Linux的远程登陆服务

一.Openssh的功能

实验前需搭建网桥，使虚拟机与真机可以互ping
真机步骤：
修改文件ifcfg-enp0s25

ifcfg-br0

修改完成需reboot
开机执行virt-manager指令
双击进入

虚拟机操作步骤：




注意：虚拟机与真机ip地址不能相同，两边可以互ping即为搭建成功

• 1.sshd服务的用途
  作用：可以实现通过网络在远程主机中开启安全shell的操作
  Secure shell ====> ##客户端
  Secure shell daemon ====> ##服务端
• 2.主配置文件 /etc/ssh/sshd_conf
• 3.默认端口 22
• 4.客户端命令 ssh

二.ssh

1.基本用法

• ssh -l 远程主机用户 ip|hostname ##远程登录服务器端

• 经过身份认证过程，输入yes后，服务器端会向当前主机发送身份公钥，并保存此公钥在~/.ssh/know_hosts,再次连接时会对客户主机进行身份认证。认证成功即可登陆

• （身份认证改变拒绝连接，通过删除服务器/etc/ssh/ssh_host_*，重启sshd服务来改变身份认证）删除key重新登陆 ，vim ~/.ssh/known_hosts #删除内容
  
  

• 再次连接认证确认身份 ～/.ssh/known_hosts已更新

ssh参数（默认用户）

• l ##指定登陆用户
  

• -i ##指定私钥

• -X ##开启图形
  

• -f ##后台运行
  

• -o ##指定连接参数 “StrictHostKeyChecking=no” 登陆无需输入yes和no（实验前删去～/.ssh/known_hosts）
  

• -l ##指定跳板 ssh -l root 172.25.254.112 -t ssh -l root 172.25.254.112 (以112为跳板，虚拟机显示为112连接)
  

三、sshd key 认证（切换至新建用户）

1.认证类型

• 1)对称加密
  加密与解密同一字符串 容易泄露，
  可暴力破解，容易遗忘
• 2）非对称加密
  加密用公钥，解密用私钥 不会被盗用
  攻击者无法通过无密钥方式登陆服务器
  密钥认证：用一个文件来解锁另一个文件的无密钥认证方式

2.生成非对称加密密钥

• 交互生成

  • ssh-keygen ##生成密钥（可在/home/luqianqian/.ssh内查看）（需交互，可直接全部enter）

• 无交互生成

  • ssh-keygen -f /home/luqianqian/.ssh/id_rsa -P “” ##无交互，直接建立完成
    

3.对服务器加密

• ssh-copy-id -i /home/luqianqian/.ssh/id_rsa.pub root@172.25.254.112
  ##将公钥给到服务器端，对其进行加密
  
• ssh root@172.25.254.112 ##可无密登陆
  
• 建立完成后，虚拟机/root/.ssh/中出现authorized_keys文件， 创建密钥用户主机～/.ssh/中出现 id_rsa
  id_rsa.pub 文件。 客户端可无密登录

四、sshd安全优化参数详解

• 实验准备
• getenforce
  Disable ##可直接执行
  否则执行 setenforce 0
  systemctl disable --now firewalld ##关闭防火墙
• 需修改文件名为/etc/ssh/sshd_config
  每次修改完需进行systemctl reload sshd（加载更新信息）
• Port 2222 ###设定端口号
• PermitRootLogin yes|no ##设定是否允许以root用户登陆
  
  
• PasswordAuthentication yes|no ##是否开启原始密码认证（关闭则直接拒绝）
  
  
• AllowUsers lee ##用户白名单（仅允许用户lee登陆）
  
  
• DenyUsers luqianqian ##用户黑名单
  
  

标签：sshd,服务,##,认证,远程登陆,ssh,Linux,加密,root
来源： https://blog.csdn.net/weixin_44632711/article/details/112826402