2.2#Linux中的远程登陆服务-CSDN博客

一、openssh的功能

1、sshd服务的用途

#作用： 
#可以实现通过网络在远程主机中开启安全shell的操作

  Secure Shell    		ssh    		客户端
  Secure Shell daemon 		sshd		服务器

2、安装包

openssh-server

3、主配置文件

#rpm -qc 
/etc/ssh/sshd_conf

4、默认端口

5、客户端命令

ssh

二、ssh

1、常用参数：

-l ##指定登陆用户  这个用户必须是服务器上有的
-i ##指定私钥（如果客户端有很多私钥，root哦用户要登陆服务器，就用- i来指定用那个钥匙）
-X ##开启图形（即获取服务器的图形软件的打开权限）
-f ##后台运行
-o ##指定连接参数	#ssh -l root 172.25.254.111 -o “StrictHostsKeyChecking=no”
-t ##指定连接跳板	#ssh -l root 172.25.254.12 -t ssh -l root 172.25.254.111

2、实验

ssh -l root 172.25.250.131 …#主机以root身份远程开启虚拟机的shell

实验环境：
两台虚拟机westosa/b（a服务器b客户端)
重置westosa
westos a/b：
#hostnamectl set-homename xxx.westos.org	#用户重命名
#nm-connection-editor						#网络设置
#rm -rf /root/.ssh							#初始化配置文件（指纹位置：/root/.ssh/）
#init 3										#关闭图形
westos：
#ssh -l root 172.25.254.131	/231				#主机以root身份远程开启westosaaaaa的shell

在这里插入图片描述

/etc/ssh/下的文件是key文件，删掉部分后重启服务，文件重新加载，但是会出现问题

在这里插入图片描述

解决办法：将涉及到的文件的第一行删掉

在这里插入图片描述

三、sshd key认证（密钥）

1、认证类型

1)对称加密

采用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密，
这种加密方法称为对称加密，也称为单密钥加密。
	加密和解密是同一串字符
	容易泄漏
	可暴力破解
	容易遗忘

2)非对称加密

非对称加密算法需要两个密钥：公开密钥（publickey:简称公钥）和私有密钥（privatekey:简称私钥）。
公钥与私钥是一对，如果用公钥对数据进行加密，只有用对应的私钥才能解密。
因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。
	加密用公钥，解密用私钥
	不会被盗用
	攻击者无法通过无密钥方式登陆服务器

2、生成非对称加密密钥

ssh-keygen -f /root/.ssh/id_rsa -P ""	无提示创建密钥
ssh-copy-id -i /root/.ssh/id_rsa.pub root@172.25.254.231	查看密钥是否建立，使用密钥给服务器172.25.254.205加密
ssh -l root 172.25.254.231	客户端登陆服务器时直接使用密钥登陆，不需要密码验证
ssh -i id_rsa.pub -l root 172.25.254.231	当系统中密钥较多时可直接使用密钥登陆

在这里插入图片描述

3、ssh服务的安全优化（服务器中）

1)关闭原始认证：

[root@westosaaaaa ~]#rpm -qc openssh-server
/etc/pam.d/sshd
/etc/ssh/sshd_config
/etc/sysconfig/sshd
[root@westosaaaaa ~]# vim /etc/ssh/sshd_config 	
[73行左右PasswordAuthentication		#（yes能输入密码/no不能输入密码）]
[root@westosaaaaa ~]# systemctl restart sshd		#重新加载脚本
测试：
[westos@westos_student31 Desktop]$ ssh -l root 172.25.254.131
root@172.25.254.131: Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
结果：不能输入密码，关闭成功

在这里插入图片描述

2)端口：

[root@westosaaaaa ~]# setenforce 0 							#关闭enforce
[root@westosaaaaa ~]# systemctl disable --now firewalld 	#关闭火墙
[root@westosaaaaa ~]# vim /etc/ssh/sshd_config 				#改端口
17行：part 1111												#（注意：行首的#要删除）
[root@westosaaaaa ~]# systemctl restart sshd				#重新加载脚本
测试：
[westos@westos_student31 Desktop]$ ssh -l root 172.25.254.131
ssh: connect to host 172.25.254.131 port 22: Connection refused
结果：端口不能连接

在这里插入图片描述 ###### 3)是否禁止超级用户登录

vim /etc/ssh/sshd_config:PermitRootLogin no 46
[root@westosa ~]# systemctl restart sshd
在这里插入图片描述

黑白名单

白：
[root@westosaaaaa ~]# vim /etc/ssh/sshd_config
50行 Allowusers westos
[root@westosaaaaa ~]# systemctl restart sshd	重新加载脚本
测试
[westos@westos_student31 Desktop]$ ssh -l westos 172.25.254.131

在这里插入图片描述

黑名单
[root@westosaaaaa ~]# vim /etc/ssh/sshd_config
50行 	Denyusers user1
[root@westosaaaaa ~]# systemctl restart sshd	重新加载脚本
测试
[westos@westos_student31 Desktop]$ ssh -l westos 172.25.254.131

在这里插入图片描述