一、
远程链接
需要两台虚拟机做实验(nodea、nodeb)
这里nodea作服务器、nodeb作客户端
nodea ip 172.25.254.104
ndoeb ip 172.25.254.204
ssh
通过nodeb输入ssh -l root 172.25.254.104链接访问,nodea会发出一个验证
我们会看到一串密钥,这里能在nodeb里cat etc/ssh/ssh_host_ecdsa_key.pub里看到,
只需要在nodea里
rm -rf /etc/ssh/ssh_host_*
systemctl restart sshd
再次cat就会发现内容改变,此时在nodeb里再链接就会报错,我们需要把nodeb里 vim /root/.ssh/known_hosts里内容删除,就能再次重新链接。
ssh基础操作
-l -------------------指定用户登陆用户
-i -------------------指定私钥
-X -------------------开启图形
-f -------------------后台运行
-o -------------------指定链接参数
ssh -l root 172.25.254.104 -o "StrictHostKeyChecking=no"
-t -------------------指定连接跳板
ssh -l root 172.25.254.204 -t ssh -l root 172.25.254.104
=========================================
二、
sshd key
1对称加密
加密和解密是同一串字符
2非对称加密
加密用公钥,解密用私钥,不会被盗用,攻击者无法通过无密钥方式登陆服务器
3生成非对称密钥
以nodeb链接nodea为例
nodea里:
ssh-keygen
ssh-keygen -f /root/.ssh/id_rsa -P ""
ssh-copy-id -i /root/.ssh/id_rsa.pub root@172.25.254.104
scp /root/.ssh/id_rsa root@172.25.254.204:/root/.ssh/ -----把密钥传到nodeb里
nodeb:
ssh -l root 172.25.254.104 --------------检验到进入nodea里不需要密码直接链接
=============================================
三、
安全优化参数
nodeb链接nodea
1、端口
nodea:
vim /etc/ssh/sshd_config
编辑把port 22 改为port 2222
保存退出
systemctl restart sshd
setenforce 0
systemctl stop firewalld
netstat -antlupe | grep sshd ------查看端口
nodeb:
ssh -l root 172.25.254.104 -p 2222 链接上nodea
2、限制/添加 用户
nodea:
vim /etc/ssh/sshd_config
编辑第47 行
DenyUsers 用户 ---------限制黑名单
或
AllowUsers 用户 --------用户白名单
systemctl restart sshd
nodeb:
用 更改用户通过ssh验证发现只有指定用户才能链接
================================================
四、
网桥
在真机里使用超级用户做
cd /etc/sysconfig/network-scripts/
westos-network common --------把原先搭建好的网络环境复原
vim ifcfg-enp0s25
DEVICE=enp0s25
BOOTPROTO=none
ONBOOT=yes
BRIDGE=br0
NAME=enp0s25
vim ifcfg-bro
DEVICE=br0
TYPE=Bridge
ONBOOT=yes
BOOTPROTO=none
IPADDR=172.25.254.4
PREFIX=24
NAME=br0
nmcli connection reload
nmcli connection up enp0s25
nmcli connection up br0
ifconfig
会有搭建好的网桥