Linux系统远程登陆服务的安全优化

最新推荐文章于 2024-07-19 22:29:07 发布
最新推荐文章于 2024-07-19 22:29:07 发布
阅读量114 收藏
点赞数
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_61165327/article/details/131368580
版权

1.实验环境的部署

需要准备两台主机

设定网络

2.sshd服务对于企业的重要意义 

sshd服务全称Openssh

可以实现通过网络在远程主机中开启安全shell的操作

足不出户就可以对服务器进行维护

Secure SHell                              =====>ssh        ##客户端

Secure SHell daemon                =====>sshd      ##服务端

 

3.sshd服务的基本信息介绍

#安装包

openssh-server

#主配置文件

/etc/ssh/sshd_config

#默认端口

22

netstat -antlupe

ss -antlupe

#查看端口命令

#客户端命令

ssh

4.sshd服务的客户端使用

1)基本用法

ssh   [-l 远程主机用户]  <ip|hostname>

ssh -l root 192.168.123.222

#通过ssh命令在222主机中以root用户身份开启远程shell

[root@localhost Desktop]# ssh -l root 192.168.123.222
The authenticity of host '192.168.123.222 (192.168.123.222)' can't be established.
ECDSA key fingerprint is SHA256:fLgVcaDw2TP0qFF5xuh3doqPoESEQcROip+xYS0I0Fw.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes

#身份证明生成过程

#作用

当输入<yes>后

222主机会向当前主机发送身份公钥,并保存此公钥到~/.ssh/know_hosts

222主机持有私钥当客户主机再次连接时会对客户主机进行身份验证

如果身份改变拒绝连接效果如下:

#当连接因为认证问题被拒绝时解决方案

vim ~/.ssh/know_hosts

#在此文件中删除报错提示相应的行即可

-l            #指定登陆用户
-i            #指定私钥
-X            #开启图形
-f            #后台运行
-o            #指定连接参数
# ssh -l root@192.168.123.222 -o "StrictHostKeyChecking=no" 首次连接必须要输入yes
-t            #指定连接跳板
# ssh -l root 172.25.254.1(中继主机) -t ssh -l root 172.25.254.105

 

 

 -o

5.sshd服务的key认证

1)认证类型:

#对称加密

安全性差

加密和解密是同一串字符

容易泄露

可暴力破解

容易遗忘

#非对称加密

加密用公钥,解密用私钥

不会被盗用

攻击者无法通过无密钥方式登录服务器

2)生成非对称加密密钥:

#方法一:

在服务器中:

ssh - keygen
Generating public / private rsa key pair.
Enter file in which to save the key ( / root / .ssh / id_rsa) :
## 输入保存密钥文件
Enter passphrase (empty for no passphrase) :
##密钥密码
Enter same passphrase again :
##确认密码
Your identification has been saved in / root / .ssh / id_rsa.
## 私钥
Your public key has been saved in / root / .ssh / id_rsa.pub.
## 公钥
The key fingerprint is :
SHA256 : OZVOK9g6NyZsaUIfbZMrfAGB31GQsJ3FyviO4 / psVSg root @localhost .localdomain
The key ' s randomart image is :

#方法二:

非交互式生成

ssh-keygen -f ~/.ssh/id_rsa -P ""

3)对服务器加密

ssh-copy-id -f /root/.ssh/id_rsa.pub username@serverip

#给谁上锁谁就有新的认证

6.sshd服务的安全优化

在测试主机中

systemctl disable --now firewalld

#关闭火墙

setenforce 0

#关闭SElinux

Port 2222

#设定端口为2222

PermitRootLogin yes|no

#对超级用户登录是否禁止

vim /etc/ssh/sshd_config

#编辑主配置文件

systemctl restart sshd

#重启服务

ALLowUsers user

#用户白名单

DenyUsers user

#用户黑名单

#无名单时默认所有用户都可使用

PasswordAuthentication yes|no

#是否开启原始密码认证方式

systemctl restart sshd重启服务

 

