sshd服务的深度解析

sshd服务

1.sshd简介

sshd=secure shell
可以通过网络在主机中开启shell的服务
客户端软件
== sshd
在进行sshd服务相关的探究前我们需要建立一个合适的实验环境即打开两个虚拟机，server作为服务端，desktop作为客户端。下面开始建立：
1.查看ip
2，建立新的网络
3.为了方便改名
具体步骤如下

建立完成


实验是否成功
ping ip

连接方式：
ssh username@ip ##文本模式的连接
== ssh -X username@ip ##可以在链接成功后开机有图形==

注意：
第一次链接陌生主机时需要建立认证文件
所以会询问是否建立，需要输入yes
再次链接此台主机时，因为已经生成～/.ssh/know_hosts文件所以不需要再
次输入yes
设置权限
vim /etc/hosts.deny ##禁止其他用户访问

vim /etc/hosts.allow ##允许
注意：
在修改配置文件后需要重新加载服务方可生效
远程复制：
scp file root@ip：dir ##上传
scp root@ip：file dir ##下载

==虚拟机网络调试
##1.切换到root
##2.[root@foundation20 ~]# virt-manager
##3.进入虚拟机后点击show virtual hardware details
##4.Remove掉NIC
##5.重新添加NIC ==

2.sshd 的key 认证

##加密
1.保证环境的纯净先删除/root/.ssh
2.建立公钥和私钥
ssh-keygen -f /root/.ssh/id_rsa -N “”(可省略输入文件及密码）
3.查看建立是否成功 ls /root/.ssh
4.给本机上锁(注意：要打开原始加密方式，即上锁时要征得本机同意)
ssh-copy-id -i /root/.ssh/id_rsa.pub [email protected]（当前主机ip)
还会生成authorized_keys文件即为.ssh文件识别文件（该文件与id_rsa.pub相同）
5.改写配置文件禁止输入密码
vim /etc/ssh/sshd_config
6.重新加载配置文件
systemctl reload sshd.service
7.分配私钥给客户端
scp /root/.ssh/id_rsa [email protected](客户端ip):/root/.ssh/
同样需证得接受端同意
8.现在建立key认证成功
9.若不想让客户链接删除锁即authorized_keys文件即可
若之后还想链接复制id_rsa.pub为authorized_keys文件

3.ssh的安全设定

vim /etc/ssh/sshd_config修改配置文件
78 PasswordAuthentication yes|no ##是否允许用户通过登陆系统的密码作ssh的认证
如上个实验所示修改后登陆即不需要输入密码

48 PermitRootLogin yes|no ##是否允许root用户通过sshd服务认证

Allowusers student wetos ##设定用户白名单，白名单出现默认不在名单的用户不能使用sshd服务
Denyusers westos ##设定用户黑名单，黑名单出现默认不在名单的用户可以使用sshd服务
注意每次改完后需要重新加载配置文件

4.添加sshd登陆信息

vim /etc/motd ##文件内容就是登陆后显示的信息

5.用户登陆审计

1.w ##查看正在使用当前系统的用户
-f ##查看使用来源
-i ##显示ip

2.last ##查看使用过并退出的用户信息
/var/log/wtmp

3.lastb ##试图登陆但没有成功的用户
/var/log/btmp