【Linux】循序渐进学运维-服务篇-ssh配置文件详解

最新推荐文章于 2024-07-10 10:15:14 发布
最新推荐文章于 2024-07-10 10:15:14 发布
阅读量223 收藏
点赞数
分类专栏: Linux基础
原文链接:http://www.geekyunwei.com/1864.html
版权

文章目录

前言
配置文件的路径
配置文件详解

  1. 修改默认端口
  2. ListenAddress 0.0.0.0
  3. LoginGraceTime 2m
  4. PermitRootLogin yes 允许root登录
  5. PubkeyAuthentication yes 密码验证
  6. PermitEmptyPasswords no 是否允许空密码登录
  7. UsePAM yes
  8. PrintMotd yes
  9. PrintLastLog yes
  10. SyslogFacility AUTHPRIV
    重要说明
前言

上篇文章,我们一起探讨了ssh的安装及远程登录的方法,要想学好一个服务,配置文件必须要勤加研究,今天我们一起来聊聊ssh的配置文件

如果你还没有探究过ssh的基础知识,请点击链接:

【Linux】循序渐进学运维-服务篇-ssh服务入门

配置文件的路径

ssh的配置文件路径:

[root@gaosh-64 ~]# ls /etc/ssh/sshd_config 
/etc/ssh/sshd_config
配置文件详解
1. 修改默认端口
#Port 22
改为
Port 8888

修改完配置文件需要重新启动

[root@gaosh-64 ~]# systemctl restart sshd

使用nmap查看端口

在这里插入图片描述

此时如果要远程登录,需要加-p 参数

[root@gaosh-64 ~]# ssh 192.168.1.64 -p 8888   ### -p后面跟端口号
The authenticity of host '[192.168.1.64]:8888 ([192.168.1.64]:8888)' can't be established.
ECDSA key fingerprint is SHA256:dx4/4h2rPUAzmdBpIqwRt6+LM6idqWBuA7Suw4Fiu4A.
ECDSA key fingerprint is MD5:a6:e7:16:fb:0c:8d:06:63:14:62:a4:f1:c5:16:00:bc.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[192.168.1.64]:8888' (ECDSA) to the list of known hosts.
root@192.168.1.64's password: 
Last failed login: Tue Jul 14 08:52:30 CST 2020 from 192.168.1.64 on ssh:notty
There were 2 failed login attempts since the last successful login.
Last login: Mon Jul 13 23:09:06 2020 from 192.168.1.22

也可以用之前学过的netstat来查看端口号
在这里插入图片描述

2. ListenAddress 0.0.0.0

设置SSHD服务器绑定的IP 地址,0.0.0.0 表示侦听所有地址
安全建议:如果主机不需要从公网ssh访问,可以把监听地址改为内网地址
比如: ListenAddress 192.168.1.0

3. LoginGraceTime 2m

当使用者连上 SSH server 之后,会出现输入密码的画面,在该画面中在多久时间内没有成功连上SSH server 就强迫断线!若无单位则默认时间为秒!

LoginGraceTime 10   #10秒钟后断开

测试,10秒钟之后连接断开,没有在输入密码的机会。
在这里插入图片描述

4. PermitRootLogin yes 允许root登录

是否允许 root 登入,默认是允许的,但是建议设定成 no,真实的生产环境服务器,是不允许root账号直接登陆的,仅允许普通用户登录,需要用到root用户再切换到root用户。

5. PubkeyAuthentication yes 密码验证

密码验证当然是需要的!所以这里写 yes,也可以设置为no,在真实的生产服务器上,根据不同安全级别要求,有的是设置不需要密码登陆的,通过认证的秘钥来登陆。

6. PermitEmptyPasswords no 是否允许空密码登录

是否允许空密码的用户登录,默认为no,不允许空密码登录。

7. UsePAM yes

一般来说,为了要判断客户端来源是正常合法的,因此会使用 DNS 去反查客户端的主机名
不过如果是在内网互连,这项目设定为 no 会让联机速度比较快。

8. PrintMotd yes

登录后显示一些默认信息,如上次登录时间,地点,等等。 一般默认是yes
我们也可以设置打印/etc/motd里的内容

[root@gaosh-64 ~]# cat /etc/motd
你已进入监控区域,所有的操作都将作为对薄公堂的证据!

登录系统的时候,会显示/etc/motd里的内容
在这里插入图片描述

9. PrintLastLog yes

在8里面,当我们输出/etc/motd的内容的时候,他其实也默认显示上次登录信息,而这个上次登录信息就是由#PrintLastLog yes 这个参数控制, 默认为yes,如果你改为no

