sshd简介
sshd=secure shell
可以通过网络在主机中开机shell的服务
客户端软件
sshd
连接方式:ssh username@ip ##文本模式的链接
ssh -X username@ip ##可以在链接成功后开机图形
注:在不开启图形界面的时候不能打开firefox,开启图形界面就可以正常打开firefox程序了
查看/root/.ssh目录下的发现已经有了know_hosts (猜想如果删掉这个文件,再次连接,系统会重新要求输入yes)
上面实验证明猜想正确
注意:
第一次链接陌生主机是要建立认证文件
所以会询问是否建立,需要输入yes
在此链接此台主机时,因为已经生成~/.ssh/know_hosts文件所以不需要再次输入yes
远程复制:
scp file root@ip:dir ##上传文件
将cliant桌面上的文件上传到server端的桌面上
scp root@ip:file dir ##下载文件
2.sshkey加密服务
1.生成公钥私钥
ssh-keygen ###s生成公钥私钥
h
查看/root/.ssh目录里面已经有了id_rsa(私钥)和id_rsa.pub(公钥)
2.添加认证方式
ssh-cpoy-id -i /root/.ssh/id-rsa.pub [email protected]
查看/root/.ssh底下的文件发现出现了authorized_keys(锁头)
注意:这一步是添加认证方式是在要加锁的主机上添加不能搞错了
3.关闭root密码认证
/etc/ssh/sshd_config文件里面记录着sshd服务的配置文件
vim /etc/ssh/sshd_config ###编辑sshd_config文件
将78行这个PasswordAuthentication yes更改为no ,关闭掉原始认证方式
4.将私钥传到用户端
scp /root/.ssh/id_rsa [email protected] /root/.ssh ###将私钥传送给用户
如图上述操作做完之后用客户端连接服务器端,此时不用输入密码就可以直接连接上,用没有id_rsa(私钥)的主机连接服务器端连接被拒绝
sshd的安全设定(/etc/ssh/sshd_config)
78 PasswdAuthentication yes|no ##是否允许用户通过登录系统的密码做sshd的认证(前面实验已经用过)
48 PermitRootLogin yes|no ##是否允许root用户通过sshd服务的认证
如上图所示:客户端连接服务端的root用户连接被拒绝,转而连接服务端的westos用户,连接成功
52 AllowUsers student westos ##设定用户白名单,白名单出现,默认不在白名单中的用户不能使用sshd
如上图:服务器端设置allowusers westos ,将westod用户放入白名单中,在客户端连接westos用户成功,在客户端连接student用户被系统拒绝
53 DenyUser westos ##设定用户的黑名单,黑名单出现,默认不在黑名单中的用户可以使用sshd
将westos用户放进黑名单里,连接student用户连接成功,westos用户失败
添加sshd登录登录信息
vim /etc/motd ##文件的内容就是登录后显示的信息
将登录信息写入/etc/motd中,当其他用户登入此机器的任何机器时都会显示登录信息
用户的登录审计
1.w ##查看正在使用当前系统的用户
w -f ##查看使用来源
w -i ##显示IP
wc的信息都存储在/var/run/utmp 中但是这个文件不能用文本的方式查看
last ##查看使用过并退出的用户信息
/var/log/wtmp
lastb ##查看试图登录但没有成功的用户
/var/log/btmp
