Linux中的远程登陆服务 ---Openssh服务的基本信息、key认证、安全配置(端口修改、端口绑定、密码认证关闭、sshd服务的用户控制)、sshd登陆信息修改
一、实验环境
yxy.westos.com 172.25.254.10
lww.westos.com 172.25.254.20
- ifconfig ##查看ip地址
- nm-connection-editor ##设定ip地址
- hostnamectl set-hostname ##设定主机名称
二.Openssh服务的基本信息
1.openssh作用
<1>在企业中的运维工作,不是1v1的运维,运维工程师基本都是1vN。
<2>在运维工程师对服务器进行管理时
需要通过网络登陆远程主机
需要通过网络在远程主机中开启shell来进程操作
远程主机必须提供这样的开启shell的方式
以上的需求由openssh服务来提供
<3>远程主机中安装了openssh并开启了这个程序,那么我们就可以通过网络来连接这台主机了。
2.软件包名称
openssh-server
3.服务名称
sshd
4.客户端
ssh 172.25.254.20 -l root # 172.25.254.20 远程主机ip
# -l login 登陆
#root 远程主机的超级用户
5.sshd服务端口
22/tcp
6.配置文件
/etc/ssh/sshd_config
三、Openssh服务的key认证
1.用户密码认证 (对称加密)
密码容易泄漏
容易忘记
2.密钥认证 (非对称加密)
安全
不会忘记密码
3.建立key认证的方式
<1> 建立key文件
位置 : 172.25.254.10主机
ssh-keygen ##建立认证key文件
<2>上传公钥 (加密远程主机)
[root@yxy Desktop]# ssh-copy-id -i /root/.ssh/id_rsa.pub root@172.25.254.20
#ssh-copy-id 上传密钥命令
#-i 指定公钥
#/root/.ssh/id_rsa.pub 公钥名称
#root 远程主机被加密用户
#@ 分割副
#172.25.254.20 远程主机地址
测试:
172.25.254.10主机中
1. ssh root@172.25.254.20 ##免密连接
2.exit ##退出登陆
3.mv /root/.ssh/id_rsa* /mnt ##将密钥放到/mnt中(移除密钥)
4. reboot ##重启
5. ssh root@172.25.254.20 ##因为密钥被移除所以不能免密
6. mv /mnt/id_rsa /root/.ssh ##重新恢复密钥
7. ssh root@172.25.254.20 ##免密链接
四.Openssh服务的安全配置
1.端口修改
vim /etc/ssh/sshd_config
在172.25.254.20中更改
17 port 22 -------> port 1111
注:每次vim ssh后需要重新启动ssh服务 systemctl restart sshd
如果在172.25.254.10远程连接时出现
[root@Horizion_carry Desktop]# ssh 172.25.254.20 -l root -p 1111
ssh: connect to host 172.25.254.20 port 1111: No route to host解决方法:关闭172.25.254.20的防火墙 #systemctl stop firewalld.service
测试:在172.25.254.10中远程登陆
2.端口绑定
vim /etc/ssh/sshd_config
19 #ListenAddress 0.0.0.0 ----> ListenAddress 172.25.254.20
注:每次vim ssh后需要重新启动ssh服务 systemctl restart sshd
测试:
在172.25.254.20主机中
参数未发生变化:
ssh 172.25.254.20 -l root #可以
ssh 127.0.0.1 -l root #可以
参数发生变化:
修改参数后重启服务
ssh 172.25.254.20 -l root #可以
ssh 127.0.0.1 -l root #拒绝
3.密码认证的关闭
vim /etc/ssh/sshd_config
73 PasswordAuthentication no ##禁用密码认证
注:每次vim ssh后需要重新启动ssh服务 systemctl restart sshd
测试:
172.25.254.10 有密钥(私钥)
172.25.254.20 无密钥(私钥)
172.25.254.10 -----> ssh root@172.25.254.20 ##可以登陆
172.25.254.20 -----> ssh root@172.25.254.20 ##可以输入密码
参数根改并重启服务后
172.25.254.10 -----> ssh root@172.25.254.20 ##可以登陆
172.25.254.20 -----> ssh root@172.25.254.20 ##不可输入密码直接被拒绝
4.sshd服务的用户控制
<1>建立实验素材
在服务器中(即172.25.254.20主机中):
useradd westos
useradd lee
echo 123456| passwd --stdin westos
echo 123456| passwd --stdin lee
操作完成系统中存在至少3个用户
用户 密码
root *******
westos 123456
lee 123456
<2>root用户的访问控制
vim /etc/ssh/sshd_config
46 PermitRootLogin yes ---> PermitRootLogin no #禁止root用户使用ssh进行 认证
注:每次vim ssh后需要重新启动ssh服务 systemctl restart ssh
测试:
在172.25.254.20中:
ssh 172.25.254.20 -l root ##默认输入正确秘密可以完成认证
修改参数后
ssh 172.25.254.20 -l root ##输入正确密码仍然不能登陆
<3>用户黑名单 (默认可以登陆,名单中的用户被禁止)
vim /etc/ssh/sshd_config
DenyUsers lee ##lee用户不能使用sshd服务
注:每次vim ssh后需要重新启动ssh服务 systemctl restart sshd
测试:
在172.25.254.20主机中:
ssh 172.25.254.20 -l lee ##默认可以登陆
ssh 172.25.254.20 -l westos ##可以登陆
修改参数后
ssh 172.25.254.20 -l westos ##可以登陆
ssh 172.25.254.20 -l lee ##不可以登陆
<4>用户白名单 (默认不可以登陆,名单中的用户被允许)
vim /etc/ssh/sshd_config
AllowUsers lee ##westos用户可以使用sshd服务,默认用户被禁止
注:每次vim ssh后需要重新启动ssh服务 systemctl restart sshd
测试:
在172.25.254.20中:
ssh 172.25.254.20 -l lee ##默认可以登陆
ssh 172.25.254.20 -l westos ##可以登陆
ssh 172.25.254.20 -l root ##可以登陆
修改参数后
五.远程执行命令
172.25.254.20 登陆模式选择第二个(X11模式)
在172.25.254.10中操作:
1.ssh 172.25.254.20 -l root ##此方法登陆时不能调用远程主机的图形命令
2.ssh -X 172.25.254.20 -l root ##当前登陆可以调用图形 -X 代表启用x11图形连接
3.ssh 172.25.254.20 -l root touch /root/Desktop/carryfile{1..10} ##直接执行命令在远程主机中
4.ssh 172.25.254.20 -l root -o StrictHostKeyChecking=no ##在连接主机时不 检测HOSTKEY(屏蔽yes、no的输入)
注:操作指令2.时172.25.254.20 登陆模式选择第二个(X11模式)
操作指令4.时先删除172.25.254.20中 / root / .ssh / authorized_keys
然后在172.25.254.10中重新操作上传公钥(加密远程主机)
* [root@yxy Desktop]# ssh-copy-id -i /root/.ssh/id_rsa.pub root@172.25.254.20
六.sshd登陆信息修改
在172.25.254.20中:
vim /etc/motd ##在此文件中有什么字符在ssh登陆时就可以看到什么字符