Ethereal64
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Linux系统管理(二)远程登录服务ssh的安全优化
weixin_43982696的博客
06-19 275
当有主机想要连接server时,server首先将公钥推送给client,当client再次连接server时,server首先会通过私钥验证client的公钥是否能配对,能配对就代表本次连接server和上次连接server的是同一台主机,server会允许连接,若不匹配则server会拒绝连接。因此在企业中具有重要意义,可以快速对服务器进行维护。假如server中的公钥文件或私钥文件丢失,重启sshd服务即可重新生成,但新生成的key会变化,此时client的key将与server不再配对。
Linux系统使用RSA密钥登录远程服务器.pdf
09-09
Linux系统中,使用RSA密钥...通过以上步骤,你可以实现Linux系统使用RSA密钥登录远程服务器,大大提高了远程访问的安全性和便利性。在实际工作中,了解和掌握这种认证方式对于提升工作效率和保障系统安全都至关重要。
Linux ssh安全优化
weixin_44758134的博客
05-19 143
Linux中的ssh服务安全优化
因为觉得还太菜所以暂时不更新
10-14 233
1、设置密钥认证 在被访问端: 命令 功能 ssh-keygen 创建一个默认名称和地址的密钥,密钥生成是随机的 ls /root/.ssh/ 查看生成的私钥id_rsa和公钥id_rsa.pub ssh-copy-id -i /root/.ssh/id_rsa.pub root@172.25.254.110 将密钥与登录该ip对应起来 ls /root/.ssh/ 若...
Linux的ssh安全优化及自动化批量管理
yaodunlin的博客
02-26 1万+
存放路径 vim /etc/ssh/sshd_config 修改参数 Port xx #端口 ListenAddress x.x.x.x:x # 监听的地址 PermitRootLogin no # root连接 PermitEmptyPasswords no #空密码登陆 相信很...
linux服务器远程控制安全配置
m0_71158138的博客
03-04 1390
上面的错误意思是在/lib64/security/ 下面找不到pam_tally.so,而我进入到目录下,确实没找到这个文件,解决方法是将现有的 pam_tally2.so做个软连接到pam_tally.so。注:用户锁定期间,无论在输入正确还是错误的密码,都将视为错误密码,并以最后一次登录为锁定起始时间,若果用户解锁后输入密码的第一次依然为错误密码,则再次重新锁定。1. 备份文件 cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak。
Linux系统安装后的基本优化安全设置.pdf
01-11
Linux系统安装后,为了提升系统性能并确保安全性,通常需要进行一些基本的优化安全设置。本文主要讨论了两个关键的方面:关闭SELinux功能和精简系统开机启动项。 首先,让我们详细了解一下如何关闭SELinux。...
linux系统优化重点简单总结
07-09
Linux 系统优化需要从多个方面入手,包括关闭 SELinux、修改系统的运行级别、添加普通用户和sudo提权管理、SSHD 基本安全配置、使用时间同步命令、配置 YUM 更新源、关闭 iptables 或者配置适当的防火墙规则、调整...
linux系统优化详细笔记文档
07-09
Linux系统优化是一个重要的任务,旨在提高系统的性能、稳定性和安全性。以下是一些关键的优化策略,根据提供的笔记文档内容进行详细解释: 1. **最小化原则**: - **安装系统最小化**:只安装必要的软件包和服务,...
基于Linux的远程教学系统的开发.pdf
09-06
由于其开放源代码的特性,Linux系统不容易受到计算机病毒的攻击,且系统本身的设计就强调网络安全性,因此在需要高度数据保护的远程教学环境中,Linux是一个理想的选择。 其次,Linux操作系统支持多用户、多任务和...
Linux&网络安全Linux操作系统安全配置(超全超详细)
沧月
10-16 1万+
在我们Linux系统当中,默认的情况下,所有的系统上的帐号与一般身份使用者,还有root的相关信息, 都是记录在/etc/passwd这个文件内的。vsftpd 是“very secure FTP daemon”的缩写,安全性是它的一个最大的特点。vsftpd 是一个 UNIX 类操作系统上运行的服务器的名字,它可以运行在诸如 Linux、BSD、Solaris、 HP-UNIX等系统上面,是一个完全免费的、开放源代码的ftp服务器软件,支持很多其他的 FTP 服务器所不支持的特征。出于安全原因应启用它。
