd即服务端,c/s模型中的server)
默认端口是22
主配置文件在 /etc/ssh/sshd_conf
实验环境配置
需要两台虚拟机,怎么设置配网已经在上一篇讲过,不再赘述。
##lucky1主机ip是172.25.254.100,lucky2主机ip是172.25.254.200,下文提到100主机即是lucky1,200主机即是lucky2。
为了方便实验效果,将两台主机的名字改一下。
先查看主机名,再使用hostnamectl set-hostname 主机名将主机名更改。新开一个shell可以看到更改成功。
ssh命令
ssh [-l 远程主机用户] <ip|hostname> ##l表示login的意思
ssh -l root 172.25.254.200 ##通过ssh命令在200主机中以root身份开启远程shell
##连接成功后exit退出连接
涉及到公钥认证体制:
当收到yes后:被登录主机会向当前主机发送身份公钥,并保存此公钥到~/.ssh/know_hosts。
被登录主机持有私钥,当客户主机再次连接时会对客户主机进行身份验证。
进入家目录查看隐藏文件可以看到.ssh文件,known_hosts文件是和另一台主机建立的指纹认证:
这个加密字符串是被连接的主机给的认证信息,在被连接的主机的/etc/ssh/ssh_host_ecdsa_key.pub文件里:
ssh命令参数
-l ##指定登陆用户
-i ##指定私钥,在免密认证中可以用到
-X ##开启图形
-f ##后台运行
##注意f后边需要加要打开什么图形界面,而且这样打开的界面不是当前shell下的进程,所以没法调回当前shell前台!
-o ##指定连接参数
##例如ssh -l root@x.x.x.x -o "StrictHostKeyChecking=no" 首次连接默认输入yes,自动发送认证信息
##可以用man ssh查询-o看还有哪些参数
-t ##指定连接跳板ssh -l root x.x.x.x -t ssh -l root
##比如下图是200主机想要连接100主机,但使用了9这台主机作为跳板,需要输入两台主机的密码
##但注意,这种连接方式在被连接端显示连接主机是跳板主机ip,可以用w -i命令查看
##在企业里没法直接登录某个主机的时候可以选择跳板
ssh因认证登录失败
特殊情况:当密钥文件丢失或ip未变但主机变了即认证信息变更导致无法登录怎么解决?
我们将密钥文件删除模拟这种情况:
再在之前有认证信息的主机进行连接会报错认证信息已变更!
解决办法:
将旧的认证信息删除即可,也可以直接将该文件删除。
sshd 安全优化参数详解(修改配置)
比如说我们想修改ssh服务的端口,我将配置文件/etc/ssh/sshd_config中的端口修改成2222端口后进行如下操作后会报错,也无法重启:
这是因为我们系统里有内核级加强型火墙selinux,会限制你对配置文件的更改,包括对服务端口的限制,我们可以用getenforce来查看,用setenforce 0将其改为只警告的模式:
##用-p 2222来指定端口登录,如果连接失败,大概是你火墙没关,用systemctl disable --now firewalld 关了就好了
PermitRootLogin yes/no ##对超级用户登陆是否禁止
##在配置文件/etc/ssh/sshd_config的46行将其改为no以后就不能再ssh连接时用超级用户登录了,可以用普通用户登录后再su换为超级用户
PasswordAuthentication yes|no ##是否开启原始密码认证方式
AllowUsers lee ##用户白名单,只有在名单内的可以连接,不在的都不可以
DenyUsers lee ##用户黑名单,只有不在名单内的可以连接,在的都不可以
##多个用户用空格隔开,可以man 5 sshd_config查看帮助
扫一扫
2864
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
