RH124-09 OpenSSH服務配置與安全

原創 myworldkwd 2019-09-30 14:32

第九章 OpenSSH服務配置與安全


9.1 通過ssh訪問遠程命令

OpenSSH提供一個安全的遠程shell,用於管理遠程Linux、unix系統. 

OpenSSH使用非對稱加密手段加密保護通信數據.


$ ssh remotehost

$ ssh remoteuser@remotehost 或 ssh -l remoteuser remotehost

$ ssh remoteuset@remotehost remote-command


$ w -f


相關文件:

客戶端會首次登陸遠程機器的時候,會把遠程機器的公鑰保存在~/.ssh/know_hosts,以後每次登陸到某服務器的時候,都會對比遠程機器的公鑰和存在在本機的該服務器公鑰是否相同,如果不相同就會終止連接,防止***僞裝服務器.


服務端把相關的公鑰和私鑰存在/etc/ssh/*key*中

 


9.2 配置ssh的密鑰驗證

默認情況下,通過ssh登陸到遠程的系統,需要提供遠程系統上的帳號與密碼,但爲了降低密碼泄露的機率和提高登陸的方便性,可以使用基於密鑰的驗證.


1) 客戶端生成密鑰對


$ shh-keygen -t rsa

一路回車,不需要輸入任何東西


2) 客戶端把公鑰發送給遠程的系統

$ ssh-copy-id -i ~/.ssh/id_rsa.pub  server0

$ ssh-copy-id -i ~/.ssh/id_rsa.pub  root@server0


3) 登陸

$  ssh server0

結果: 免去密碼驗證,直接登陸到遠程的系統




9.3 自定義優化ssh的服務配置


如何找到sshd服務的配置文件?


需要了解的一些安全選項:

PermitRootLogin yes|no  是否允許root通過ssh登陸到本機

PermitRootLogin  without-password  只允許root通過密鑰驗證的手段ssh登陸到本機,對其他用戶不生效

PasswordAuthentication yes|no  默認是yes,允許通過ssh密碼驗證的方式登陸到本機.如果設定爲no,那麼只能通過密鑰驗證的手段登陸,針對所有用戶。




筆記:


9.1

方法1:  首次登陸要求保存遠端發過來的公鑰

[root@desktop0 ~]# ssh server0 用server0登陸

root@server0's password: 

Last login: Sat Jun  3 10:43:43 2017 from desktop0.example.com

[root@server0 ~]# 


[root@desktop0 ~]# host server0  登陸前提是可以解析到這個IP地址

server0.example.com has address 172.25.0.11


[root@desktop0 ~]# ssh 172.25.0.11   也可以直接登陸IP地址

[email protected]'s password: 

Last login: Sat Jun  3 10:44:08 2017 from desktop0.example.com

[root@server0 ~]# 

方法2:

[root@server0 ~]# ssh student@server0

The authenticity of host 'server0 (172.25.0.11)' can't be established.

ECDSA key fingerprint is eb:24:0e:07:96:26:b1:04:c2:37:0c:78:2d:bc:b0:08.

Are you sure you want to continue connecting (yes/no)? yes

Warning: Permanently added 'server0,172.25.0.11' (ECDSA) to the list of known hosts.

student@server0's password: 

Last login: Thu May 11 11:57:56 2017

[student@server0 ~]$ 


[root@server0 ~]# ssh root@server0

root@server0's password: 

Last login: Sat Jun  3 10:45:43 2017 from desktop0.example.com

[root@server0 ~]# 


方法3:


[root@server0 ~]# ssh 172.25.0.11 -l root      -l就是-login

[email protected]'s password: 

Last login: Sat Jun  3 10:49:27 2017 from server0.example.com

[root@server0 ~]# 



[root@server0 ~]# ssh server0 -l student

student@server0's password: 

Last login: Sat Jun  3 10:48:49 2017 from server0.example.com

[student@server0 ~]$ 



只需要遠程過去輸出一條命令過來,如取名字,如關機

[root@server0 ~]# ssh root@server0 hostname

root@server0's password: 

server0.example.com

[root@server0 ~]# 




[root@server0 ~]# w -f             可以看到哪些登陸到本機  :0代表是圖形界面

 11:01:53 up 23 min,  3 users,  load average: 0.00, 0.02, 0.08

USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT

root     pts/0    desktop0.example 10:45    1.00s  0.24s  0.16s ssh root@server

root     pts/1    server0.example. 10:49    1.00s  0.15s  0.02s w -f

[root@server0 ~]# 









[student@desktop0 Desktop]$ ssh root@server0

The authenticity of host 'server0 (172.25.0.11)' can't be established.

ECDSA key fingerprint is eb:24:0e:07:96:26:b1:04:c2:37:0c:78:2d:bc:b0:08.