Linux上SSH实现远程免密登录、SSH配置允许/禁止某些用户远程登录
热门推荐
树下一少年的博客
01-06 1万+
(1)建立连接:SSH服务器在指定的端口监听客户端的连接请求,在客户端向服务器发起连接请求后,建立一个TCP连接。 (2)协商版本:某些版本可以支持更多的认证方法和密钥交换方法,SSH服务器和客户端通过协商确定最终使用的SSH版本号。 (3)算法协商:双方根据各自支持的算法,协商出最终用于产生会话密钥的密钥交换算法,用于数据信息加密的加密算法、用于进行数字签名和认证的公钥算法。 (4)交换密钥:服务器和客户端通过密钥交换算法,动态生成共享的会话密钥和绘画ID,建立加密通道。会话密钥主要用于后续数据传输
Linux系统 SSHD服务安全优化方案
萌兔兔MMQ!!
08-16 1673
#Port 22#AddressFamily anyAddressFamily inet#ListenAddress 0.0.0.0 #监听IPV4所有网络地址ListenAddress 192.168.171.0#KeyRegenerationInterval 1h#ServerKeyBits 1024#PermitRootLogin yes # 允许root用户登录PermitRootLogin no # 禁止root用户远程登录#PasswordAuthentication yes#PermitEmp
Linux配置SSH远程登录管理
云计算运维工程师的成长之路
08-18 6101
SSH 为 Secure Shell的缩写, 为建立在应用层基础上的安全协议。SSH 是较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。
linux篇-用户密码与登录安全策略设置
青春不打烊的博客
04-21 1万+
一、密码安全策略: 密码相关的安全策略,主要是通过 /etc/login.defs 与 pam_cracklib.so 实现的。 /etc/login.defs:只控制了账号密码的有效期和最小长度。修改完/etc/login.defs文件后,会立即生效,但是它只对修改后创建的用户生效。 pam_cracklib.so:该模块实现了账户密码的复杂度控制。早期用的是pam_cracklib.so模块,后来改成用pam_pwquality.so了,该模块完全兼容旧的pam_cracklib.so模块。该模块对
linux系统管理---2.Linux中的远程登录
weixin_47665572的博客
08-07 738
Linux中的远程登录前言一、Openssh功能二、ssh三、sshd key认证四、sshd 安全优化参数详解 前言 一、Openssh功能 1.Linux远程登录服务名称:sshd.service 2.sshd服务的用途 可以实现通过网络在远程主机中开启安全shell的操作。 Secure Shell==== 客户端 Secure Shell daemon====服务端 3.安装包 openssh-server 服务端 openssh-clients 客户端 4. 主配置文件: /etc/s
如何优化linux系统
盖乌斯的博客
12-03 3578
01)不用root ,添加普通用户,通过sudo授权管理。 02)更改默认的远程连接SSH服务端口及禁止root用户远程连接。 03)定时自动更新服务器时间。 04) 配置yum更新源,从国内更新源下载安装rpm包。 05)关闭selinux及iptable(IPtable工作场景如果有wan ip一般要打开,高并发除外)。 06)调整文件描述符的
LINUX:懒汉单例模式线程池
W2155的博客
07-16 431
创建一个线程,就是要这个线程去完成某种任务的。池化技术就是,提前创建一批线程,有任务这一批线程就会执行。而不是有任务的时候在去创建线程。池化技术有着更高的效率,因为线程都是提前创建好的,直接执行任务。
Linux服务器Java环境搭建】010在linux中安装Redis,以及对Redis的配置与远程连接
最新发布
liuzhenhe1988的专栏
07-19 704
好久没有更新博客了,今天下了班回到家,看到电脑桌上尘封已久的《Spring Boot应用开发实战》,翻开目录想起来之前写的系列【Linux服务器Java环境搭建】还未完结,那就继续吧,今天主要是按linux服务器中安装和配置redis。本系列其他文章,请查看系列【Linux服务器Java环境搭建】
Linux系统安全优化技巧
"这是一份关于Linux操作系统的个人学习笔记,涵盖了基础优化、用户权限管理、SSH服务安全配置系统时间同步以及YUM更新源的调整等内容,旨在帮助读者提升Linux系统的管理和安全性。" 在Linux操作系统中,进行系统...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值