環(huán)境內(nèi)核信息： [root@zabbix-01 ~]# uname -a Linux lodboyedu-01 2.6.32-696.el6.x86_64 #1 SMP Tue Mar 21 19:29:05 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux

ssh服務(wù)介紹

SSH是Secure Shell Protocol的簡寫

SSH先對聯(lián)機(jī)數(shù)據(jù)包通過加密技術(shù)進(jìn)行加密處理，加密后在進(jìn)行數(shù)據(jù)傳輸。確保了傳遞的數(shù)據(jù)安全

SSH服務(wù)主要提供兩個服務(wù)功能

?一是提供類似telnet遠(yuǎn)程聯(lián)機(jī)服務(wù)器的服務(wù)，即SSH服務(wù)；

另一個是類似FTP服務(wù)的sftp-server，借助SSH協(xié)議來傳輸數(shù)據(jù)的，提供更安全的SFTP服務(wù)(vsftp,proftp)。

ssh服務(wù)的所在軟件包：openssh-clients、openssh-server

[root@nfs01 ~]# rpm -ql openssh-clients /etc/ssh/ssh_config --- ssh服務(wù)客戶端配置文件 /usr/bin/.ssh.hmac /usr/bin/scp --- ssh服務(wù)遠(yuǎn)程傳輸復(fù)制命令scp /usr/bin/sftp --- ssh服務(wù)遠(yuǎn)程傳輸文件服務(wù) /usr/bin/slogin --- ssh服務(wù)遠(yuǎn)程登陸命令 /usr/bin/ssh --- ssh服務(wù)遠(yuǎn)程登陸命令 /usr/bin/ssh-add /usr/bin/ssh-agent /usr/bin/ssh-copy-id --- ssh服務(wù)遠(yuǎn)程分發(fā)公鑰命令 /usr/bin/ssh-keyscan [root@nfs01 ~]# rpm -ql openssh-server /etc/rc.d/init.d/sshd #ssh服務(wù)啟動腳本文件 /etc/ssh/sshd_config #ssh服務(wù)配置文件 /etc/sysconfig/sshd #ssh服務(wù)創(chuàng)建密鑰有關(guān) /usr/sbin/.sshd.hmac #ssh服務(wù)加密算法有關(guān)文件 /usr/sbin/sshd #ssh服務(wù)進(jìn)程啟動命令

ssh遠(yuǎn)程登陸方式

[e:\~]$ ssh 10.0.0.31 #端口號不能改才能這樣Connecting to 10.0.0.31:22... Connection established. To escape to local shell, press 'Ctrl+Alt+]'.Last login: Tue Oct 17 23:22:43 2017 from 10.0.0.253 [root@nfs01 ~]#

ssh服務(wù)認(rèn)證過程與基于密鑰認(rèn)證過程

ssh服務(wù)認(rèn)證連接過程

ssh服務(wù)基于密鑰認(rèn)證過程

ssh服務(wù)優(yōu)化

ssh配置文件默認(rèn)登陸參數(shù)修改

修改SSH服務(wù)的運(yùn)行參數(shù)，是通過修改配置文件/etc/ssh/sshd_ config實(shí)現(xiàn)的。

一般來說SSH服務(wù)使用默認(rèn)的配置已經(jīng)能夠很好的工作了，如果對安全要求不高，僅僅提供 SSH服務(wù)的情況，可以不需要修改任何配置。

