openssh搭建说明

已于 2023-04-24 09:20:54 修改
阅读量273 收藏
点赞数
文章标签: 云计算 docker linux openvino
于 2023-04-23 10:35:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45422660/article/details/130315885
版权

        某项目因开发测试环境本地联调需要,在10.80.178.160这台ECS搭建了openssh用于本地连接开发测试环境的dubbo

一、工具包下载

##这里直接使用yum安装openvpn
[root@openvpn ~]# yum install -y openvpn
Loaded plugins: fastestmirror
Determining fastest mirrors
...
##安装easy-rsa
[root@openvpn tools]# wget https://github.com/OpenVPN/easy-rsa/archive/master.zip
[root@openvpn tools]# unzip master.zip
[root@openvpn tools]# ls
easy-rsa-master  master.zip
[root@openvpn tools]# mv easy-rsa-master easy-rsa
[root@openvpn tools]# cp -R easy-rsa /etc/openvpn
[root@openvpn tools]# cd /etc/openvpn/easy-rsa/easyrsa3
##准备生成证书,对vars文件做出以下修改,都是自定义,没有特殊要求
[root@openvpn easyrsa3]# mv vars.example vars
[root@openvpn easyrsa3]# vim vars
[root@openvpn easyrsa3]# cat vars | grep -Ev "^#|^$" | grep set_var
set_var EASYRSA_REQ_COUNTRY    "CN"
set_var EASYRSA_REQ_PROVINCE    "ZheJiang"
set_var EASYRSA_REQ_CITY    "HangZhou"
set_var EASYRSA_REQ_ORG    "alibaba"
set_var EASYRSA_REQ_EMAIL    "jackma@alibaba.com"
set_var EASYRSA_REQ_OU        "pinming"

二、easyrsa证书配置

[root@openvpn easyrsa3]# pwd
/etc/openvpn/easy-rsa/easyrsa3
##初始化pki文件
[root@openvpn easyrsa3]# ./easyrsa init-pki
##创建服务端CA证书,输入两遍CA密码,common name可回车不填,使用默认

[root@openvpn easyrsa3]# ./easyrsa build-ca
###创建服务端证书,common name可回车不填
[root@openvpn easyrsa3]# ./easyrsa gen-req server nopass
##签约服务端证书,输入之前正确的CA密码
[root@openvpn easyrsa3]# ./easyrsa sign server server
##创建数据穿越密钥
[root@openvpn easyrsa3]# ./easyrsa gen-dh

三、openvn服务端配置

[root@openvpn easyrsa3]# pwd
/etc/openvpn/easy-rsa/easyrsa3
[root@openvpn easyrsa3]# cd /etc/openvpn/easy-rsa/easyrsa3/pki/
###将服务端要用到的证书、密钥都放到指定目录下
[root@openvpn pki]# cp ca.crt /etc/openvpn/server/

[root@openvpn pki]# cp private/server.key /etc/openvpn/server/
[root@openvpn pki]# cp issued/server.crt /etc/openvpn/server/
[root@openvpn pki]# cp dh.pem /etc/openvpn/server/
###创建密码脚本
[root@openvpn pki]# cd /etc/openvpn
[root@openvpn openvpn]# vim checkpsw.sh
###内容如下,现在直接从公网wget不了了,需要复制以下内容
#!/bin/sh
###########################################################
# checkpsw.sh (C) 2004 Mathias Sundman
#
# This script will authenticate OpenVPN users against
# a plain text file. The passfile should simply contain
# one row per user with the username first followed by
# one or more space(s) or tab(s) and then the password.
PASSFILE="/etc/openvpn/psw-file"
LOG_FILE="/etc/openvpn/openvpn-password.log"
TIME_STAMP=`date "+%Y-%m-%d %T"`
###########################################################
if [ ! -r "${PASSFILE}" ]; then
  echo "${TIME_STAMP}: Could not open password file \"${PASSFILE}\" for reading." >> ${LOG_FILE}
  exit 1
fi
CORRECT_PASSWORD=`awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}' ${PASSFILE}`
if [ "${CORRECT_PASSWORD}" = "" ]; then
  echo "${TIME_STAMP}: User does not exist: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}
  exit 1
fi
if [ "${password}" = "${CORRECT_PASSWORD}" ]; then
  echo "${TIME_STAMP}: Successful authentication: username=\"${username}\"." >> ${LOG_FILE}
  exit 0
fi
echo "${TIME_STAMP}: Incorrect password: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}
exit 1

