1. openssh-server的功能


  让远程主机可以通过网络访问sshd服务,开始一个安全shell


2.客户端连接方式


ssh 远程主机用户@远程主机ip


[root@desktop0 ~]#  ssh root@172.25.12.10


ssh 远程主机用户@远程主机ip -X                    调用远程主机图形工具


ssh     远程主机用户@远程主机ip  command   直接在远程主机运行某条命令



wKioL1nliF_ha94zAAQ4jW3U_Gs703.png-wh_50



wKiom1nlizDzZOlyAAJbeX8OcTU321.png-wh_50


wKioL1nliI-BIWtvAAJMMx69nPI898.png-wh_50

3.sshkey加密


1)生成公钥私钥


[root@server0 ~]# ssh-keygen        生成公钥私钥工具


wKiom1nl7hqxPtiQAAJBz6dv2KU559.png-wh_50


[root@server0 ~]# ls /root/.ssh/


id_rsa       id_rsa.pub


id_rsa  私钥,就是钥匙


id_rsa.pub 公钥,就是锁


2)添加key认证方式


[root@server0 ~]# ssh-copy-id -i /root/.ssh/id_rsa.pub  root@172.25.0.10
ssh-copy-id


-i                                    指定加密key文件


/root/.ssh/id_rsa.pub     加密key


root                                加密用户为root


172.25.0.10                     被加密主机ip


wKiom1nli1jAQRJGAAJwEaBwRnE756.png-wh_50

3)分发钥匙给client主机


[root@server0 ~]# scp /root/.ssh/id_rsa root@172.25.0.10:/root/.ssh/


4)测试


[root@desktop0 ~]# ssh root@172.25.0.11   通过id_rsa直接连接不需要输入用户密码


4.提升openssh的安全级别


1)openssh-server配置文件


 vim  /etc/ssh/sshd_config


PasswordAuthentication yes|no            是否开启用户密码认证,yes为支持no为关闭


PermitRootLogin yes|no                       是否允许超级用户登陆


AllowUsers student westos                  用户白名单,只有在名单中出现的用户可以使用sshd建立shell


DenyUsers westos                                用户黑名单


wKiom1nli23CHPO3AAMFF3hcLrY322.png-wh_50

2)控制ssh客户端访问


vim /etc/hosts.deny


sshd:ALL                                                        拒绝所有人链接sshd服务


vim /etc/hosts.allow


sshd:172.25.254.250                                     允许250主机链接sshd


sshd:172.25.254.250, 172.25.254.180         允许250和180链接


sshd:ALL EXCEPT 172.25.254.200                  只不允许200链接sshd


wKioL1nliSrDI34iAAMDz5OVHhg837.png-wh_50