Linux下的sshd服务及安全配置



1、oppnssh

当主机中开启openssh服务，那么就对外开放了远程连接的接口。
openssh服务的服务端：sshd
openssh服务的客户端：ssh

2、如何给虚拟机设置ip

执行nm-connection-editor命令，弹出设置窗口，IPV4    Settings中进行设置，Mefhod选择Manual，然后选择添加，设置Address、netmask后保存即可。



3、在客户端连接sshd
格式：ssh   服务端用户@服务端ip地址

例如:ssh root@172.25.254.168 意为用ssh命令连接172.25.254.168主机的root用户。

当前主机第一次连接陌生主机时，系统会进行询问，输入密码连接成功，使用exit可退出当前连接。第一次连接主机时，系统会自动建立.ssh/know_hosts这个文件来记录连接过的主机信息。

注：以上连接方式是不能打开远程主机的图形功能的如果需要打开远程主机图形功能需要输入 -X。

 

如图，当使用ssh root@172.25.254.168 -X 连接该ip主机的root用户时，才能正常打开gedit图形。否则，在连接成功后也不能正常打开gedit，而是显示cannot open display。

4、给ssh服务添加新的认证方式 KEY认证

（1）生成KEY

使用ssh-keygen命令生成密钥

（2）加密ssh用户的认证

在服务端使用ssh-copy-id -i /root/.ssh/id_rsa.pub root@172.25.254.167 命令进行加密。
其中，-i 指定密钥；/root/.ssh/id_rsa.pub 密钥；root 加密用户；172.25.254.167 要加密的主机ip。

（3）验证
使用scp /root/.ssh/id_rsa root@172.25.254.168:/root/.ssh 命令将解密文件传输到客户端。此时，在客户端可以/root/.ssh目录下可以查看相应解密文件，这时，客户端便能实现对服务器端的免密连接。

当在服务端执行rm -fr /root/.ssh/authorized_keys命令后，客户端解密文件失效，不能实现免密连接。如图，连接需要密码：

此时，可以执行cp /root/.ssh/id_rsa.pub /root/.ssh/authorized_keys命令重新生成锁文件，并传送给客户端后，客户端解密文件功能恢复，可以免密连接。

5、sshd的安全配置

可使用vim /etc/ssh/sshd_config打开sshd的配置文件修改原始认证方式。

46行用户白名单设定，当前设定是只允许student用户登陆。
47行用户黑名单设定，当前设定是只不允许westos用户登陆。

50行开启root用户的登陆权限，将yes改为no即可关闭root用户登陆权限。
78行开启ssh的默认认证方式，可使用no关闭。

6、linux中服务的管理
格式：systemctl 动作 服务
systemctl start sshd #开启服务
systemctl stop sshd #停止服务
systemctl status sshd #查看服务状态
systemctl restart sshd #重启服务
systemctl reload sshd #让服务从新加载配置
systemctl enable sshd #设定服务开启启动
systemctl disable sshd #设定服务开机不启动
systemctl list-unit-files #查看系统中所有服务的开机启动状态
systemctl list-units #查看系统中所有开启的服务
systemctl set-default graphical.target #开机时开启图形
systemctl set-default multi-user.targe #开机时不开图形

注：start和stop开启和停止的是当前服务，不需要重启服务便能改变服务状态。如图，执行systemctl stop sshd.service命令后查看服务状态，Active显示由active（running）变为inactive（dead）。

而enable和disable开启和停止的是开机时的服务状态，需要使用restart重启服务方可生效。操作过程如下图所示，执行systemctl disable sshd.service 命令后执行systemctl restart sshd.service命令，原enable状态变为disable。