第三章 遠程訪問及控制
一、SSH遠程管理
SSH(Secure Shell)是一種安全通道協議,主要用來實現字符界面的遠程登錄、遠程複製等功能。
1、配置OpenSSH服務端
(1)SSH服務及配置文件
①安裝包:openssh、openssh-server等(默認已安裝)
②服務文件:sshd
③配置文件:/etc/ssh/sshd_config
(2)服務監聽選項
①默認使用端口號爲22,必要時建議修改此端口號,並指定監聽服務的具體IP地址,提高在網絡中的隱蔽性。禁用DNS反向解析可以提高服務器響應速度
②Port 22:監聽端口設置
③ListenAddress 192.168.1.254:監聽地址
④Protocol 2:使用SSJ V2協議
⑤UseDNS no:禁用DNS反向解析
(3)用戶登錄控制
①通常應禁止root用戶或密碼爲空的用戶登錄。此外可限制登錄驗證時間(默認2分鐘)及最大重試次數。
②LoginGraceTime 2m:登錄驗證時間
③PermitRootLogin no:禁止root登錄
④MaxAuthTries 6:最大重試次數爲6
⑤PermitEmptyPasswords no:禁止空密碼登錄
⑥AllowUsers jerry [email protected]:允許用戶或用戶從指定IP登錄
⑦DenyUsers:禁止指定用戶
(4)登錄驗證方式
①密碼驗證:以服務器本地用戶及密碼進行驗證
②密匙驗證:使用公鑰、私鑰加密解密關聯驗證
1)公鑰和私鑰是成對生成的,兩者互不相同,可相互加密解密
2)不能根據一個祕鑰來推算出另一個
3)公鑰對外公開,私鑰只有持有人才知道
2、使用SSH客戶端程序
(1)命令程序ssh、scp、sftp
①ssh遠程登錄
1)ssh [email protected]
2)-p:使用非默認端口號時,需使用-p指定端口號
②scp遠程複製
1)scp [email protected]:/etc/passwd /root/pwd254.txt
2)scp -r /root/mydir/ [email protected]:/opt
③sftp安全FTP
1)sftp [email protected]
2)put:上傳
3)get:下載
4)bye:退出
(2)圖形工具Xshell
3、構建祕鑰對驗證的SSH體系
(1)在客戶端創建祕鑰對
①ssh-keygen -t rsa或dsa
②祕鑰文件默認創建在家目錄的.ssh目錄中
③id_rsa:私鑰
④id_rsa.pub:公鑰
(2)將公鑰上傳至服務器
①scp id_rsa.pub [email protected]:tmp
(3)在服務器中導入公鑰
①在使用公鑰的用戶家目錄中創建.ssh目錄
②cp /tmp/id_rsa.pub ~/.ssh/authorized_kes(authorized_kes爲默認的文件名)
(4)注意:只有家目錄的.ssh目錄中有私鑰的賬號才能登陸,且登陸後的賬號爲服務器中家目錄有公鑰的用戶賬號
(5)2-3步可使用ssh-copy-id -i 公鑰文件 user@host格式代替。複製時會蔣公要自動添加到目標主機對應user的宿主目錄並修改文件名
4、sshd_config配置文件詳解
