Linux中的远程登陆服务 ---Openssh服务的基本信息、key认证、安全配置(端口修改、端口绑定、密码认证关闭、sshd服务的用户控制)、sshd登陆信息修改

一、实验环境

yxy.westos.com   172.25.254.10

lww.westos.com   172.25.254.20

  1. ifconfig                                                   ##查看ip地址
  2. nm-connection-editor                        ##设定ip地址
  3. hostnamectl set-hostname               ##设定主机名称

Linux中的远程登陆服务 ---Openssh服务的基本信息、key认证、安全配置(端口修改、端口绑定、密码认证关闭、sshd服务的用户控制)、sshd登陆信息修改_第1张图片

Linux中的远程登陆服务 ---Openssh服务的基本信息、key认证、安全配置(端口修改、端口绑定、密码认证关闭、sshd服务的用户控制)、sshd登陆信息修改_第2张图片

二.Openssh服务的基本信息

1.openssh作用

<1>在企业中的运维工作,不是1v1的运维,运维工程师基本都是1vN。

<2>在运维工程师对服务器进行管理时

  • 需要通过网络登陆远程主机

  • 需要通过网络在远程主机中开启shell来进程操作

  • 远程主机必须提供这样的开启shell的方式

以上的需求由openssh服务来提供

<3>远程主机中安装了openssh并开启了这个程序,那么我们就可以通过网络来连接这台主机了。 

2.软件包名称

openssh-server

3.服务名称

sshd

4.客户端

ssh  172.25.254.20  -l  root                            # 172.25.254.20        远程主机ip

                                                                            # -l                                 login 登陆

                                                                            #root                             远程主机的超级用户

Linux中的远程登陆服务 ---Openssh服务的基本信息、key认证、安全配置(端口修改、端口绑定、密码认证关闭、sshd服务的用户控制)、sshd登陆信息修改_第3张图片

 

5.sshd服务端口

22/tcp 

6.配置文件

/etc/ssh/sshd_config 

三、Openssh服务的key认证

 1.用户密码认证 (对称加密)

  • 密码容易泄漏

  • 容易忘记

2.密钥认证 (非对称加密)

  • 安全

  • 不会忘记密码

3.建立key认证的方式

<1> 建立key文件

位置 : 172.25.254.10主机

ssh-keygen                   ##建立认证key文件

Linux中的远程登陆服务 ---Openssh服务的基本信息、key认证、安全配置(端口修改、端口绑定、密码认证关闭、sshd服务的用户控制)、sshd登陆信息修改_第4张图片

<2>上传公钥 (加密远程主机) 

[root@yxy Desktop]# ssh-copy-id -i /root/.ssh/id_rsa.pub [email protected]

                        #ssh-copy-id                          上传密钥命令

                        #-i                                               指定公钥

                        #/root/.ssh/id_rsa.pub          公钥名称

                        #root                                          远程主机被加密用户

                        #@                                              分割副

                        #172.25.254.20                        远程主机地址

Linux中的远程登陆服务 ---Openssh服务的基本信息、key认证、安全配置(端口修改、端口绑定、密码认证关闭、sshd服务的用户控制)、sshd登陆信息修改_第5张图片

测试:

172.25.254.10主机中

1. ssh [email protected]                                                  ##免密连接

2.exit                                                                                     ##退出登陆

3.mv  /root/.ssh/id_rsa*  /mnt                                             ##将密钥放到/mnt中(移除密钥)              

4. reboot                                                                               ##重启

5. ssh [email protected]                                                  ##因为密钥被移除所以不能免密

6. mv  /mnt/id_rsa  /root/.ssh                                              ##重新恢复密钥

7. ssh [email protected]                                                 ##免密链接

四.Openssh服务的安全配置

1.端口修改

vim /etc/ssh/sshd_config

在172.25.254.20中更改

17  port  22   ------->   port    1111 

注:每次vim ssh后需要重新启动ssh服务 systemctl restart sshd

如果在172.25.254.10远程连接时出现

[root@Horizion_carry Desktop]# ssh 172.25.254.20 -l root -p 1111
ssh: connect to host 172.25.254.20 port 1111: No route to host

解决方法:关闭172.25.254.20的防火墙     #systemctl  stop  firewalld.service 

测试:在172.25.254.10中远程登陆

Linux中的远程登陆服务 ---Openssh服务的基本信息、key认证、安全配置(端口修改、端口绑定、密码认证关闭、sshd服务的用户控制)、sshd登陆信息修改_第6张图片 2.端口绑定

vim /etc/ssh/sshd_config

19       #ListenAddress 0.0.0.0 ----> ListenAddress 172.25.254.20

注:每次vim ssh后需要重新启动ssh服务 systemctl restart sshd

 测试:

在172.25.254.20主机中

参数未发生变化:

ssh 172.25.254.20 -l root #可以

ssh 127.0.0.1 -l root #可以

Linux中的远程登陆服务 ---Openssh服务的基本信息、key认证、安全配置(端口修改、端口绑定、密码认证关闭、sshd服务的用户控制)、sshd登陆信息修改_第7张图片

参数发生变化:

修改参数后重启服务

 

ssh 172.25.254.20 -l root #可以

ssh 127.0.0.1 -l root #拒绝

 

