sshd服务
先清理环境 rm -fr .ssh/
客户端改名 :
hostnamectl set-hostname server.example.com
1.sshd简介
sshd=secure shell
功能:可以通过网络在主机中远程访问sshd服务,开始一个安全shell
客户端软件
sshd
连接方式:
1)ssh username@ip ##文本模式的连接
例:[kiosk@foundation77 ~]$ ssh [email protected]
[email protected]’s password:
Last login: Wed Jul 25 09:36:02 2018
2)ssh -X username@ip ##可以在链接成功后开机图形
例:[kiosk@foundation77 ~]$ ssh -X [email protected]
[email protected]’s password:
Permission denied, please try again.
[email protected]’s password:
Last failed login: Wed Jul 25 09:46:25 EDT 2018 from 172.25.254.77 on ssh:notty
There was 1 failed login attempt since the last successful login.
Last login: Wed Jul 25 09:44:52 2018 from 172.25.254.77
/usr/bin/xauth: file /root/.Xauthority does not exist
[root@localhost ~]# ^C
[root@localhost ~]#
3)ssh 远程主机用户@远程机ip command ##直接在远程主机运行某条命令
注意:
第一次链接陌生主机是要建立认证文件
所以会询问是否建立,需要输入yes
再次链接此台主机时,因为已经生成~/.ssh/known_hosts文件所以不需要再次输入
远程复制:
scp file root@ip:dir ##上传
scp root@ip:file dir ##下载
#
2.sshd的key认证
.生成认证key为了主机的安全也为了特定主机连接的方便,通常使用sshkey加密方式,
1.ssh-keygen
[kiosk@foundation31 ~]$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/kiosk/.ssh/id_rsa): [enter] ##加密字符保存文件(建议用默认)
Enter passphrase (empty for no passphrase): [enter] ##密钥密码,必须>4个字符
Enter same passphrase again:
Your identification has been saved in /home/kiosk/.ssh/id_rsa.
Your public key has been saved in /home/kiosk/.ssh/id_rsa.pub.
The key fingerprint is: [enter] ##确认密码
d4:14:35:e6:fc:2e:9a:27:d1:78:70:2f:19:6e:50:30 [email protected]
The key’s randomart image is:
+–[ RSA 2048]—-+
| E++ |
| o =.. |
| . ..o |
| . o o. |
| S B +. |
| o B.. |
| +… |
| .o.. |
| oo |
+—————–+
查看 ls /root/.ssh/ (root用户)
authorized_keys /root/.ssh/id_rsa /root/.ssh/id_rsa.pub
^出现此文件表示加密完成
新出现的文件”/root/.ssh/id_rsa”称作私钥,”/root/.ssh/id_rsa.pub”称作公钥。公钥相当于是锁,私钥相当于是钥匙。
2.添加key认证方式
ssh-copy-id -i /root/.ssh/id_rsa.pub [email protected]
ssh-copy-id ##添加key认证方式的工具
-i ##指定加密key文件
/root/.ssh/id_rsa.pub ##加密key
root ##加密用户为root
172.25.254.131 ##被加密主机ip
3.分发钥匙给主机
scp /root/.ssh/id_rsa [email protected]:/home/kiosk/.ssh/
4.测试
在172.25.254.31机中
ssh [email protected] ##通过id_rsa直接连接不需要输入用户密码
出现此图则设计成功
3.ssh的安全设定
1.修改配置文件
vim /etc/ssh/sshd_config
78 PasswordAuthentication yes|no ##是否开启用户密码认证,yes为支持no为关闭
48 PermitRootLogin yes|no ##是否允许超级用户登陆
49 AllowUsers student westos ##用户白名单,只有在名单中出现的用户可以使用sshd建立shell
如图设定student为用户白名单:
在虚拟机中,如图,连接[email protected]被系统拒绝。
50 DenyUsers westos ##用户黑名单
2.控制ssh客户端访问
vim /etc/hosts.deny
输入: sshd:ALL ##拒绝所有人链接sshd服务
vim /etc/hosts.allow
输入: sshd:172.25.254.77 ##允许77主机链接sshd
sshd:172.25.254.77, 172.25.254.100 ##允许77和100链接
sshd:ALL EXCEPT 172.25.254.200 ##只不允许200链接sshd
4.ssh登陆提示修改该
vim /etc/motd ##显示登陆后字符
在文件内加入helloworl ##在登陆后就会显示这个字符
如下:
5.用户的登陆审计
1.w ## 查退看正在使用当前系统的用户
-f ##查看使用来源
-i ##显示ip
/var/run/utmp
2.last ##查看使用过并出的用户信息
/var/log/wtmp
3.lastb ##试图登陆但没成功的用户
/var/log/btmp