Openssh服务的部署及安全优化

最新推荐文章于 2023-05-11 11:21:52 发布
最新推荐文章于 2023-05-11 11:21:52 发布
阅读量2.6k 收藏
点赞数 3
分类专栏: Linux 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42006358/article/details/104199584
版权

目录

实验环境:

本章节的学习我们一共会用到三台Linux虚拟机,用来进行远程连接测试,因此要确保三台虚拟机的IP地址在同一网段,彼此之间可以互相通信。
虚拟机的网络连接设置:具体方法点击这里

1. Openssh功能介绍

  • OpenSSH 是 SSH (Secure SHell) 协议的免费开源软件。SSH通过在网络中创建安全隧道来实现SSH客户端与服务器之间的连接,人们通常利用SSH来传输命令行界面和远程执行命令。
  • 软件安装名称: Openssh-server
  • 配置文件:/etc/ssh/sshd_config
  • 默认端口:22
  • 客户端命:ssh

2. ssh命令

2.1、命令的用法:

ssh remoteUSER@remoteIP
在这里插入图片描述

2.2、ssh的相关参数:
参数作用
-l指定登录用户
-i指定密钥
-X开启图形
-p指定端口
-f后台运行
-o指定连接参数
-t指定连接跳板

示例:
客户机A:192.168.110.128
客户机B:192.168.110.129
服务机:192.168.110.130
①:连接IP为192.168.110.130虚拟机的root用户,输入密码,登录成功
在这里插入图片描述
在服务机上运行w -i 命令,可以查看到客户机A远程连接了自己
在这里插入图片描述
执行exit,可退出登录
②:在客户机上远程连接服务机,执行vim命令
在这里插入图片描述
③:客户机A用客户机B作为跳板,连接服务机
在这里插入图片描述
在服务机上执行w -i命令,可以看到是客户机B连接了自己,而不是客户机A
在这里插入图片描述

3.Openssh服务的key认证

3.1、Openssh认证方式

1.密码认证

  • 至少6个字符
  • 包含数字,字母,下划线特殊符号等
  • 易泄漏
  • 可被暴力破解
  • 密码容易丢失

2.密钥认证

  • 新型认证方式,分为公钥及私钥
  • 公钥上传服务器
  • 私钥配对认证,不会被盗用
  • 攻击者一般无法通过密钥登录服务器

基于密钥的安全验证就是说,你必须为自己创建一对密匙,把公匙放在需要访问的服务器上。如果你要连接到SSH服务器上,客户端软件就会向服务器发出请求,请求用你的密匙进行安全验证。服务器收到请求之后,先在该服务器上你的主目录下寻找你的公匙,然后把它和你发送过来的公匙进行比较。如果两个密匙一致,服务器就用公用密匙加密“质询”(challenge)并把它发送给客户端软件。客户端软件收到“质询”之后就可以用你的私人密匙解密再把它发送给服务器

3.2、Openssh KEY

支持rsa及dsa加密
加密方法:

  • 生成密钥 ssh-keygen
  • 上传密钥 ssh-copy-id –i keyfile remoteUSER@remoteIP

示例:
客户机A: 192.168.110.128
客户机B: 192.168.110.130
服务机: 192.168.110.129
①:在客户机B上执行ssh-keygen生成密钥
在这里插入图片描述
②:通过原始认证方式,客户机B把生成的公钥上传给服务机在这里插入图片描述
此时,在服务机的/root/.ssh目录下自动生成了一个相应的已授权密钥文件,文件内容和客户机B的公钥文件内容一样
在这里插入图片描述
在这里插入图片描述
③:客户机B远程登录服务机,不需要输入密码
在这里插入图片描述
④:没有私钥的客户机A远程登录服务机,需要输入密码
在这里插入图片描述
⑤:为了防止暴力破解,修改服务机的配置文件,关闭密码认证,重启sshd服务
在这里插入图片描述
在这里插入图片描述
⑥:没有私钥的客户机A远程登录服务机,直接被拒绝
在这里插入图片描述
⑦:客户机A想要远程登录客户机B的话,需要客户机B把私钥文件传输给客户机A
在这里插入图片描述
此时,客户机A也可免密登录服务机
⑧:如果服务机不想要别人免密登录自己,可以通过删除或重命名authorized_keys文件,破坏掉已授权密钥文件

