一、什么是SSH?
(1)SSH 是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。SSH 协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令。
(2)其配置文件位于: /etc/ssh/sshd_config 目录下,可以通过调整相关的配置项,可以进一步提高sshd远程登录的安全性。
(3)sshd 服务使用的默认的端口号为22,但是这个不是固定的,我们可以修改端口号,在现实工作中,建议修改端口号,并指定监听服务的具体IP地址,以提高在网络中的隐蔽性。
例如,我们想登录主机ip地址为192.168.220.129,也是用root用户验证,执行以下操作即可:
二、用户登录控制:
sshd 服务默认允许 root用户登录,但是root具有最高管理权,在现实工作当中是非常不安全的行为,普遍做法是,先以普通用户远程登入,进入shell环境后,根据自己需求,用su 命令切换root用户。
(1)关于sshd 服务的用户登录控制,通常会禁止root 用户或者密码为空的用户登录,另外还可以限制登录的验证时间(默认为2分钟),及最大重试次数,超出后未登录成功会断开连接。
注意:默认尝试最大的登录次数是3次,如果我们去掉MaxAuthTries 前面的#符号,就代表开启,但是远程登录还是不能尝试6次,只能登3次,我们只需要输入以下命令即可:
ssh -o NumberOfPasswordPrompts=n(n代表次数,只要比文件中的最大尝试次数大就可以了) 用户名@IP地址
(2)如果只允许或者禁止特定用户登录时,可以使用AllowUsers(仅允许,“白名单”);DenyUsers(仅禁止,“黑名单”)配置,两者的用法类似,但是二者不可同时使用。
1、例如,现有一台服务器,只允许zhangsan 和 lisi 用户登录,且 lisi用户只能从IP地址为192.168.220.131的主机远程登录;只需要在 /etc/ssh/sshd_config文件中,添加即可,保存退出后,记得要重启一下sshd服务。
2、如果我们想禁止某一个特定用户登录可以执行DenyUsers
三、登录验证方式 ----- 密码验证、密钥对验证
对于服务器的远程管理,除了用户账号的安全控制以外,登录验证的方式也非常重要,sshd 服务支持有两种验证方式 密码验证和密钥对验证,可以设置其中的一种,也可以同时都使用,同时使用时会优先使用密钥对验证。
1、密码验证:
就是我们平常使用最多的一种,使用用户名和密码登录,但是这种方式可能会遭遇暴力破解,防御能力较弱。
2、密钥对验证:
要求提供相匹配的密钥信息才能通过验证,通常先在客户机中创建一对密钥文件(私钥和公钥),然后将公钥文件放到服务器中的指定位置。远程登录时,系统将使用公钥、私钥进行加密/解密关联验证,会大大增强远程管理的安全性。
- 公钥(Public Key)和私钥(Private Key),互不相同,可以相互加密和解密;
- 不能根据一个密钥来推算出另一个密钥;
- 公钥对外公开,但是私钥只有持有人才知道。
公钥和私钥要配对使用,如果使用公钥对数据进行加密,只有用相对应的私钥才能解密;如果使用私钥对数据进行加密时,那么只有用对应的公钥才能解密。
322
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