SSH配置文件相關(guān)參數(shù)說明

命令參教	參數(shù)說明
Port	指定sshd進(jìn)程監(jiān)聽的端口號，默認(rèn)為22。可以使用多條指令監(jiān)聽多個端口。默認(rèn)將在本機(jī)的所有網(wǎng)絡(luò)接口上監(jiān)聽，但是可以通過 ListenAddress指定只在某個特定的接口上監(jiān)聽。
PermitEmptyPasswords	是否允許密碼為空的用戶遠(yuǎn)程登錄。默認(rèn)為"no"。
PermitRootLogin	是否允許root登錄。可用值如下：" yes"(默認(rèn)）表示允許。"no”表示禁止。 "without-password"表示禁止使用密碼認(rèn)證登錄。" forced- commands-only"表示只有在指定了command選項(xiàng)的情況下才允許使用公鑰認(rèn)證登錄。同時(shí)其它認(rèn)證方法全部被禁止。這個值常用于做遠(yuǎn)程備份之類的事情。 1. 多開一個窗口 2. 臨時(shí)多部署一條連接方式 3. 給普通用戶 sudo權(quán)限
UseDNS	指定sshd是否應(yīng)該對遠(yuǎn)程主機(jī)名進(jìn)行反向解析，以檢查此主機(jī)名是否與其IP地址真實(shí)對應(yīng)。默認(rèn)值為" yes"。
ListenAddress	指定監(jiān)聽并提供服務(wù)相應(yīng)的網(wǎng)卡地址信息

更改ssh默認(rèn)登陸配置執(zhí)行方法為：

[root@centos ~]#cp /etc/ssh/sshd_config /etc/ssh/sshd_config.ori ##—>更改配置前進(jìn)行備份，是系統(tǒng)管理員的一個良好的習(xí)慣。 [root@centos ~]#vi /etc/ssh/sshd_config #—>編輯 sshd_config Port 4188 #—>ssh連接默認(rèn)端口為22，這淮都知道。因此，為提高安全級別，建議改掉它。
PermitRootLogin no #—>root超級用戶黑客都知道，建議禁止它遠(yuǎn)程登陸能力。 PermitEmptyPasswords no #—>禁止空密碼登陸 UseDNS no #—>不使用DNS GSSA PI Authentication no #->認(rèn)證的

重點(diǎn)配置參數(shù)說明

#Port 22 --- 表示修改ssh服務(wù)默認(rèn)端口號 #AddressFamily any --- 指定監(jiān)聽ipv4地址，或是ipv6地址，或者所有都監(jiān)聽 #ListenAddress 0.0.0.0 --- 監(jiān)聽地址只能監(jiān)聽本地網(wǎng)卡上配置的地址，監(jiān)聽的網(wǎng)卡可以對請求做出相應(yīng)

ssh服務(wù)秘鑰登錄配置

基于口令認(rèn)證方式

[root@nfs01 ~]# ssh -p4188 10.0.0.41 root@10.0.0.41's password: Last login: Wed Oct 18 12:07:34 2017 from 10.0.0.31 [root@backup ~]#

基于密鑰認(rèn)證方式

第一步、創(chuàng)建密鑰對

[root@backup ~]# ssh-keygen -t rsa ### -t 指定以什么加密方式這里使用的rsa方式 Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub. The key fingerprint is: 8b:bd:a3:10:5d:88:e4:ea:0f:3a:d1:13:7a:31:f1:45 root@backup The key's randomart image is: +--[ RSA 2048]----+ | ..E | | .o ... | | oo.. . | | +... . | | o.+. . S | |o.+ . o . | | oo.. . o | |.. o . .. | |.. . .... | +-----------------+ [root@backup ~]# ll ~/.ssh/ total 12 -rw------- 1 root root 1671 Oct 18 11:06 id_rsa -rw-r--r-- 1 root root 393 Oct 18 11:06 id_rsa.pub -rw-r--r-- 1 root root 1178 Oct 11 15:50 known_hosts

第二步、將公鑰分發(fā)給存儲服務(wù)器

[root@backup ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub 10.0.0.31 ##-i指定公鑰路徑 root@10.0.0.31's password: Now try logging into the machine, with "ssh '10.0.0.31'", and check in:
.ssh/authorized_keys
to make sure we haven't added extra keys that you weren't expecting.

第三步、登陸測試

[root@backup ssh]# ssh 10.0.0.31 Last login: Wed Oct 18 00:58:52 2017 from 172.16.1.41 [root@nfs01 ~]#

?

轉(zhuǎn)載于:https://www.cnblogs.com/lyq863987322/p/7886344.html

總結(jié)

以上是生活随笔為你收集整理的ssh服务、密钥登陆配置的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。