 ##创建密码文件,这里账号密码为明文,必须修改权限
[root@openvpn openvpn]# vim psw-file

###明文账号密码
 wanghaibo XXXXXX
 ...
####修改服务端配置文件
[root@openvpn openvpn]# vim server.conf
###定义服务端端口
port 55555
proto tcp
dev tun
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/server.crt
key /etc/openvpn/server/server.key
dh /etc/openvpn/server/dh.pem
###定义连上VPN之后可以获取的网段IP,搞个特殊的
server 10.250.248.0 255.255.252.0
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
max-clients 500
status  openvpn-status.log
verb 3
###定义客户端连接VPN之后,本地会增加的路由,有以下路由连上服务端之后才能通VPN服务端的内网
push "route 10.250.248.0 255.255.252.0"
push "route 10.70.0.0 255.255.0.0"
push "route 172.30.0.0 255.255.0.0"
log /var/log/openvpn.log
script-security 3
###有以下几行才能用账号密码连接
auth-user-pass-verify /etc/openvpn/checkpsw.sh via-env
client-cert-not-required
username-as-common-name

[root@openvpn openvpn]# chmod +x /etc/openvpn/checkpsw.sh
[root@openvpn openvpn]# chmod 400 /etc/openvpn/psw-file
[root@openvpn openvpn]# chown nobody.nobody /etc/openvpn/psw-file
###将服务端设置成开机自启
[root@openvpn ~]# systemctl start openvpn@server
[root@openvpn ~]# systemctl enable openvpn@server
Created symlink from /etc/systemd/system/multi-user.target.wants/openvpn@server.service to /usr/lib/systemd/system/openvpn@.service.
[root@openvpn ~]# systemctl status openvpn@server
● openvpn@server.service - OpenVPN Robust And Highly Flexible Tunneling Application On server
   Loaded: loaded (/usr/lib/systemd/system/openvpn@.service; enabled; vendor preset: disabled)
   Active: active (running) since Sun 2022-11-13 19:59:26 CST; 11s ago
 Main PID: 12240 (openvpn)
   Status: "Initialization Sequence Completed"
   CGroup: /system.slice/system-openvpn.slice/openvpn@server.service
           └─12240 /usr/sbin/openvpn --cd /etc/openvpn/ --config server.conf

Nov 13 19:59:26 openvpn systemd[1]: Starting OpenVPN Robust And Highly Flexible Tunneling Application On server...
Nov 13 19:59:26 openvpn systemd[1]: Started OpenVPN Robust And Highly Flexible Tunneling Application On server.

四、服务端防火墙配置


##把防火墙的nat转发策略开起来
[root@openvpn openvpn]# echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.d/99-sysctl.conf
[root@openvpn openvpn]# sysctl -p
net.ipv4.ip_forward = 1
##停用firewalld,使用iptables管理
[root@openvpn openvpn]# systemctl stop firewalld
[root@openvpn openvpn]# systemctl disable firewalld
[root@openvpn openvpn]# yum install iptables-services -y

