Openssh的功能
1.实验环境
客户端 ip :172.25.254.40
服务端 ip :172.25.254.110
2.sshd服务
- Secure SHell daemon -----> sshd -----> 服务端
(1)作用:实现通过网络在远程主机中开启安全shell的操作
(2)安装包: openssh-server(若无法ssh命令,可安装)
(3)主配置文件: / etc / ssh / sshd_conf
(4) 默认端口: 22
设置网桥:
ip设置:nm-connection-editor
查看ip:ifconfig
3.ssh服务
- Secure SHell -----> ssh -----> 客户端
-
基本用法 :
shh -l username 远程主机ip -p 端口号(默认22可不写)-X
shh username@远程主机ip -p 端口号 -X -
重启sshd服务命令: systemctl restart sshd
-
ssh常用参数
选项 | 功能 |
---|---|
-l | 指定登陆用户 |
-i | 指定私钥 |
-x | 开启图形 |
-f | 后台运行 |
-o | 指定连接参数 |
ssh -l root 172.25.254.x -o “StrictHostKeyChecking=no” | |
-t | 指定连接跳板 |
ssh -l root 172.25.254.1 -t ssh -l root 172.25.254.110 |
Openssh key登陆
- 对称加密 :用户密码认证
加密和解谜是同一串字符
容易泄密,可暴力破解,容易遗忘 - 非对称加密 : 秘钥认证
加密用公钥,解密用私钥
不会被盗用
攻击者无法通过无密钥方式登陆服务器
- key认证登陆
1.新建用户
key验证登陆:
连接因认证问题被拒绝时:
解决方案:vim /home/lyx/.ssh/know_hosts 在此文件中根据提示删除第一行的内容 - - - > :wq退出保存即可
- 免密登陆
生成公钥和私钥
上传公钥,加密远程主机
登陆测试:
Openssh的安全优化
1.更改端口号:默认22
ss -anutlpe | grep sshd命令:
a | 所有all |
---|---|
l | 活跃的 |
p | 开启端口的程序名称 |
n | 不做解析 |
t | tcp协议 |
u | udp协议 |
e | 显示完全信息 |
编辑 vim /etc/ssh/sshd_config下的内容:
注意:若检查getenforce是开启状态
----->则vim /etc/selinux/config
---->更改第7行为:SELINUX=disabled
---->reboot重启
2.PermitRootLogin yes | no : 对超级用户登陆是否禁止
编辑:vim /etc/ssh/sshd_config文件
3.PasswordAuthentication yes | no : 是否开启原始密码认证方式(关闭密码登录,只能用key登录)
编辑:vim /etc/ssh/sshd_config文件
4.AllowUsers lee 用户白名单( 除了白名单里的用户,包括root不能登录)
编辑:vim /etc/ssh/sshd_config文件
5.DneyUsers lee 用户黑名单
编辑:vim /etc/ssh/sshd_config文件