4.Openssh服务的安全优化

4.1、sshd服务常用相关配置参数

配置文件
• /etc/ssh/sshd_config
在这里插入图片描述
配置参数

参数解释
Port 22监听端口
Protocol 2指定协议版本
ListenAddress绑定IP
HostKey设定HostKey密钥路径
PermitRootLogin设定超级用户是否能登录
PubkeyAuthentication公钥认证开关
PasswordAuthentication密码认证开关
AllowUsers用户白名单
DenyUsers用户黑名单

示例:
服务机:IP =192.168.110.128
用户:student test
客户机:IP =192.168.110.129
示例①:在服务机上设定超级用户不能登录,修改配置文件后,reload一下sshd服务
在这里插入图片描述
在这里插入图片描述
在客户机远程登录服务机的root用户,被拒绝,登录失败
在这里插入图片描述
示例②:在服务机上添加用户黑名单,禁止登录test用户
在这里插入图片描述
在客户机登录test用户,登陆失败;可以成功登录student用户
在这里插入图片描述
示例③:将示例②中设置的黑名单注释掉,添加白名单用户,只允许登录test用户
在这里插入图片描述
在客户机尝试远程登录student用户,登录失败;可以成功登录test用户
在这里插入图片描述

sober998
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关闭openssh服务_生产服务器选型部署方案
weixin_39646970的博客
11-28 156
1、网络1.1 线路问题:国内常用的线路是电信线路和网通线路,其中河南以及河南以北地区以网通为主,河南以及以南以电信为主,同等线路之间访问速度比较快,反之则访问速度比较慢。如果业务在全国范围都有的话,建议机房是采用双线路解决南北互访的问题,双线路通常配合智能DNS来解决双线选路的问题。所以可以根据公司的业务的实际需求选择单线路或者双线路。1.2 根据需求选择共享带宽或者是独立带宽如果是图片多的业务...
openssh漏洞修复升级openssh8.4离线升级。OpenSSH 命令注入漏洞
看着博客敲代码
11-17 1万+
openssh漏洞修复升级openssh8.4p1离线升级 主机扫描出来以下漏洞 OpenSSH 输入验证错误漏洞(CVE-2019-16905) OpenSSH 漏洞OpenSSH 7.7版本至7.9版本和8.1之前的8.x版本中存在输入验证错误漏洞。该漏洞源于网络系统或产品未对输入的数据进行正确的验证。 OpenSSH 命令注入漏洞(CVE-2020-15778) OpenSSH 8.3p1及之前版本中的scp的scp.c文件存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中,网络系统或产品未
win10开启ssh-agent
前端劝退工程师
06-29 5268
右键“我的电脑”(Windows 10上为“此电脑”),选择“管理”菜单项,打开计算机管理窗口。
阿里云SSH断开影响后台
weixin_42421946的博客
03-22 275
挂断信号(SIGHUP)默认的动作是终止程序 打开ssh默认下面的所有bash都是他的子程序,关闭ssh后,挂断信号把所有的进程杀死 办法(1)nohup nohup 应用程序名 & 此后,如果你断开了ssh,程序依旧运行。此种方式的缺点是,应用程序没有交互界面了,程序的输出将会输出的一个xxx.out文件中,而且以后无法在界面控制程序的结束。必须通过kill的方式。所以这...
win10系统中openssh服务的安装、打开和关闭、连接和断开
热门推荐
jjruanlili的博客
02-17 1万+
win10,openssh服务的安装、打开和关闭、连接和断开
openssh8.7p1.tar.gz
09-10
总的来说,OpenSSH 8.7p1在CentOS 7.9上的部署和配置是一项涉及多方面安全措施的工作。理解并掌握这些知识点,有助于构建一个既方便又安全的远程访问环境。正确配置和使用OpenSSH,能有效保护系统免受未经授权的访问...
服务部署-02-应用及数据库环境搭建.docx
11-06
安装MySQL时需设置root用户的密码,创建数据库和用户,并进行必要的安全优化。vsftpd是常用的FTP服务器,用于文件传输,其配置涉及用户权限、匿名访问和日志记录等。OpenSSH用于实现远程安全登录,安装后应调整默认...
