Linux中sshd服务

一、sshd 的简介

 1.sshd（客户端软件）=secure shell   ， 它是可以通过网络在主机中开机shell服务

 2.连接方式

 ssh    username@ip    文本模式的连接

 ssh -x  username@ip   可以在连接成功后开机图形

  注 ：

    在第一次连接陌生主机时，因为要建立认证文件，所以会询问是否建立,需要输入yes。再次连接此台主机时，因为已经生成~/.ssh/know_hosts文件所以不需要再次输入yes。

3.远程复制：

•        scp 目标 root@ip:目的地        上传什么到哪

上图操作表示的意思是将主机的file 上传到 ip为172.25.254.57 这个客户端的 westos 目录里

     

• scp root@ip:目标  目的地       下载什么到哪

 

上图操作表示的意思是：将 ip为172.25.254.57 这个客户端里file1 下载到 主机的目录 lee 里面

二、sshd 的 key 认证

注：在做此次实验之前，应先清空服务端与客户端两端 /root/.ssh/里面的内容，保证实验环境的纯净性

1.key 认证的生成

1） ssh-keygen                 生成密钥的命令

2）Enter file in which to save the key (/home/kiosk/.ssh/id_rsa):指定保存加密字符的文件（使用默认的）

3）Enter passphrase (empty for no passphrase):              设定密码（使用空密码）

4）same passphrase again:                                                确认秘密

5）Your identification has been saved in /home/kiosk/.ssh/id_rsa. 私钥（钥匙）

6）Your public key has been saved in /home/kiosk/.ssh/id_rsa.pub. 公钥(锁）

2.上锁：ssh-copy-id  -i   /root/.ssh/id_rsa.pub root@ip

用生成的锁对服务器进行锁定。

3.钥匙的分发： scp  /root/.ssh/id_rsa  root@ip:/root/.ssh/

将钥匙给客户端，使其连接时无需输密码

出现上图这种情况表示：2，3步骤执行成功。

4.在客户主机中测试: ssh root@ip     连接时发现直接登陆不需要root登录系统的密码认证

三、sshd 的安全设定：

注：在做以下操作时应先删掉第二部分时生成的钥匙。 每次编辑完内容后，都应执行 systemctl restart sshd.server 重新启动 sshd。

用  vim /etc/ssh/sshd_config 命令即可进入修改一些自己需要设定的权限

一般有以下几种

1.passwordAuthentication   yes/no 是否允许用户通过登陆系统的密码做sshd的认证

2. permitRootLogin          yes/no      是否允许root用户通过sshd服务的认证

3. Allowusers  用户名（添加多个用户时，用户之间用空格隔开）表示设定用户白名单，白名单出现默认，不在名单内的用户无法使用sshd

4.Denyusers   用户名（添加多个用户时，用户之间用空格隔开）   表示设定用户黑名单，黑名单出现默认，不在名单内的用户无法使用sshd

四、添加 sshd 登陆信息

  vim /etc/motd           文件内容就是登陆后显示的信息

五、用户的登陆审计

1.  查看正在使用当前系统的用户（w)

   w  -f          查看使用来源

    w  -i          显示ip

   /var/run/utmp

2.查看使用过并退出的用户信息( last )

  /var/log/wtmp

3.查看试图登陆但没有成功用户( lastb )

  /var/log/btmp