Linux中的远程登陆服务 ---Openssh服务的基本信息、key认证、安全配置(端口修改、端口绑定、密码认证关闭、sshd服务的用户控制)、sshd登陆信息修改_第8张图片

3.密码认证的关闭

vim    /etc/ssh/sshd_config

73 PasswordAuthentication no             ##禁用密码认证

注:每次vim ssh后需要重新启动ssh服务 systemctl restart sshd

测试:

172.25.254.10 有密钥(私钥)

172.25.254.20 无密钥(私钥)

172.25.254.10 -----> ssh [email protected] ##可以登陆

172.25.254.20 -----> ssh [email protected] ##可以输入密码

参数根改并重启服务后

172.25.254.10 -----> ssh [email protected] ##可以登陆

172.25.254.20 -----> ssh [email protected] ##不可输入密码直接被拒绝
Linux中的远程登陆服务 ---Openssh服务的基本信息、key认证、安全配置(端口修改、端口绑定、密码认证关闭、sshd服务的用户控制)、sshd登陆信息修改_第9张图片

 

4.sshd服务的用户控制

<1>建立实验素材

在服务器中(即172.25.254.20主机中):

        useradd      westos

        useradd      lee

                     echo 123456| passwd --stdin westos

                     echo 123456| passwd --stdin lee

操作完成系统中存在至少3个用户

       用户          密码

       root         *******

       westos  123456

       lee          123456

 <2>root用户的访问控制

vim    /etc/ssh/sshd_config

46      PermitRootLogin yes ---> PermitRootLogin no             #禁止root用户使用ssh进行 认证

注:每次vim ssh后需要重新启动ssh服务 systemctl restart ssh

测试:

在172.25.254.20中:

ssh 172.25.254.20 -l root              ##默认输入正确秘密可以完成认证

修改参数后

ssh 172.25.254.20 -l root             ##输入正确密码仍然不能登陆

Linux中的远程登陆服务 ---Openssh服务的基本信息、key认证、安全配置(端口修改、端口绑定、密码认证关闭、sshd服务的用户控制)、sshd登陆信息修改_第10张图片

<3>用户黑名单 (默认可以登陆,名单中的用户被禁止)

 vim      /etc/ssh/sshd_config

DenyUsers   lee                                          ##lee用户不能使用sshd服务

注:每次vim ssh后需要重新启动ssh服务 systemctl restart sshd

测试:

在172.25.254.20主机中:

ssh 172.25.254.20 -l lee                ##默认可以登陆

ssh 172.25.254.20 -l westos         ##可以登陆

修改参数后

ssh 172.25.254.20 -l westos         ##可以登陆

ssh 172.25.254.20 -l lee                ##不可以登陆
Linux中的远程登陆服务 ---Openssh服务的基本信息、key认证、安全配置(端口修改、端口绑定、密码认证关闭、sshd服务的用户控制)、sshd登陆信息修改_第11张图片

<4>用户白名单 (默认不可以登陆,名单中的用户被允许)

vim   /etc/ssh/sshd_config

 AllowUsers    lee                     ##westos用户可以使用sshd服务,默认用户被禁止

注:每次vim ssh后需要重新启动ssh服务 systemctl restart sshd

测试:

在172.25.254.20中:

ssh 172.25.254.20 -l lee                                  ##默认可以登陆

ssh 172.25.254.20 -l westos                           ##可以登陆

ssh 172.25.254.20 -l root                                ##可以登陆

修改参数后
Linux中的远程登陆服务 ---Openssh服务的基本信息、key认证、安全配置(端口修改、端口绑定、密码认证关闭、sshd服务的用户控制)、sshd登陆信息修改_第12张图片

五.远程执行命令

172.25.254.20 登陆模式选择第二个(X11模式)

在172.25.254.10中操作:

1.ssh 172.25.254.20 -l root                                                                     ##此方法登陆时不能调用远程主机的图形命令

2.ssh -X 172.25.254.20 -l root                                                                ##当前登陆可以调用图形 -X 代表启用x11图形连接

3.ssh 172.25.254.20 -l  root  touch  /root/Desktop/carryfile{1..10}     ##直接执行命令在远程主机中

4.ssh 172.25.254.20 -l root -o StrictHostKeyChecking=no                 ##在连接主机时不 检测HOSTKEY(屏蔽yes、no的输入)
 

注:操作指令2.时172.25.254.20 登陆模式选择第二个(X11模式)

        操作指令4.时先删除172.25.254.20中    / root / .ssh / authorized_keys 

        然后在172.25.254.10中重新操作上传公钥(加密远程主机)

       * [root@yxy Desktop]# ssh-copy-id -i /root/.ssh/id_rsa.pub [email protected]

六.sshd登陆信息修改

在172.25.254.20中:

vim /etc/motd          ##在此文件中有什么字符在ssh登陆时就可以看到什么字符

Linux中的远程登陆服务 ---Openssh服务的基本信息、key认证、安全配置(端口修改、端口绑定、密码认证关闭、sshd服务的用户控制)、sshd登陆信息修改_第13张图片

你可能感兴趣的:(Linux运维学习)