openssh8.9的rpm包
09-04
openssh 8.9p1版本的更新可能包括了性能优化、新功能的添加以及对旧有安全问题的修复。例如,可能会增强SSH协议的安全性,改进密码和密钥的处理方式,或者提高服务器端的并发处理能力。 此外,"openssh8.9固定目录...
OpenSSH9.3源码包资源合集
09-18
这个资源对于开发者和系统管理员来说非常重要,因为OpenSSH是互联网上最广泛使用的安全外壳协议,用于在不安全的网络环境中提供安全的远程登录和其他网络服务。下面我们将详细探讨这些组件及其重要知识点。 首先,...
OpenSSH9.5p1
最新发布
11-12
它是OpenSSH项目的最新版本,旨在提供安全的远程登录和其他网络服务,如文件传输。OpenSSH是SSH(Secure SHell)协议的开源实现,替代了传统的不安全的telnet和rlogin协议。 OpenSSH 9.5p1 包含了多项改进和修复,...
Openssh服务安全优化策略
YiSean96的博客
10-15 153
1、设定实验环境 作服务器连接实验前要首先配置好实验环境 设定两台主机的ip地址,并更改设备名称、清空/root/.ssh/。 2、ssh命令的使用方式 (1)文本模式连接 ssh 用户@要连接的ip (2)图形连接 ssh -X 用户@要连接的ip 3、密钥认证 ssh-keygen -f /root/.ssh/id_rsa -P "" ls /root/.ssh/ id_rsa ...
6.Openssh 服务部署安全优化
weixin_44754697的博客
02-13 105
1.1Openssh 功能概述 OpenSSH 是 SSH (Secure SHell) 协议的免费开源软件,软件安装名称为Openssh-server,配置文件是 /etc/ssh/sshd_conf,默认端口 22,客户端命令为ssh。 1.2 ssh命令的用法 ssh命令 ssh remoteUSER@remoteIP • -l 指定登录用户 • -i 指定密钥 • -x 开启图形 ...
openssh服务优化及sudo授权
黑乎乎的小升
05-11 158
wheel ALL=(ALL) NOPASSWD: ALL #NOPASSWD不用输密码,授权程序时可用。服务器端:配置文件路径在/etc/ssh/sshd_config下。编辑工具可用visudo,会检查语法是否错误,visudo -c。使用sudo得输入自己的密码,确认身份,五分钟内不用再次输密码。授权操作日志记录文件路径在/var/log/secure下。非交互式输入用户密码,默认没安装,在epel源中。客户端:/etc/ssh/ssh_config。改完重启sshd服务
七、Openssh服务部署安全优化
weixin_46138661的博客
04-07 201
• 1.1 Openssh功能介绍 Objectives • 1.2 ssh命令 • 1.3 Openssh服务的key认证 • 1.4 Openssh服务安全优化
OpenSSH主机安全漏洞解决方案
h1040753780的博客
09-16 3040
问题描述:OpenSSH 用户枚举漏洞(CVE-2018-15473)【原理扫描】 OpenSSH do_setup_env函数权限提升漏洞(CVE-2015-8325) OpenSSH auth_password函数拒绝服务漏洞(CVE-2016-6515) OpenSSH多个拒绝服务漏洞(CVE-2016-10708) OpenSSH 安全限制绕过漏洞(CVE-2016-10012)
VMware中安装Linux系统(Redhat8)以及虚拟机的网络配置
qq_42006358的博客
02-11 6215
目录1.安装vmware1.1下载VMware workstations:1.2安装vmware2.安装虚拟机2.1 准备镜像2.2 新建虚拟机向导2.3 安装阶段2.4 初始化设置3.虚拟机的网络配置3.1 修改主机名3.2 查看真机的网络设置3.3 配置虚拟机的网络环境 1.安装vmware 1.1下载VMware workstations: 选择15.x版本,下载地址可在百度搜索,或者直接...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值