2_2.Linux中的远程登录服务

# 一.Openssh的功能 #

1.sshd服务的用途#

#作用:可以实现通过网络在远程主机中开启安全shell的操作

Secure SHell ===>ssh ##客户端

Secure SHell daemon ===>sshd ##服务端

2.安装包#

openssh-server

3.主配置文件# /etc/ssh/sshd_conf

4.默认端口#

22

5.客户端命令#

ssh

# 二.实验环境配置 #

保证干净的实验环境,重新配置nodea与nodeb的ip,并删除不必要的文件

配置nodea:

配置nodeb:

#三.SSH#

(1)基础知识

复制代码
ssh [-l 远程主机用户] <ip|hostname>
ssh -l root 172.25.254.105 ##通过ssh命令在105主机中以root身份开启远程shell

(2)远程主机key的问题解决

复制代码
[lee@westos_lee ~]$ ssh -l root 172.25.254.105
 The authenticity of host '172.25.254.105 (172.25.254.105)' can't be established.
 ECDSA key fingerprint is SHA256:1uLJ3EuYzt16BrtDrGdbjOY6wxCZcfppTLSwTI3BuCs.
 Are you sure you want to continue connecting (yes/no/[fingerprint])? yes   ##身份证明生成过程确认
#作用#
当收入<yes>后
105主机会向当前主机发送身份公钥,并保存此公钥到~/.ssh/know_hosts
 105主机持有私钥当客户主机再次连接时会对客户主机进行身份验证

如果身份验证改变拒绝连接效果如下
[lee@westos_lee ~]$ ssh -l root 172.25.254.105
 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 @
    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     
@
 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
 Someone could be eavesdropping on you right now (man-in-the-middle attack)!
 It is also possible that a host key has just been changed.
 The fingerprint for the ECDSA key sent by the remote host is
 SHA256:1uLJ3EuYzt16BrtDrGdbjOY6wxCZcfppTLSwTI3BuCs.
 Please contact your system administrator.
 Add correct host key in /home/lee/.ssh/known_hosts to get rid of this message.
 Offending ECDSA key in /home/lee/.ssh/known_hosts:1
 ECDSA host key for 172.25.254.105 has changed and you have requested strict checking.
 Host key verification failed.

 #当连接因为认证问题被拒绝时解决方案#
 vim ~/.ssh/know_hosts ##在此文件中删除报错提示相应的行即可

(3)ssh常用参数

复制代码
-l #指定登陆用户
-i #指定私钥
-X #开启图形
-f #后台运行
-o #指定连接参数
# ssh -l root@172.25.254.x -o "StrictHostKeyChecking=no" 首次连接不许要输入yes
-t #指定连接跳板
# ssh -l root 172.25.254.1 -t ssh -l root 172.25.254.105

​​​​​

# 四.sshd key认证 #

(1)认证类型

(1)对称加密

#加密和解密是同一串字符

#容易泄漏

#可暴力破解

#容易遗忘

(2)非对称加密

#加密用公钥,解密用私钥

#不会被盗用

#攻击者无法通过无密钥方式登陆服务器

(2)生成非对称加密密钥

方法一:交互式

复制代码
#方法1
$ ssh-keygen 
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): ##输入保存密钥文件
Enter passphrase (empty for no passphrase): ##密钥密码
Enter same passphrase again: ##确认密码
Your identification has been saved in /root/.ssh/id_rsa. ##私钥
Your public key has been saved in /root/.ssh/id_rsa.pub. ##公钥

方法二:非交互式

复制代码
#方法二
$ssh-keygen -f /root/.ssh/id_rsa -P ""

(3)对服务器加密

做完上述步骤,相当于在商店买了一把锁和钥匙,但是还没有给对应的门上上锁

使用下图的步骤,用指定锁对指定用户及主机上锁

复制代码
ssh-copy-id -i /root/.ssh/id_rsa.pub username@serverip
ssh-copy-id -i /root/.ssh/id_rsa.pub lee@172.25.254.105

服务器加密测试:

复制代码
ssh lee@172.25.254.105 ##登陆lee用户不需要输入密码

# 五.sshd 安全优化参数详解 #

实验环境:

复制代码
 setenforce 0
 systemctl disable --now firewalld

(1)设定端口为2222

​​​​​​

​​​​​​

(2)对超级用户登陆是否禁止

复制代码
PermitRootLogin yes|no #对超级用户登陆是否禁止 

(3)用户黑白名单

复制代码
AllowUsers lee #用户白名单
DenyUsers lee #用户黑名单

(4)是否开启原始密码认证方式

复制代码
PasswordAuthentication yes|no #是否开启原始密码认证方式

相关推荐
程序员弘羽10 分钟前
Linux进程管理:从基础到实战
linux·运维·服务器
PanZonghui17 分钟前
Centos项目部署之常用操作命令
linux
JeffersonZU21 分钟前
Linux/Unix进程概念及基本操作(PID、内存布局、虚拟内存、环境变量、fork、exit、wait、exec、system)
linux·c语言·unix·gnu
大熊程序猿35 分钟前
netcore PowerShell 安装-linux
linux·运维
Johny_Zhao1 小时前
Docker 一键安装部署 JumpServer 堡垒机
linux·网络安全·信息安全·云计算·shell·jumpserver·ldap·yum源·系统运维
网硕互联的小客服1 小时前
服务器如何配置防火墙规则以阻止恶意流量和DDoS攻击?
服务器·网络·ddos
AIbase20241 小时前
国内MCP服务平台推荐!aibase.cn上线MCP服务器集合平台
运维·服务器·人工智能
艾立泰智能包装1 小时前
电商分拣的“效率密码”:艾立泰轻量化托盘引领自动化流水线革新
运维·自动化
cpsvps_net1 小时前
Windows内存泄漏自动化
运维·自动化
喜欢吃豆2 小时前
快速手搓一个MCP服务指南(九): FastMCP 服务器组合技术:构建模块化AI应用的终极方案
服务器·人工智能·python·深度学习·大模型·github·fastmcp