配置OpenSSH服务端
1.1配置SSH及配置文件
openssh服务器由openssh、openssh-server等软件包提供(默认已安装)
服务名称:sshd:
sshd服务的配置文件是:/etc/ssh/sshd_config
服务的管理:systemctl
systemctl status sshd 查看服务状态
systemctl start sshd 启动服务
systemctl restart sshd 重启服务
systemctl stop sshd 停止服务
systemctl enable sshd 开机自启
systemctl is-enabled sshd 查看是否开机自启
systemctl disable sshd 禁用开机自启
如何连接服务呢?
使用winscp远程连接服务器:
(1)确认sshd服务是开启的
(2)查看服务器的IP地址:ifconfig
(3)使用winscp连接
(4)ifup ens33(默认网卡名是ens33,可在有线设置内查看)启动ens33
1.2服务监听选项
sshd服务使用的默认端口号为22,必要时建议修改此端口号,并指定监听服务的具体IP地址,以提高在网络中的隐蔽性。SSH协议的版本选用V2比V1的安全性要更好,禁用DNS反向解析可以提高服务器的响应速度。
[root@localhost ~]# vim /etc/ssh/sshd_config
Port 22 //监听端口为22
ListenAddress 192.168.10.1 //监听地址为192.168.10.1
… //省略内容
UseDNS yes //禁用DNS反射解析
… //省略内容
[root@localhost ~]# systemctl restart sshd
1.3用户登录控制
sshd服务默认允许root用户登录,当在Internet中使用时这是非常不安全的。普遍的做法是:先以普通用户远程登录,进入安全shell环境后,根据实际需要使用su命令切换为root用户。关于sshd服务的用户登录控制,通常就禁止root用户或密码为空的用户登录。另外,可以限制登录验证的时间(默认为2分钟)及最大重次数,若超过限制后仍未登录则断开连接。
编辑vim /etc/ssh/sshd_config配置文件
[root@localhost ~]# vim /etc/ssh/sshd_config
LoginGraceTime 2m //登录验证时间
PermitRootLogin no //禁止root用户登录
MaxAuthTries 6 //最大重试次数
MaxSessions 10 //最大连接数
PermitEmptyPasswords no //禁止空密码用户登录
… //省略内容
[root@localhost ~]# systemctl restart sshd
如果只允许或禁止某些用户登录时,可以使用AllowUsers或DenyUsers配置,两者用法类似(不能同时使用)。
举例: 只允许stu1和stu2用户登录,其中stu2用户仅能从IP地址为 192.168.10.100
的主机远程登录,配置如下:
[root@localhost ~]# vim /etc/ssh/sshd_config
… //省略内容
AllowUsers stu1 [email protected] //多个用户用空格隔开
[root@localhost ~]# systemctl restart sshd
1.4实操
(1)禁止root用户登录
启动sshd服务
编辑配置文件:
#表示注释,在命令模式下使用a键进入编辑模式,删除#号,注释掉的服务就启动了,在末行模式(Esc键后输入冒号)输入wq保存并且退出。
保存修改退出后,重启服务进行测试:
systemctl restart sshd
使用ifconfig查看虚拟机的ip
使用WinSCP工具进行测试:
这里提示拒绝访问,说明配置成功了。
(2)设置其他用户登录方式
只允许stu1和stu2用户可以远程访问服务器,其中stu2用户仅能在IP地址为192.168.10.100的主机上远程登录
需要启动sshd服务后
使用vim /etc/sshd/sshd_config编辑sshd配置文件
在文件末尾(或任意位置)添加这一句配置
测试:
测试前需要保存配置,并重启sshd服务,配置才能生效
同样使用WinSCP进行测试
stu1用户登录成功:
测试stu2是否能登录
stu2访问失败,当前主机的IP并不是192.168.10.100
如果有小伙伴想测试stu2输入正确的主机IP能否登录成功,可以尝试将配置里的地址设置成主机上VMnat8的IP,如果不行的话就输入你主机上面的所有IP进行尝试,如果成功,则利用排错法,逐一排除,最终测试完成。
