目录
一、openssh的功能
1.sshd服务的用途
作用:
可以实现通过网络在远程主机中开启安全shell的操作
Secure SHell ===>ssh 客户端
Secure SHell daemon ===>sshd 服务端
- 安装包 openssh-server
- 主配置文件 /etc/ssh/sshd_conf
- 默认端口:22,客户端命令:ssh
2.实验环境
服务端ip:172.25.254.112 用户:westosb
客户端ip:172.25.254.212 用户:westosa
主要输入命令:
- nm-connection-editor :ip配置
- hostnamectl set-hostname 新主机名 :主机名更改 (要重开shell,方可生效)
- ssh 客户端用户-l 客户端主机ip :远程连接操作
二、ssh的基本用法
1.ssh命令(远程连接)的输入格式:
- ssh -l 客户端用户 客户端ip
- ssh 客户端用户@客户端ip
注:当连接因认证问题被拒绝时解决方案,可输入命令:vim ~/.ssh/know_hosts :删除报错提示相应的行即可
2.ssh的常用参数:
-l | 指定登陆用户 |
-i | 指定私钥 |
-x | 开启图形 |
-f | 后台运行 |
-o | 指定连接参数 |
-t | 指定连接跳板 |
举例参数:-t
-x
三、sshd key认证
1.认证类型
加密类型 | 特征 | 安全性 |
对称加密 | 加密和解密是同一串字符 | 容易泄漏 可暴力破解 容易遗忘 |
非对称加密 | 加密用公钥,解密用私钥 | 不会被盗用 攻击者无法通过无密钥方式登陆服务器 |
2.操作步骤:
主要输入命令:
- ssh-keygen===ssh-keygen -f /root/.ssh/id_rsa -p"" :生成非对称加密密钥
- ssh-copy-id -i /root/.ssh/id_rsa.pub username@服务端ip :服务器加密
- scp /root/.ssh/id_rsa 客户端ip:/root/.ssh/id_rsa :给客户端发送私钥
- ssh 服务端用户@服务端ip
四、sshd安全优化参数详解
1.必要前提(关闭防火墙)
- setenforce 0
- systemctl disable --now firewalld(或者systemctl stop firewalld)
2.ssh参数详情
- Port 2222 设定端口为2222
- PermitRootLogin yes|no 对超级用户登陆是否禁止 (编辑文本的46行)附近
- PasswordAuthentication yes|no 是否开启原始密码认证方式 (编辑文本的73行)附近
- AllowUsers lee 用户白名单(仅允许名单上的用户执行)(自行编辑)
- DenyUsers lee 用户黑名单(仅禁止名单上的用户执行)(自行编辑)