Linux中的远程登录服务
一、远程登录
【1】实验环境
root@DD-------- > 192.168.1.33
root@dd --------- > 192.168.1.44
为了实验效果更加直观此处修改主机名称以及背景和字体颜色:
以下为实验环境的建立:
另一台同如此 只改变ip
ping:
【2】远程操作主机
ssh 远程主机ip -l 远程主机用户
二、Openssh服务的基本信息
Openssh
【1】作用:
在企业中的运维工作,不是1v1的运维,运维工程师基本都是1vN
在运维工程师对服务器进行管理时,需要通过网络登录远程主机
需要通过网络在远程主机中开启shell来进行操作
远程主机必须提供这样开启shell的方式
以上需求由openssh服务来提供
远程主机中安装了openssh并开启了这个程序,那么我们就可以通过网络来链接这台主机了
【2】软件包名称
openssh-server
【3】服务名称
sshd
【4】客户端
ssh
| ssh 172.25.254.106 -l root | 172.25.254.206 远程主机ip |
|---|---|
| ssh 172.25.254.206 -l root login | 登录root 远程主机的超级用户 |
三、Openssh服务的安全配置
【1】修改端口
vim /etc/ssh/sshd_config
17 port 22 --------> port 1111
关闭firewalld服务
【2】端口绑定
vim /etc/ssh/sshd_config
19 #ListenAddress 0.0.0.0 -----> ListenAddress 172.25.254.206
未指定端口前三个端口都可连接
【3】密码认证的关闭
vim /etc/ssh/sshd_config
73 PasswordAuthentication no 禁用密码认证
测试:
172.25.254.106 禁用密码验证 PasswordAuthentication no
172.25.254.206 开启密码验证 PasswordAuthentication yes
172.25.254.106 -----> ssh [email protected] 可以登陆
172.25.254.206 -----> ssh [email protected] 可以输入密码
参数更改并重启服务后
systemcet restart sshd.service
172.25.254.106 -----> ssh [email protected] 可以登陆
172.25.254.206-----> ssh [email protected] 不可输入密码直接被拒绝
【4】sshd服务的用户控制
建立实验素材
在服务器中:
172.25.254.106
useradd westos
useradd lee
echo lee| passwd --stdin wetos
echo lee| passwd --stdin lee
操作完成系统中存在至少3个用户
用户 密码
root lee
westos lee
lee lee
【1】root用户访问控制
vim /etc/ssh/sshd_config
46 PermitRootLogin yes —> PermitRootLogin no 禁止root用户使用ssh进行认证
实验:
172.25.254.106:
ssh 172.25.254.206 -l root 默认输入正确密匙可以完成认证
修改参数后
ssh 172.25.254.206 -l root 输入正确密匙仍然不能登录
【2】用户黑名单 (默认可以登录,名单中的用户被禁止)
vim /etc/ssh/sshd_cnfig
DenyUser lee lee用户不能使用sshd服务
实验:
172.25.254.106
ssh 172.25.254.206 -l lee 默认可以登录
ssh 172.25.254.206 -l westos 可以登陆
修改参数后
ssh 172.25.254.206 -l westos 可以登陆
ssh 172.25.254.206 -l lee 不可以登录
【3】用户白名单 (默认不可以登录,名单中的用户被允许)
vim /etc/ssh/sshd_cnfig
AllowUsers westos 用户可以使用sshd服务,默认用户被禁止
实验:
1 172.25.254.10
2 ssh 172.25.254.206 -l lee 默认可以登录
3 ssh 172.25.254.206 -l westos 可以登陆
4 ssh 172.25.254.206 -l root 可以登录
修改参数后
systemctl restart service
5 ssh 172.25.254.206 -l westos 可以登录
6 ssh 172.25.254.206 -l lee 不可以登陆
7 ssh 172.25.254.206 -l root 不可以登录
五、远程执行命令
172.25.254.206 登录模式选择第二个 (x11模式)
172.25.254.106:
ssh 172.25.254.206 -l root 此方法登录时不能调用远程主机的图形模式
ssh -X 172.25.254.206 -l root 当前登录可以调用图形 -X 代表启用x11图形连接
ssh 172.25.254.206 -l root touch /root/Desktop/westosfile{1…10} 直接执行命令在远程主机中
ssh 172.25.254.206 -l root -o StrictHostKeyChencking=no 在连接主机时不检测HOSTKEY(屏蔽yes\no的输入)
六、sshd登录信息修改
172.25.254.20:
| vim /etc/motd | 在此文件中有什么字符在ssh登录时就可以看到什么字符 |
|---|
七、Openssh服务的key认证
【1】用户密码认证(对称加密)
- 密码容易泄露
- 容易忘记
【2】密匙认证(非对称加密) - 安全
- 不会忘记密码
【3】建立key认证方式
1.建立key文件
172.25.254.206主机
[root@dd_client ~]# ssh-keygen j建立认证key文件
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): 加密字符保存位置
Enter passphrase (empty for no passphrase): key认证密码,通常设定为空
Enter same passphrase again: 重复key认证密码
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub
The key fingerprint is:
SHA256:Uh8cYTxqCShLnD3NUxpIQ4/N0tSVuyPuMzHuGnxSd1k
root@dd .com
The key's randomart image is:
+---[RSA 2048]----+
| . =+=..oo+. |
| = =B=+.oo. |
| . oo.*o.+o.E |
| .. . .=. + |
| o o.S.+ |
| . o+oo. |
| +o.+ . |
| += |
| .+oo |
+----[SHA256]-----+
2.上传公匙(加密远程主机)
[root@dd ~]# ssh-copy-id -i /root/.ssh/id_rsa.pub [email protected]
其中:
# ssh-copy-id 上传密匙命令
# -i 指定公匙
# /root/.ssh/id_rsa.pub 公匙名称
# root 远程主机被加密用户
# @ 分割符
# 172.25.254.206 远程主机地址
