1.Openssh的功能
作用:可以实现通过网络在远程主机中开启安全shell的操作。
安装包:openssh-server
主配置文件:、etc/ssh/sshd_conf
默认端口(port):22
客户端命令:ssh
1.ssh基本用法:
ssh -l root 172.25.254.103 ##通过ssh命令在105主机中以root身份开启远程shell
#当连接因为认证问题被拒绝时解决方案#
vim ~/.ssh/know_hosts ##在此文件中删除报错提示相应的行即可
#ssh 常用参数
-l #指定登陆用户
-i #指定私钥
-X #开启图形
-f #后台运行
-o #指定连接参数 ssh -l root@172.25.254.x -o "StrictHostKeyChecking=no" 首次连接不许要输入yes
-t #指定连接跳板 #ssh -l root 172.25.254.1 -t ssh -l root 172.25.254.105
2.sshd key认证
1.对称加密:加密和解密是同一串字符,容易泄漏,可暴力破解,容易遗忘。
2.非对称加密:加密用公钥,解密用私钥,不会被盗用,攻击者无法通过无密钥方式登陆服务器。
ssh-keygen -f /root/.ssh/id_rsa -P #-f表示保存加密文件,-p表示生成密码
对服务器加密:
ssh-copy-id -i /root/.ssh/id_rsa.pub #用户root@172.25.254.103
需输入密码:
ssh -i /root/.ssh/id_rsa -l root 172.25.254.103 #登录普通用户不需要输入密码
3.安全优化:
vim /etc/ssh/sshd_config
1.关闭原始的key认证
73行 PasswordAuthentication yes ---> no 更改可以使用密码连接
setenforce 0
systemctl disable --now filewalld 关掉火墙
每次改完文件要执行 systemctl restart sshd重启服务
2.更改默认端口
vim /etc/ssh/sshd_config
17行 port 22 ----> 2021
测试加 -p 端口数字 指定端口
3.用户的黑白名单
vim /etc/ssh/sshd_config
50行
AllowUsers westos root #白名单,可登录
DenyUsers westos #黑名单,不可登录
行首加#则被注释掉,不生效