Openssh服务的部署及安全优化

#####1.Openssh功能介绍##############
OpenSSH是SSH(Secure SHell) 协议的免费开源软件
软件安装名称:Openssh-server
配置文件:/etc/ssh/sshd_conf
默认端口:22
客户端命令:ssh
注意:
[root@workstation Desktop]# rpm -qa | grep open ##查看是否安装软件

 

#####2.ssh命令##################
ssh remoteUSER@remoteIP
-l  指定登陆用户
[kiosk@foundation8 Desktop]$ ssh -l root 172.25.254.178
root@172.25.254.178's password:
Activate the web console with: systemctl enable --now cockpit.socket

Last login: Tue Feb  4 05:10:31 2020 from 172.25.254.8

-i  指定密钥
-x  开启图形
[root@workstation ~]# gedit     ##-l直接连接时是无法开启图形
Unable to init server: Could not connect: Connection refused

(gedit:3158): Gtk-WARNING **: 05:20:03.561: cannot open display:

[kiosk@foundation8 Desktop]$ ssh -l root 172.25.254.178 -X      ##-X连接
root@172.25.254.178's password:
Activate the web console with: systemctl enable --now cockpit.socket

Last login: Tue Feb  4 05:12:41 2020 from 172.25.254.8
/usr/bin/xauth:  file /root/.Xauthority does not exist
[root@workstation ~]# gedit     ##可调用图形

-p  指定端口
[kiosk@foundation8 Desktop]$ ssh -l root 172.25.254.178 -p 22
root@172.25.254.178's password:
Activate the web console with: systemctl enable --now cockpit.socket

Last login: Tue Feb  4 05:21:45 2020 from 172.25.254.8

-f  后台运行
[kiosk@foundation8 Desktop]$ ssh -l root 172.25.254.178 -X gedit ##占用当前终端
root@172.25.254.178's password:

[kiosk@foundation8 Desktop]$ ssh -f -l root 172.25.254.178 -X gedit     ##后台运行
root@172.25.254.178's password:

-o  指定连接参数
[kiosk@foundation8 Desktop]$ ssh -l root 172.25.254.178 -X -o RemoteCommand=gedit
root@172.25.254.178's password:

-t  指定连接跳板
ssh -t root@172.25.254.1 ssh root@172.25.254.70

注意:
[kiosk@foundation8 Desktop]$ ping 172.25.254.178        ##ping连接的网络地址
[kiosk@foundation8 Desktop]$ ssh root@172.25.254.178    ##连接主机
root@172.25.254.178's password:
Activate the web console with: systemctl enable --now cockpit.socket

Last login: Tue Feb  4 04:33:21 2020

[root@workstation Desktop]# w   ##查看主机里有哪些用户登陆
 05:15:17 up 42 min,  2 users,  load average: 0.01, 0.04, 0.00
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
root     :0       :0               04:33   ?xdm?  18.21s  0.02s /usr/libexec/gd
root     pts/2    172.25.254.8     05:12    2:36   0.02s  0.02s -bash

 

#####3.Openssh服务的key认证########

Openssh认证方式
密码认证:
1.至少6个字符
2.包含数字，字母，下划线特殊符号等
3.易泄漏
4.可被暴力破解
5.密码容易丢失
密钥认证:
1.新型认证方式，分为公钥以及私钥
2.公钥上传服务器
3.私钥配对认证，不会被盗用
4.攻击者一般无法通过密钥登陆服务器

Openssh KEY
支持rsa及dsa加密
加密方法:
生成密钥: ssh-keygen
上传密钥: ssh-copy-id-i keyfile remoteUSER@remoteIP

[root@workstation Desktop]# ssh-keygen  ##生成密钥

[root@workstation .ssh]# ssh-copy-id -i id_rsa.pub root@172.25.254.178 ##上传密码

关于Openssh的文件
~/.ssh/authorized_keys   用于保存用户公钥文件
~/.ssh/known_hosts       辨别服务器的唯一散列码
~/.ssh/id_dsa            用户的私钥文件
~/.ssh/id_rsa.pub        用户的公钥文件

 

Openssh服务的常用相关配置参数
配置文件:/etc/ssh/sshd_config
配置参数
Port 22                 ##监听端口
Protocol 2              ##指定协议版本
ListnAddress            ##绑定IP
HostKey                 ##设定HostKey密钥路径
PermitRootLogin         ##设定超级用户是否能登陆
PubkeyAuthentication    ##公钥认证开关
PasswordAuthentication  ##私钥认证开关
AllowUsers              ##用户白名单
DenyUsers               ##用户黑名单