本文共 3602 字，大约阅读时间需要 12 分钟。

一、远程登录

【1】实验环境

root@DD-------- > 192.168.1.33 root@dd --------- > 192.168.1.44

为了实验效果更加直观此处修改主机名称以及背景和字体颜色：

以下为实验环境的建立：

另一台同如此 只改变ip

ping： 【2】远程操作主机 ssh 远程主机ip -l 远程主机用户

二、Openssh服务的基本信息

Openssh

【1】作用：

在企业中的运维工作，不是1v1的运维，运维工程师基本都是1vN

在运维工程师对服务器进行管理时，需要通过网络登录远程主机 需要通过网络在远程主机中开启shell来进行操作 远程主机必须提供这样开启shell的方式 以上需求由openssh服务来提供 远程主机中安装了openssh并开启了这个程序，那么我们就可以通过网络来链接这台主机了 【2】软件包名称 openssh-server 【3】服务名称 sshd 【4】客户端 ssh

ssh 172.25.254.106 -l root	172.25.254.206 远程主机ip
ssh 172.25.254.206 -l root login	登录root 远程主机的超级用户

三、Openssh服务的安全配置

【1】修改端口

vim /etc/ssh/sshd_config 17 port 22 --------> port 1111 关闭firewalld服务 【2】端口绑定 vim /etc/ssh/sshd_config 19 #ListenAddress 0.0.0.0 -----> ListenAddress 172.25.254.206

未指定端口前三个端口都可连接

【3】密码认证的关闭 vim /etc/ssh/sshd_config 73 PasswordAuthentication no 禁用密码认证

测试：

172.25.254.106 禁用密码验证 PasswordAuthentication no 172.25.254.206 开启密码验证 PasswordAuthentication yes

172.25.254.106 -----> ssh root@172.25.254.206 可以登陆

172.25.254.206 -----> ssh root@172.25.254.106 可以输入密码

参数更改并重启服务后

systemcet restart sshd.service

172.25.254.106 -----> ssh root@172.25.254.206 可以登陆

172.25.254.206-----> ssh root@172.25.254.106 不可输入密码直接被拒绝

【4】sshd服务的用户控制

建立实验素材

在服务器中：

172.25.254.106 useradd westos useradd lee echo lee| passwd --stdin wetos echo lee| passwd --stdin lee

操作完成系统中存在至少3个用户

用户 密码 root lee westos lee lee lee 【1】root用户访问控制 vim /etc/ssh/sshd_config 46 PermitRootLogin yes —> PermitRootLogin no 禁止root用户使用ssh进行认证 实验： 172.25.254.106： ssh 172.25.254.206 -l root 默认输入正确密匙可以完成认证

修改参数后

ssh 172.25.254.206 -l root 输入正确密匙仍然不能登录

【2】用户黑名单 （默认可以登录，名单中的用户被禁止）

vim /etc/ssh/sshd_cnfig

DenyUser lee lee用户不能使用sshd服务

实验： 172.25.254.106 ssh 172.25.254.206 -l lee 默认可以登录 ssh 172.25.254.206 -l westos 可以登陆

修改参数后

ssh 172.25.254.206 -l westos 可以登陆 ssh 172.25.254.206 -l lee 不可以登录

【3】用户白名单 （默认不可以登录，名单中的用户被允许）

vim /etc/ssh/sshd_cnfig

AllowUsers westos 用户可以使用sshd服务，默认用户被禁止

实验：

1  172.25.254.102  ssh 172.25.254.206 -l lee         默认可以登录3  ssh 172.25.254.206 -l westos      可以登陆4  ssh 172.25.254.206 -l root        可以登录修改参数后systemctl restart service5  ssh 172.25.254.206 -l westos      可以登录6  ssh 172.25.254.206 -l lee         不可以登陆7  ssh 172.25.254.206 -l root        不可以登录

五、远程执行命令

172.25.254.206 登录模式选择第二个 （x11模式）

172.25.254.106： ssh 172.25.254.206 -l root 此方法登录时不能调用远程主机的图形模式 ssh -X 172.25.254.206 -l root 当前登录可以调用图形 -X 代表启用x11图形连接 ssh 172.25.254.206 -l root touch /root/Desktop/westosfile{1…10} 直接执行命令在远程主机中 ssh 172.25.254.206 -l root -o StrictHostKeyChencking=no 在连接主机时不检测HOSTKEY（屏蔽yes\no的输入）

六、sshd登录信息修改

172.25.254.20：

vim /etc/motd	在此文件中有什么字符在ssh登录时就可以看到什么字符

七、Openssh服务的key认证

【1】用户密码认证（对称加密）

• 密码容易泄露
• 容易忘记
  【2】密匙认证（非对称加密）
• 安全
• 不会忘记密码
  【3】建立key认证方式
  1.建立key文件
  172.25.254.206主机

[root@dd_client ~]# ssh-keygen   j建立认证key文件Generating public/private rsa key pair.Enter file in which to save the key (/root/.ssh/id_rsa):   加密字符保存位置Enter passphrase (empty for no passphrase):     key认证密码，通常设定为空Enter same passphrase again:            重复key认证密码Your identification has been saved in /root/.ssh/id_rsa.Your public key has been saved in /root/.ssh/id_rsa.pubThe key fingerprint is:SHA256:Uh8cYTxqCShLnD3NUxpIQ4/N0tSVuyPuMzHuGnxSd1kroot@dd .comThe key's randomart image is:+---[RSA 2048]----+| . =+=..oo+.     ||  = =B=+.oo.     || . oo.*o.+o.E    ||  .. . .=. +     ||    o o.S.+      ||   . o+oo.       ||    +o.+ .       ||     +=          ||    .+oo         |+----[SHA256]-----+

2.上传公匙（加密远程主机）

[root@dd ~]# ssh-copy-id -i /root/.ssh/id_rsa.pub root@172.25.254.206

其中： #　　 ssh-copy-id 　　上传密匙命令 #　　-i 　　　　　　　 指定公匙 #　　/root/.ssh/id_rsa.pub 　公匙名称 #　　root 　　　　　　 远程主机被加密用户 #　　@ 　　　　　　　分割符 #　　172.25.254.206　 远程主机地址

转载地址：http://aaegn.baihongyu.com/