■SSH (Secure Shell)协议
■OpenSSH
■服务监听选项
[root@localhost ~]# vi /etc/ssh/sshd_ config
......
Port 22
ListenAddress 172.16.16.22 ###监听端口要填管理平面IP地址;分为管理平面,数据平面
Protocol 2
UseDNS no
实例:
进入 vi /etc/ssh/sshd_config
服务监听选项
■用户登录控制
[root@localhost ~]# vi /etc/ssh/sshd_ config
LoginGrace Time 2m
PermitRootL ogin no
MaxAuthTries 6
PermitEmptyPasswords no ###AllowUsers不要与DenyUsers同时用
.......
AllowUsers jerry admin@61 .23.24.25
用户登录控制
①这里验证最大重试登录次数,如果连续两次登录密码失败就会出现如下情况。这就是登录不了。
②验证禁止root用户登录
新建一个用户tx1,然后不设置密码
显示登录不了
注意!我们每次改完配置文件之后,一定要重启服务!
①systemctl restart sshd 重新启动服务!
②service sshd reload 也可以重启服务
■登录验证方式
[root@localhost ~]# vi /etc/ssh/sshd_ config
......
PasswordAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_ keys
启用密码验证、密钥对验证、指定公钥库位置
■ssh命令——远程安全登录
实验:
例如110是服务器,88是客户端,现在我们需要通过客户端对服务器进行远程访问。当用户第一次登录SSH服务器时,要接收服务器发来的RSA密钥(根据提示输入yes),接受的密钥信息将保存到 ~/.ssh/known_hosts文件中。密码连接成功后,就可以登陆到目标.100的服务器了
■scp命令——远程安全复制
实验:
①本端拷到对端
■sftp命令——安全FTP上下载
不指定路径就在对方家目录
■在客户机中创建密钥对
[zhangsan@localhost ~]$ ssh-keygen -t ecdsa
Generating public/private ecdsa key pair.
Enter file in which to save the key (/home/zhangsan/ .ssh/id_ ecdsa):
Created directory '/home/zhangsan/ .ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again: ###设置密钥短语
Your identification has been saved in /home/zhangsan/.ssh/id_ ecdsa. ###私钥文件位置
Your public key has been saved in /home/zhangsan/ .ssh/id_ ecdsa.pub. ###公钥文件位置
■将公钥文件上传至服务器
[zhangsan@localhost ~]$ scp ~/.ssh/id_ ecdsa.pub [email protected]:/tmp
■在服务器中导入公钥文本
[root@localhost ~]# mkdir /home/lisi/.ssh/
[root@localhost ~]# cat /tmp/id_ _ecdsa.pub >> /home/lisi/.ssh/authorized_ _keys
[root@localhost ~]# tail -1 /home/lisi/.ssh/authorized_ keys
ecdsa-sha2-nistp256
AAAAE2VjZHNhLXNoY TItbmlzdHAyNT YAAAAIbmlzdHAyNTYAAABBBLJSnBhscY
BfnnHxSYAJEBD4sNkTLMF7itcFGM33RdeXU89QNQkMnCrCJHzAIZURrzpXG6M
p62mz9gRXUnARk8s=zhangsan@localhost
■客户端使用密钥对验证登录
[zhangsan@localhost ~]$ ssh [email protected]
[lisi@localhost ~]$ whoami
lisi
■第2步和第3步可以采用另外一种方法
ssh-copy-id -i 公钥文件user@host
验证密码后,会将公钥自动添加到目标主机user宿主目录,下的. ssh/authorized_ keys文件结尾
[zhangsan@localhost ~]$ ssh-copy-id -i ~/.ssh/id_ _rsa.pub [email protected]
实验:构建密钥实验
验证一下,是不需要密码的,直接登录
exit退回自己的用户
■保护机制的实现方式
■访问控制策略的配置文件
■设置访问控制策略
■策略的应用顺序
■策略应用示例
[root@localhost ~]# vi /etc/hosts.allow
sshd:61.63.65.67,192.168.2.*
[root@localhost ~]# vi /etc/hosts.deny
sshd:ALL
访问策略应用顺序实验:
1、测试的IP地址为 20.0.0.5
2、输入的是20.0.0.2的IP,找不到20.0.0.5的IP,
所以 20.0.0.5 不允许访问
3、输入的ALL,代表所有IP,找到则拒绝访问,因为代表所有,所以可以找到20.0.0.5,也拒绝访问。
■配置OpenSSH服务端
■使用SSH客户端程序
■构建密钥对验证的SSH体系的步骤
■TCP Wrappers访问控制
今天博客的内容就到此结束啦。我们今天学了OpenSSH服务端的监听选项,用户登录控制和登录验证方式还有客户端的ssh,scp,sftp的命令使用方法和Xshell的使用方法。
同时也学习了构建密钥和使用密钥的方法,希望大家一起努力加油!