在这里插入图片描述
再来测试一下:
在这里插入图片描述
可以看到没有显示登录信息。

5. SyslogFacility AUTHPRIV

当有人使用 SSH 登入系统的时候,SSH 会记录信息,这个信息要记录的类型为AUTHPRIV,sshd服务日志存放在:/var/log/secure。

重要说明

  • 一般情况下,ssh配置文件默认的设置,就已经是比较严谨的SSH保护了,如非必要,不要修改默认值。最多改个端口。

  • 每次修改完之后,注意重启服务,确保修改的配置生效

极客运维之家
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux循序渐进运维-服务-SSH秘钥认证
互联网老辛
07-14 2746
大家好,我是高胜寒,本文是Linux运维-循序渐进运维-服务的第5文章 文章目录前言为什么用密钥认证秘钥认证流程秘钥生成及使用1. 交互式创建及分发秘钥a) 生成秘钥b) 分发秘钥c) 登陆测试2. 非交互式创建秘钥总结 前言 之前我们讨论了ssh的基础入门及配置文件,如果你还没有探究过ssh的基础知识,请点击链接: 【Linux循序渐进运维-服务-ssh服务入门 【Linux循序渐进运维-服务-ssh配置文件详解 今天我们着重来聊聊关于秘钥认证那点事。 为什么用密钥认证 远程登录每次都输
SSH服务的安全调优(一)
weixin_43928836的博客
06-04 2834
主要在配置文件/etc/ssh/sshd_config下修改参数 LoginGraceTime 2m //设置多少秒来进行登陆 默认2分钟、可以修改为10秒 PermitRootLogin yes //设置是否允许root远程登陆,正式环境一般不允许,仅允许普通用户登录,在切换到root、可以设置成no PermitEmptyPasswords no //默认no,不允许空密码登陆 PasswordAuthentication yes //默认yes,需要密码认证 PrintLastLog yes
LoginGraceTime参数
最新发布
weixin_53389944的博客
07-10 1012
LoginGraceTime参数用于设置用户在成功连接到OpenSSH服务器后,在身份验证之前可以花费的额外时间。这个参数允许用户在连接成功后有一定的时间来准备身份验证,而不会立即关闭连接。默认情况下,LoginGraceTime参数的值是120秒(即2分钟)。这意味着用户在连接成功后有2分钟的时间完成身份验证,否则连接将被关闭。可以根据需求进行调整,以增加或减少这段时间。注意,LoginGraceTime参数只控制用户在连接成功后可以花费的额外时间,而不是整个身份验证过程的时间。
Linux ssh服务开启秘钥和密码认证
weixin_30561425的博客
05-28 983
问题描述: 实现Linux秘钥和密码同时认证 解决方案: vim /etc/ssh/sshd_config 基本参数: PermitRootLogin yes #允许root认证登录 PasswordAuthentication yes #允许密码认证RSAAuthentication yes #秘钥认证 PubkeyAuthentication yes...
CentOS 安全配置
Jian Sun_的博客
09-23 779
CentOS 安全配置 忘记 root 密码 禁止进入单用户模式 减少开放终端个数 设置登录用户无操作超时自动退出 只允许 root登录, 禁止其他用户登录 只有wheel组的用户能切换至root用户 修改 账户 密码 系统账号管理 禁止 root 直接登录 设置 允许或禁止 登录的用户 修改系统 SSH 登录端口 设置同一个用户同时只能一个人登录 用户锁定 密码复杂度 命令设置密码有效期 密码定期修改 重设密码5次不能重复 登录错误不能超过5次, 超过5次锁定20分钟
ssh免密后仍需要输入密码 权限并非越大越好 centos7
m0_62856417的博客
11-17 1029
设置变量后,按提示使用/bin/bash# 接收要执行的命令作为函数参数# 将命令输出保存到临时文件# 读取文件内容到变量中,保留换行符local val# 删除临时文件# 将结果返回thenelseecho "无效的颜色代码: $color"fi# 函数:print_colored_text# 参数:$1为颜色代码,$2为文本内容# 颜色代码:# 0: 默认颜色(重置)# 1: 加粗# 4: 下划线# 5: 闪烁# 7: 反显# 30-37: 前景色# 30:黑色。
Linux运维习笔记之十:SSH服务
放飞的心灵-记录学习的点点滴滴
12-02 2977
第十八章 SSH服务 一、SSH服务基础 1、简介 SSH 为 Secure Shell 的缩写,由 IETF 的网络工作小组(Network Working Group)所制定;SSH 为建立在应用层和传输层基础上的安全协议。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个
linux SSH服务——运维新手
m0_64332189的博客
12-21 1159
使用client的xiaoming用户基于秘钥认证方式通过端口2000使用ssh登录server端的xiaoming用户和xiaohei用户,server端的其他用户都不可被远程登录。 分析:其实看到题目大概就能明白是先针对服务器的ssh配置文件进行修改,把端口22改为监听2000端口,然后只允许xiaoming和xiaobei两个用户被其他用户远程登录,接下来先修改ssh配置文件 1.修改ssh配置文件,添加端口2000,设置允许xiaoming和xiaobei访问 [root@se...
