ssh服务、密钥登陆配置
ssh服務介紹
SSH是Secure Shell Protocol的簡寫
SSH先對聯機數據包通過加密技術進行加密處理,加密后在進行數據傳輸。確保了傳遞的數據安全
SSH服務主要提供兩個服務功能
?一是提供類似telnet遠程聯機服務器的服務,即SSH服務;
另一個是類似FTP服務的sftp-server,借助SSH協議來傳輸數據的,提供更安全的SFTP服務(vsftp,proftp)。
ssh服務的所在軟件包:openssh-clients、openssh-server
[root@nfs01 ~]# rpm -ql openssh-clients /etc/ssh/ssh_config --- ssh服務客戶端配置文件 /usr/bin/.ssh.hmac /usr/bin/scp --- ssh服務遠程傳輸復制命令scp /usr/bin/sftp --- ssh服務遠程傳輸文件服務 /usr/bin/slogin --- ssh服務遠程登陸命令 /usr/bin/ssh --- ssh服務遠程登陸命令 /usr/bin/ssh-add /usr/bin/ssh-agent /usr/bin/ssh-copy-id --- ssh服務遠程分發公鑰命令 /usr/bin/ssh-keyscan [root@nfs01 ~]# rpm -ql openssh-server /etc/rc.d/init.d/sshd #ssh服務啟動腳本文件 /etc/ssh/sshd_config #ssh服務配置文件 /etc/sysconfig/sshd #ssh服務創建密鑰有關 /usr/sbin/.sshd.hmac #ssh服務加密算法有關文件 /usr/sbin/sshd #ssh服務進程啟動命令ssh遠程登陸方式
[e:\~]$ ssh 10.0.0.31 #端口號不能改才能這樣Connecting to 10.0.0.31:22... Connection established. To escape to local shell, press 'Ctrl+Alt+]'.Last login: Tue Oct 17 23:22:43 2017 from 10.0.0.253 [root@nfs01 ~]#ssh服務認證過程與基于密鑰認證過程
ssh服務認證連接過程
ssh服務基于密鑰認證過程
ssh服務優化
ssh配置文件默認登陸參數修改
修改SSH服務的運行參數,是通過修改配置文件/etc/ssh/sshd_ config實現的。
一般來說SSH服務使用默認的配置已經能夠很好的工作了,如果對安全要求不高,僅僅提供 SSH服務的情況,可以不需要修改任何配置。
SSH配置文件相關參數說明
| 命令參教 | 參數說明 |
| Port | 指定sshd進程監聽的端口號,默認為22。可以使用多條指令監聽多個端口。默認將在本機的所有網絡接口上監聽,但是可以通過 ListenAddress指定只在某個特定的接口上監聽。 |
| PermitEmptyPasswords | 是否允許密碼為空的用戶遠程登錄。默認為"no"。 |
| PermitRootLogin | 是否允許root登錄。可用值如下:" yes"(默認)表示允許。"no”表示禁止。 "without-password"表示禁止使用密碼認證登錄。" forced- commands-only"表示只有在指定了command選項的情況下才允許使用公鑰認證登錄。同時其它認證方法全部被禁止。這個值常用于做遠程備份之類的事情。 1. 多開一個窗口 2. 臨時多部署一條連接方式 3. 給普通用戶 sudo權限 |
| UseDNS | 指定sshd是否應該對遠程主機名進行反向解析,以檢查此主機名是否與其IP地址真實對應。默認值為" yes"。 |
| ListenAddress | 指定監聽并提供服務相應的網卡地址信息 |
更改ssh默認登陸配置執行方法為:
[root@centos ~]#cp /etc/ssh/sshd_config /etc/ssh/sshd_config.ori ##—>更改配置前進行備份,是系統管理員的一個良好的習慣。 [root@centos ~]#vi /etc/ssh/sshd_config #—>編輯 sshd_config Port 4188 #—>ssh連接默認端口為22,這淮都知道。因此,為提高安全級別,建議改掉它。PermitRootLogin no #—>root超級用戶黑客都知道,建議禁止它遠程登陸能力。 PermitEmptyPasswords no #—>禁止空密碼登陸 UseDNS no #—>不使用DNS GSSA PI Authentication no #->認證的
重點配置參數說明
#Port 22 --- 表示修改ssh服務默認端口號 #AddressFamily any --- 指定監聽ipv4地址,或是ipv6地址,或者所有都監聽 #ListenAddress 0.0.0.0 --- 監聽地址只能監聽本地網卡上配置的地址,監聽的網卡可以對請求做出相應ssh服務秘鑰登錄配置
基于口令認證方式
[root@nfs01 ~]# ssh -p4188 10.0.0.41 root@10.0.0.41's password: Last login: Wed Oct 18 12:07:34 2017 from 10.0.0.31 [root@backup ~]#基于密鑰認證方式
第一步、創建密鑰對
[root@backup ~]# ssh-keygen -t rsa ### -t 指定以什么加密方式這里使用的rsa方式 Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub. The key fingerprint is: 8b:bd:a3:10:5d:88:e4:ea:0f:3a:d1:13:7a:31:f1:45 root@backup The key's randomart image is: +--[ RSA 2048]----+ | ..E | | .o ... | | oo.. . | | +... . | | o.+. . S | |o.+ . o . | | oo.. . o | |.. o . .. | |.. . .... | +-----------------+ [root@backup ~]# ll ~/.ssh/ total 12 -rw------- 1 root root 1671 Oct 18 11:06 id_rsa -rw-r--r-- 1 root root 393 Oct 18 11:06 id_rsa.pub -rw-r--r-- 1 root root 1178 Oct 11 15:50 known_hosts第二步、將公鑰分發給存儲服務器
[root@backup ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub 10.0.0.31 ##-i指定公鑰路徑 root@10.0.0.31's password: Now try logging into the machine, with "ssh '10.0.0.31'", and check in:.ssh/authorized_keys
to make sure we haven't added extra keys that you weren't expecting.
第三步、登陸測試
[root@backup ssh]# ssh 10.0.0.31 Last login: Wed Oct 18 00:58:52 2017 from 172.16.1.41 [root@nfs01 ~]#?
轉載于:https://www.cnblogs.com/lyq863987322/p/7886344.html
總結
以上是生活随笔為你收集整理的ssh服务、密钥登陆配置的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 如何在线将pdf转换成ppt格式
- 下一篇: 列出文件夹下所有文件命令