一、SSH远程管理
(一)概述
SSH
▶SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。
▶SSH协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令。因此SSH协议具有很好的安全性。
▶SSH客户端与SSH服务端间:数据传输是加密的,可以防止信息泄漏;数据传输是压缩的,可以提高传输速度
▶SSH客户端: Putty、 Xshell、 CRT
▶SSH服务端: OpenSSH
OpenSSH
▶OpenSSH是实现SSH协议的开源软件项目,适用于各种UNIX、 Linux 操作系统。
▶ Centos 7系统默认已安装openssh相关软件包,并已将sshd 服务添加为开机自启动。
▶ 执行"systemctl start sshd"命令 即可启动sshd 服务
▶ sshd服务默认使用的是TCP的22端口
▶sshd服务的默认配置文件是/etc/ ssh/sshd_ config
▶ssh_ config和sshd_ conf ig都是ssh服务器的配置文件,二者区别在于前者是针对客户端的配置文件,后者则是针对服务端的配置文件
(二)配置OpenSSH服务端
vim /etc/ssh/sshd_config
Port 22 #监听端口为22
ListenAddress 0.0.0.0 #监听地址为任意网段,也可以指定OpenSSH服务器的具体IP
LoginGraceTime 2m #登录验证时间为2分钟
PermitRootLogin no #禁止root用户登录
MaxAuthTries 6 #最大重试次数为 6
PermitEmptyPasswords no #禁止空密码用户登录
UseDNS no #禁用 DNS 反向解析,以提高服务器的响应速度
#只允许zhangsan、lisi、wangwu用户登录,且其中wangwu用户仅能够从IP地址为61.23.24.25 的主机远程登录
AllowUsers zhangsan lisi wangwu@61.23.24.25 #多个用户以空格分隔
#禁止某些用户登录,用法于AllowUsers 类似(注意不要同时使用)
DenyUsers zhangsan
(三)SSHD服务支持两种验证方式
1、密码验证
对服务器中本地系统用户的登录名称、密码进行验证。简便,但可能会被暴力破解,暴力破解可看之前博客有详细描述系统弱口令检测
2、密钥对验证
要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一对密钥文件(公钥、私钥),然后将公钥文件放到服务器中的指定位置。远程登录时,系统将使用公钥、私钥进行加密/解密关联验证。能增强安全性,且可以免交互登录。
当密码验证、密钥对验证都启用时,服务器将优先使用密钥对验证。可根据实际情况设置验证方式。
vim /etc/ssh/sshd_config #编辑服务端主配置文件
PasswordAuthentication yes #启用密码验证
PubkeyAuthentication yes #启用密钥对验证
AuthorizedKeysFile .ssh