sshd服务

前言：要使用sshd服务就得知道服务端的ip地址，在虚拟机上做实验时不知道虚拟机的ip地址，就可以改它的ip地址。
要知道虚拟机的ip可以用ifconfig或ip addr show eth0，查看真机的ip可以用ifconfig或ip addr show br0

具体怎么改呢？
ip设置：用nm-connection-editor命令开启Network Connections界面

把之前的那个delete（删掉），然后自己add一个ip，如图：选网关

设置ip，因为172是c类ip，所以在新建ip时，前三位要于真机一样，后一位随便设置

修改完毕后save，然后172.25.70.20就是这台虚拟机的ip了。
设置完可以用ping 172.25.70.20看通不通

如果以上操作还连不上，可能虚拟机网卡出问题了，这时就需要重新配置一块新的虚拟机网卡

网卡的设置

 brctl show    ##查看网卡是否好

 virt-manager  ##进入图形界面设置网卡

点击desktop就会出现desktop虚拟机，点击左上角的小灯泡设置。

1.sshd的相关内容

1.1 什么是sshd服务
sshd=secure shell 可以通过网络在主机中打开shell的服务
客户端可以直接通过sshd服务以服务端的一个用户身份连接服务端，连接后客户端也就变成了服务端的一个存在的用户，在客户端进行相应的操作，比如创建文件，删除文件等等。也可以通过sshd服务远程传输/下载文件等等。

要想通过sshd服务作相应操作则要先知道客户端的ip地址，用ifconfig可以查看ip

1.2 连接方式

 ssh username@ip  ##连接ip为ip的主机，身份为username（操作完之后最好用exit退出）
 ssh username@ip -X  ##连接主机打开图形管理，（骚操作：进入图形管理后，用cheese命令就可以打开这台主机的摄像头）

 注意：第一次链接陌生主机是需要建立认证文件，所以会询问是否建立，需要输入yes，再次链接此台主机时，
 因为已经生成～/.ssh/know_hosts文件所以不用再次输入yes

在server的shell中先通过ssh root@172.25.70.10连接到虚拟机desktop，输入root用户的密码，然后在desktop的桌面上创建三个文件file，haha，daociyiyou

1.3远程复制

scp file root@ip:dir  ##上传
scp root@ip：file dir  ##下载

实验：将desktop中桌面上的file文件商船到server桌面上

实验：将desktop桌面上的haha文件下载到server桌面上

2.sshd的key认证
正常来说，如果客户端知道服务端的IP地址和密码，就可以远程登陆服务端做相关操作，这其实是非常不安全的，所以要对sshd做安全设定，在做安全设定之前可以先做免密服务，然后在把密码认证给取消掉（后面会具体讲），则只有你给钥匙的主机可以免密登陆，其他人就算有密码也进不来。不是有个土味情话：想把我的id_rsa分发给你一个人，再把PasswordAuthentication设置为no，说的就是这个。

2.1 生成认证key:ssh-keygen
使用ssh-keygen命令，然后三个回车，
第一个回车：是要你写钥匙和锁的存放路径，直接回车，使用默认存放路径
第二次回车：是设置密码，直接回车不自主设置密码
第三次回车：再次输入密码，直接回车
然后就生成了钥匙和锁
如果/root/.ssh里有东西可以先把里面清空

可以把当前位置切换到/root/.ssh，然后用ls看里面是否生成id_rsa(私钥，钥匙)和id_rsa.pub（公钥，锁）

2.2 上锁
既然生成了密码和锁，当然是有用处的，先给服务端上锁：
(出现authorized_keys就表示加密成功)
ssh-copy-id -i /root/.ssh/id_rsa.pub root@172.25.70.10(我的虚拟机ip地址就是172.25.70.10，它就是服务端)