Linux循序渐进运维-服务-SCP命令
互联网老辛
07-14 4254
大家好,我是高胜寒,本文是Linux运维-循序渐进运维-服务的第6文章 文章目录前言scp命令的使用1. 什么是scp?2. scp的格式3. 复制本地文件到远程服务器4. 拉取远程服务器文件到本地5. 复制本地目录到远程服务器6. 拉取远程服务器的目录到本地总结 前言 我们之前过一个命令叫cp, 可以做文件的复制,但只局限在当前的服务器内进行复制,如果是跨服务器,就无法完成复制操作了。 就像一个段子说了, 你在家里ctrl+c, 到公司使用ctrl+v是无法复制粘贴的。 多台服务器之间的复制粘贴,
linux循序渐进运维-基础命令
互联网老辛
10-17 4981
文章目录线上查询及帮助命令(2个)文件和目录操作命令(18个)查看文件及内容处理命令(21个)文件压缩及解压缩命令(4个)信息显示命令(11个)搜索文件命令(4个)用户管理命令(10个)基础网络操作命令(11个)深入网络操作命令(9个)有关磁盘与文件系统的命令(16个)系统权限及用户授权相关命令(4个)查看系统用户登陆信息的命令(7个)内置命令及其它(19个)系统管理与性能监视命令(9个)关机/重...
循序渐进运维-服务V1版更新完毕
互联网老辛
08-02 4692
前言 循序渐进运维系列的基础参考: 喜大普奔:《循序渐进运维》第一阶段完稿 本次完结的是《循序渐进运维》系列的服务,本版本为V1版本,如果后续发现有遗漏的地方再补。 总计60文章,欢迎各位大佬提改进建议,也欢迎喜欢运维的同一起探讨习。 3.1 SSHD服务 企业服务器实验环境搭建详解Linux循序渐进运维-服务-telnet 常见的SSH工具介绍 SSHD基本配置 【Linux循序渐进运维-服务-ssh配置文件详解 sshd实现秘钥认证 【Linux循序渐进运维-服务
Linux中阶—远程接入ssh&sftp(八)
亓荼的博客
04-25 2602
ssh &sftp 服务配置
SSH服务
qq_45088125的博客
04-19 3346
文章目录引言一、SSH远程管理1、OpenSSH服务器1.1 SSH协议1.2 openSSH服务配置文件1.3 服务监听选项1.31 服务配置1.32 监听端口修改实验1.4 用户登录控制(安全调优)PermitEmptyPasswords no2、SSH远程登录方式2.1 两种登录方法2.2 故障集3、openssh服务包 引言 SSH 是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。SSH协议对通信双方的数据传输进行加密处理,其中包括用户登录时输入的用户口令。SSH是建立在应用层
Linux服务之远程访问及控制SSH
FYR1018的博客
03-25 3623
文章目录1 SSH远程管理1.1 ssh概念1.2 SSH优点1.3 常见的ssh协议1.4 ssh原理1.4.1 登录2. 配置OpenSSH服务端2.1 sshd服务支持登录验证方式2.1.1 密码验证2.1.2 密钥对验证2.2 密钥常用配置项2.3 使用SSH客户端程序2.3.1 SSH远程登录3 TCP Wrappers访问控制3.1 TCP Wrappers概述3.2 OTCP Wrappers访问策略 1 SSH远程管理1.1 ssh概念SSH(Secure Shell)是一种安全通道协
Ubuntu 设置 root 用户
北海刘德华的博客
01-09 225
1.设置 root 用户的密码 sudo su sudo passwd root 2.两次输入密码确认 3.修改/etc/ssh/sshd_config 文件,在如下位置加上PermitRootLogin yes #LoginGraceTime 2m #PermitRootLogin prohibit-password #StrictModes yes #MaxAuthTries...
重启sshd报错 error: Bind to port 22 on 0.0.0.0 failed: Address already in use.问题
m0_57770999的博客
05-04 5670
(1)如图所示,可以看到有人追加了已经存在的Port配置,这明显重复了。这需要去掉后面追加的。还是根据实际情况去分辨具体的问题所在,因为总会出现同一种结果,有不同的诱因。①如图,ipv4与ipv6同时去掉时,跟没去掉一样,不行,恢复原配置。(2)检查其他的都没问题,只有这个重复了,先注释掉看看效果。1、网上办法:配置文件中的IPV4、IPV6问题导致。(1)Sshd_condig文件中的配置导致的。(2)去掉注释IPV4一行,重启sshd看看效果。(3)去掉注释IPV6一行,重启sshd看看效果。
sshd_config 中文手册
第21号豆子
09-27 617
sshd_config 中文手册译者:金步国版权声明本文作者是一位自由软件爱好者,所以本文虽然不是软件,但是本着 GPL 的精神发布。任何人都可以自由使用、转载、复制和再分发,但必须保留作者署名,亦不得对声明中的任何条款作任何形式的修改,也不得附加任何其它条件。您可以自由链接、下载、传播此文档,但前提是必须保证全文完整转载,包括完整的版权信息和作译者声明。其他作品本文作
RHEL7 Linux系统详解运维入门与服务器硬件配置
首先,文章明确了Linux运维的定义,指出Linux运维工程师是一个集网络管理、系统管理、数据库管理、开发和安全维护于一体的复合型人才。他们的职责包括确保系统的稳定运行、故障排查、性能优化以及持续集成/持续交付...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值