一、基于密钥认证的服务端基本安全设置:
1、“/etc/ssh/ssh_config” 文件是OpenSSH系统范围的配置文件,允许你通过设置不同的选项来改变客户端程序的运行方式。这个文件的每一行包含“关键词-值”的匹配,其中“关键词”是忽略大小写的。下面列出来的是最重要的关键词:
Protocol 2 #只支持SSH2协议
Port <端口号> #修改默认端口号
MaxStartups 5 #同时允许5个尚未登录的SSH联机
MaxAuthTries 3 #最大登录尝试次数为3
ServerKeyBits 1024 #将ServerKey强度改为1024比特
PermitEmptyPasswords no #禁止空密码进行登录
ChallengeResponseAuthentication no #禁用s/key密码
UsePAM no #不通过PAM验证
PermitRootLogin no #禁止root远程登录
PasswordAuthentication no #不允许密码方式的登录
RSAAuthentication no #不允许RSA认证,只针对SSH1
PubkeyAuthentication yes #允许公钥认证
AuthorizedKeysFile .ssh/authorized_keys #保存公钥的认证文件
UsePrivilegeSeparation yes #用户权限设置
SyslogFacility AUTH #记录SSH登录情况
LogLevel INFO #记录等级为INFO
PrintMotd yes #登录成功后显示/etc/motd 文件的内容
PrintLastLog no #不显示上次登录信息
Compression yes #是否压缩命令
KeepAlive yes #防止死连接
StrictModes yes #接受连接请求前对用户主目录和相关的配置文件进行宿主和权限检查
UseDNS no #不使用DNS反解
AllowUsers <用户名> #允许通过远程访问的用户,多个用户以空格分隔
AllowGroups <组名> #允许通过远程访问的组,多个组以空格分隔
DenyUsers <用户名> #禁止通过远程访问的用户,多个用户以空格分隔
DenyGroups <组名> #禁止通过远程访问的组,多个组以空格分隔
2、如果需要限制来路IP的话,可以修改/etc/hosts.deny和/etc/hosts.allow两个文件,通过添加sshd:<IP地址或IP段>来限制或允许SSH远程链接IP。
二、基于密钥认证的客户端连接
通过命令ssh -i ~/.ssh/<PrivateKeyFileName> <username>@<remote IP>登录远程机。
ssh客户端在登陆服务端时,会把对应的公钥写入~/.ssh/known_hosts文件。如果密钥发生改变,则将~/.ssh/known_hosts文件中对应的一行公钥删除,才能用新的私钥登录。
PUTTY:将私钥文件id_rsa拷贝到客户端,通过PUTTYGEN转换RSA密钥,保存私钥为ppk格式,最后通过密钥认证即可登录远程系统。
SecureCRT:将私钥文件id_rsa拷贝到客户端,在连接选项里把authentication的验证顺序中的PublicKey放到最先的位置,打开PublicKey验证的properties页,identity file选择id_rsa。
三、scp的使用
scp <源主机用户名>@<源主机名>:<源文件或目录路径,多个文件以空格分隔> <目标主机用户名>@<目标主机名>:<目标文件或目录路径>
如果源为本机的话,则只需要列出文件或目录路径即可。
常用参数 :
-v 显示进度
-C 压缩传输选项
-P 指定端口
-4 强行使用 IPV4 地址
-6 强行使用 IPV6 地址
-i 指定私钥文件路径
-r 遍历路径复制
-l 限制最大传输带宽,单位是Kb/s