2.3 给钥匙
给服务端上锁后就可以把钥匙（id_rsa）给客户端了。
用命令行：scp /root/.ssh/id_rsa root@172.25.70.20:/root/.ssh/
客户端必须有/root/.ssh,如果没有，客户端可以使用密码方式重新连接一次服务端，系统会自动生成/root/.ssh

2.4 验证
然后在客户端连接服务端就发现不用密码就可以直接连接,
注意：服务端和客户端是俩个不同的主机，要开俩台不同的虚拟机，一个做服务端，一个做客户端。

3.sshd的安全设定

因为服务端的root权限台大，万一作出什么危险操作会带来很麻烦的后果，所以需要安全设定

3.1 常用的安全设定
所有的安全设定都在服务端做，客户端做测试

1./etc/ssh/sshd_config中第78行 ##是否允许服务端的任意一个存在的用户通过登陆系统的密码做sshd认证

注意:做测验时要每做一个都之前做的实验还原，好看实验效果
先vim /etc/ssh/sshd_config ,然后用：78，找到第78行，发现PasswordAuthentication为yes，把它改为no

-
在没重启服务时就在客户端测试ssh root@172.25.70.10,看会不会iu出现登陆密码认证，发现有，可以连接

然后重启服务systemctl restart sshd（因为修改的是sshd，所以重启sshd服务）

然后再到客户端连接测试，发现没有登陆密码认证

2./etc/ssh/sshd_config中第48行 ##是否允许客户端的root用户通过sshd服务
和上面操作思路一样，先把之前实验改的内容还原，再vim /etc/ssh/ssh_config,用：48找到PermitRootLogin yes,把之前的#去掉，再把yes改为no然后：wq退出保存，重启服务systemctl restart sshd，在到客户端连接服务端，发现不能以服务端root用户身份连接，可以以非root用户身份连接。
服务端修改：将PermitRootLogin yes之前的#去掉，再把yes改为no

客户端测试：不能以服务端root用户身份连接，可以以非root用户身份连接

3.自己在/etc/ssh/sshd_config中添加AllowUsers XXX XXX ##设定白名单，只有名单上的服务端用户身份可以用sshd服务，如果有多个人可以用空格隔开
与之前操作类似，先把之前实验改的内容还原，然后再vim /etc/ssh/ssh_config，到78行低添加白名单AllowUsers XXX XXX，然后退出保存，重启服务systemctl restart sshd，在到客户端测试，发现可以以白名单内的服务端身份连接服务端，之外的则不能连接。
服务端修改：添加白名单AllowUsers root tom

客户端测试：白名单之内的root身份可以连接，之外的student身份不能连接

4.自己在/etc/ssh/sshd_config中添加DenyUsers XXX XXX ##设定黑名单，名单上的用户不可以用sshd服务
和之前操作类似，先把之前实验修改的数据还原，在到第78行低下添加黑名单DenyUsers XXX XXX（这样写是为了规范），然后退出保存，重启服务systemctl restart sshd，在到客户端测试，发现可以以黑名单外的服务端身份连接服务端，之内的则不能连接。
服务端修改：添加黑名单DenyUsers root

客户端测试：黑名单内的root身份不能连接，之外的student身份可以连接。

4.添加sshd登陆信息

 vim /etc/motd  ##文件内容就是登陆后显示的信息

在desktop上vim /etc/motd，写上内容，再到server上链接ssh root@172.25.70.10，输入密码后就会看到之前在/etc/motd里写的内容。

5.用户的登陆审计

5.1 w
安全意识高的朋友可得好好看这一节了，这样就可以查处谁现在在使用你的系统，之前有谁谁使用过你的系统或之前有谁想登陆却没成功，都可以查出来哦。
w ##查看正在使用当前系统的用户
-f ##查看使用来源
-i ##显示ip
/var/run/utmp

5.2 last

  last   ##查看使用过并退出的用户信息
       /var/log/wtmp

5.3 lastb

 lastb   ##查看试图登陆却没成功的用户
       /var/log/btmp