基础知识
实施文档
实施环境
主机名称 | IP地址 |
---|---|
server | 192.168.0.74 |
client | 192.168.0.44 |
基于口令方式登录
1)客户端下载软件包
yum -y install openssh openssh-clients openssh-server
2)查看后台守护进程
systemctl is-active sshd
3)查看端口监听
netstat -lantu | grep 22
4)客户端登录服务器
ssh 登录服务器用户名@登陆服务器IP地址
ssh root@192.168.0.74
5)客户端退出登录
exit
6)来自服务器端的公钥保存文件
~/.ssh/known_hosts
基于秘钥对儿方式登录(免密登录)
1)客户端生成密钥对
ssh-keygen
密钥对默认存放位置:~/.ssh
公钥存放位置:~/.ssh/id_rsa.pub
私钥存放位置:~/.ssh/id_rsa
2)将客户端公钥上传至服务器
ssh-copy-id -i .ssh/id_rsa.pub 用户名@服务器IP
ssh-copy-id -i .ssh/id_rsa.pub root@192.168.0.74
服务器将客户端发来的公钥保存在:~/.ssh/authorized_keys
3)客户端SSH免密登录服务器
ssh 用户名@服务器IP
ssh root@192.168.0.74
4)客户端退出
exit
限制用户登录
1)服务器创建新用户
useradd dandan
passwd dandan
2)服务器删除客户端上传公钥
rm -rf authorized_keys
3)客户端普通用户上传公钥到服务器
ssh-copy-id -i .ssh/id_rsa.pub dandan@192.168.0.74
4)编辑服务器配置文件,只有被允许的普通用户(dandan)可以登录,限制其他用户均无法登录。
vim /etc/ssh/sshd_config
allowusers dandan
systemctl restart sshd
5)客户端登录服务器进行验证
ssh dandan@192.168.0.74
客户端root用户无法登录服务器,因为服务器配置文件做了限制。
ssh root@192.168.0.74
6)编辑服务器配置文件,限制普通用户(dandan)登录,其他用户均可以登录。
vim /etc/ssh/sshd_config
denyusers dandan
systemctl restart sshd
7)客户端登录服务器进行验证
ssh root@192.168.0.74
客户端dandan用户可以不可以登录服务器,因为服务器配置文件做了限制。
ssh dandan@192.168.0.74
限制用户从指定的客户端登录
1)服务器修改配置文件,只允许普通用户在指定的客户端IP地址登录,其他用户无法登录服务器。
vim /etc/ssh/sshd_config
allowusers dandan@192.168.0.44
systemctl restart sshd
2)客户端进行验证
ssh dandan@192.168.0.74
ssh root@192.168.0.74
3)服务器修改配置文件,只限制普通用户在指定的客户端IP地址登录,其他用户可以登录服务器。
vim /etc/ssh/sshd_config
denyusers dandan@192.168.0.44
systemctl restart sshd
4)客户端进行验证
ssh dandan@192.168.0.74
ssh root@192.168.0.74
5)注意事项,服务器配置文件配置。
allowusers *@客户端IP 表示允许客户端IP主机,任何泳裤都可以登录服务器。
denyusers *@客户端IP 表示客户端IP主机,任何用户都不可以登录服务器。
6)设置白名单,在服务器进行配置,只允许客户机(192.168.0.44)用户登录。
vi /etc/hosts.allow
sshd:192.168.0.44
7)设置黑名单,在服务器进行配置,禁止所有客户端进行连接服务器。
vim /etc/hosts.deny
sshd:ALL
8)服务器进行配置,注释上一步实验成果,重启服务。
vi /etc/ssh/sshd_config
#denyusers dandan@192.168.0.44
systemctl restart sshd
9)客户端进行验证
ssh root@192.168.0.74
ssh dandan@192.168.0.74