[root@openvpn openvpn]# systemctl enable iptables
Created symlink from /etc/systemd/system/basic.target.wants/iptables.service to /usr/lib/systemd/system/iptables.service.
[root@openvpn openvpn]# systemctl start iptables
###把这两条策略删掉
[root@openvpn openvpn]# vim /etc/sysconfig/iptables
...
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
...
[root@openvpn openvpn]# systemctl restart iptables
####放行openvpn的55555端口,最终这个端口需通过SLB映射到公网
[root@openvpn openvpn]# iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 55555 -j ACCEPT
####对来自客户端的流量转发到本机端口,用于服务端局域网通信,这里IP网段不能写错了
[root@openvpn openvpn]# iptables -t nat -A POSTROUTING -s 10.250.248.0/22 -o eth0 -j MASQUERADE
####一定记得要保存,而且保存这一步要后面做,避免前面修改了配置文件,这里save又覆盖掉了
[root@openvpn openvpn]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]

五、用户管理

###openvpn在服务器上使用明文管理用户名密码,如后续需要增加用户名密码,可以明文增加,格式如下
[root@zhgd-jenkins openvpn]# cat /etc/openvpn/psw-file 
###品茗-运维人员
wanghaibo XXXXXX
wuhaozhen XXXXXX
###研究院-自有项目组
liyunyao XXXXXX

六、客户端连接

###客户端需要先自行下载openvpn,使用配置文件如下
client
dev tun
proto tcp
remote 47.112.148.31 55555 
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
verb 3
auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</ca>

七、dubbo反向调用配置

        连接openvpn后,如果本地起的应用dubbo接口,有被注册在zookeeper上的其它应用调用需求,则需要按照以下方法完成配置。

        VN启动后,鼠标悬停客户端图标查看连接获取的IP,如图例如获取到的客户端IP为10.250.248.6

 修改本地使用的配置文件,增加以下配置项:

dubbo.protocol.host=10.250.248.6

即可以实现本地接口被注册在zookeeper上的其它应用调用。 

八、openvn安全性加固

可以限制VPN联通之后能通的机器或网段

 通过增加openvn端口连接的白名单,让指定的参建单位能联通VPN

         强密码策略控制,配置文件控制可见范围等,通过配置文件+账密+白名单+限制网段多因子策略保障VPN联通的安全性。

宸..
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
linux升级openSSH详细步骤说明
10-27
linux升级openSSH详细步骤说明,CentOS7 openssh升级到8.8p1,修复漏洞。
升级openssh到8.3
06-29
升级openssh到8.3
OpenSSH9.5p1
11-12
OpenSSL3.0.12
openssh离线升级8.8
03-08
openssh离线升级8.8
Loaded plugins: fastestmirror Determining fastest mirrors
lazy_cat_go的博客
05-08 1214
在进行yum 安装的时候。报错了。 Loaded plugins: fastestmirror Determining fastest mirrors . . . . Nothing to do fastestmirror是yum的一个加速插件,这里是插件提示信息是插件不能用了。 既然提示不能用了。那就禁用掉 一共需要修改两个地方 /etc 存放系统管理和配置文件 1 修改插件的配置文件 vi ...
OpenV$P$N配置后启动服务发生错误排错
热门推荐
SunMy的博客
05-11 3万+
脚本写完测试时发现客户端无法连接OpenVPPPN服务器 查看发现服务没有启动 启动服务时报错 [root@C8-194 ~]# cat > /usr/lib/systemd/system/open[email protected] << SUN > [Unit] > Description=OpenVPN Robust And Highly Flexible Tunneling Application On %I > After=network.target > [Se.
记录在Centos8上安装OpenVPN的经历,以及无法解决的问题
红烧栗子黄瓜鱼的博客
06-19 4617
部署个vpn试试看。可惜最后遇到了一个暂时无法解决的问题。在此写篇文章记录下,如果有人看到的话有什么好的解决办法可以一起探讨下。
Linuxopen虚拟专业网安装部署
月生的静心苑
12-22 2493
一、安装openvpn服务 二、证书制作 三、客户端安装及使用 四、QA
CentOS 搭建 OpenVPN 服务
u010230019的博客
10-11 3416
VPN就是虚拟专用通道,是提供给企业之间或者公司个人与公司之间安全数据传输的隧道,OpenVPN是Linux下开源VPN的先锋,提供了良好的性能和友好的用户GUI(图形用户界面)。本篇文章包含OpenVPN应用场景,OpenVPN服务端搭建OpenVPN客户端搭建(windows+linux),OpenVPN密码认证!Server / Client 服务器端程序Easyrsa 证书生成程序Server端配置文件Client 端配置文件。
openssh相关源码
09-12
包含了zlib-1.2.2.tar.gz,openssl-1.1.1k.tar.gz,openssh-8.5p1.tar.gz源码,用于交叉编译ssh服务器(openssh),用于远程登陆开发板
openssh9.6p1
03-06
openssh9.6p1
Windows下安装openSSH
SmileSunshines的博客
08-09 1321
windows下安装openSSH
使用ssh连接github——git学习之路(二)
leedcanDD的博客
02-28 1360
本文介绍了ssh及其基本的用法,在学习git以及github的过程中,必然会接触很多辅助工具,我们只需在实践中学习必要的那一部分即可。了解了ssh的功能和基本原理会使用ssh-keygen生成自己的密钥对,并添加到自己的github个人账户上会使用ssh连接到远程主机能够开启ssh-agent认证代理,添加自己密钥的密码,实现客户端身份自动认证。
安装openvpn出现这个问题,请问怎么解决呢
lovelinkk的博客
08-12 5870
解决YUM下Loaded plugins: fastestmirror Determining fastest mirrors 的问题 和Could not retrieve mirrorlist
totxian的专栏
04-22 1万+
1、Loaded plugins: fastestmirror Determining fastest mirrors 其大概意思是fastestmirror不能使用,fastestmirror是yum的一个加速插件,具体我也没有仔细了解过,可能是系统不支持或者缺少组建导致的。处理办法就是禁用这个插件,方法如下: [email protected]]# vi  /etc/yu
使用yum命令安装服务时,一直卡在Loaded plugins: fastestmirror Determining fastest mirrors
北辰
05-31 3957
问题描述:使用yum install git命令安装Git时出现Loaded plugins: fastestmirror Determining fastest mirrors,并且一直卡在这个地方,很长时间没有变化,后续等了很长时间跳过了这个地方,又继续安装服务。 解决办法:fastestmirror是yum的一个加速插件,若一直停留在这个地方说明加速插件有问题,处理办法就是禁用这个插件。 ...
java基于云计算的SaaS医院his信息系统源码 HIS云平台源码
最新发布
源码技术栈的博客
05-04 666
单据管理、单据查询、单据统计、收费查询、收费统计报表、收费明细报表、门诊收入汇总、住院收入汇总、缴款日报查询、门诊收费汇总、住院科室日志、住院患者结算汇总、收预交款明细、医保月报。入院登记、预缴金、出院结算、住院查询、住院退费、床位管理、结算报表、住院清单、住院结算查询、医保数据上传、住院冲正交易、双向转诊。发药、退药、发(退)药查询、住院发药、住院处方汇总、入库、调拨、盘点、药品拆分、住院退药审核、药品控制、药品信息、出库。经营统计、业绩统计、患者统计、进销存统计、医务统计、项目统计。
linux 搭建openssh
12-12
以下是在Linux搭建OpenSSH的步骤: 1.安装OpenSSH软件包 ```shell sudo apt-get install openssh-server ``` 2.启动OpenSSH服务 ```shell sudo service ssh start ``` 3.检查OpenSSH服务是否正在运行 ```shell sudo service ssh status ``` 4.创建普通用户 ```shell sudo useradd username ``` 5.为用户设置密码 ```shell sudo passwd username ``` 6.生成SSH密钥对 ```shell ssh-keygen -t rsa ``` 7.将公钥拷贝到目标主机 ```shell ssh-copy-id username@remote_host ``` 8.修改sshd_config文件 ```shell sudo nano /etc/ssh/sshd_config ``` 9.重启OpenSSH服务 ```shell sudo service ssh restart ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值