Are you sure you want to continue connecting (yes/no)? yes

Warning: Permanently added 'server0,172.25.0.11' (ECDSA) to the list of known hosts.

root@server0's password: 

Last login: Sat Jun  3 10:50:21 2017 from server0.example.com

[root@server0 ~]# ls /etc/ssh/*key*                             server0存放的公鑰

/etc/ssh/ssh_host_ecdsa_key      /etc/ssh/ssh_host_rsa_key

/etc/ssh/ssh_host_ecdsa_key.pub  /etc/ssh/ssh_host_rsa_key.pub

[root@server0 ~]# 

[root@server0 ~]# 

[root@server0 ~]# cat /etc/ssh/ssh_host_ecdsa_key.pub

ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBHX+o9KAnlfw2dE7CsmM4hqfv1udM79a5NWC2BuWlmfKSwfYLptPQMJF8bnqaz0EjDlxCxRu/aito+GphPLzp/k= 

[root@server0 ~]# logout

Connection to server0 closed.

[student@desktop0 Desktop]$ grep server0 ~/.ssh/known_hosts                本機存放公鑰的地方

server0,172.25.0.11 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBHX+o9KAnlfw2dE7CsmM4hqfv1udM79a5NWC2BuWlmfKSwfYLptPQMJF8bnqaz0EjDlxCxRu/aito+GphPLzp/k=

[student@desktop0 Desktop]$ 





9.2   演示整個過程


[student@desktop0 Desktop]$ :> ~/.ssh/known_hosts  清空

[student@desktop0 Desktop]$ cat ~/.ssh/known_hosts


[student@desktop0 Desktop]$ ssh-keygen -t rsa

Generating public/private rsa key pair.

Enter file in which to save the key (/home/student/.ssh/id_rsa): 

Enter passphrase (empty for no passphrase): 

Enter same passphrase again: 

Your identification has been saved in /home/student/.ssh/id_rsa.

Your public key has been saved in /home/student/.ssh/id_rsa.pub.

The key fingerprint is:

65:09:74:d4:45:2b:86:7d:11:6e:96:0a:2d:b9:ce:81 [email protected]

The key's randomart p_w_picpath is:

+--[ RSA 2048]----+

|       .o.o. o=. |

|         o *.. + |

|          O = B  |

|         + = *   |

|        E o .    |

|         o .     |

|          o      |

|                 |

|                 |

+-----------------+

[student@desktop0 Desktop]$ 

[student@desktop0 Desktop]$ ls /home/student/.ssh/

authorized_keys  id_rsa  id_rsa.pub  known_hosts

[student@desktop0 Desktop]$ 



 ssh-copy-id -i ~/.ssh/id/id_rsa.pub server0   這樣登陸就可以保存用戶名和密碼,下次就不用輸入了



[student@desktop0 Desktop]$ ssh-copy-id -i ~/.ssh/id_rsa.pub root@server0

/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed

/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys

root@server0's password: 


Number of key(s) added: 1


Now try logging into the machine, with:   "ssh 'root@server0'"

and check to make sure that only the key(s) you wanted were added.


[student@desktop0 Desktop]$ ssh root@server0

Last login: Sat Jun  3 11:10:04 2017 from desktop0.example.com

[root@server0 ~]# 


[root@server0 ~]# cat /root/.ssh/authorized_keys   存放在這裏!!




9.3

改SSH配置


[root@server0 Desktop]# vim /etc/ssh/sshd_config 

第48排,

#PermitRootLogin no

[root@server0 Desktop]# systemctl restart sshd   重啓生效  /實驗未做成功   生產中會把管理員用戶名碼禁掉。



清空後再次用desk登陸server,提示不行

[root@desktop0 Desktop]#  :> ~/.ssh/known_hosts

[root@desktop0 Desktop]# ssh root@server0

The authenticity of host 'server0 (172.25.0.11)' can't be established.

ECDSA key fingerprint is eb:24:0e:07:96:26:b1:04:c2:37:0c:78:2d:bc:b0:08.

Are you sure you want to continue connecting (yes/no)? yes

Warning: Permanently added 'server0,172.25.0.11' (ECDSA) to the list of known hosts.

Last login: Sat Jun  3 12:09:25 2017 from desktop0.example.com

[root@server0 ~]# 


9.3總結

改都是在這個文件內vim /etc/ssh/sshd_config 

PermitRootLogin yes|no  是否允許root通過ssh登陸到本機

PermitRootLogin  without-password  只允許root通過密鑰驗證的手段ssh登陸到本機,對其他用戶不生效

PasswordAuthentication yes|no  默認是yes,允許通過ssh密碼驗證的方式登陸到本機.如果設定爲no,那麼只能通過密鑰驗證的手段登陸,針對所有用戶。


發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Strusts2+Hibernate4+Spring3的框架整合

搭建Spring3.2.1環境 1、把用到的Spring包拷貝到lib目錄下     2、新建配置文件 applicationContext.xml   加入<context: compontent-scan></context>標籤 <

panxianwen2012 2020-07-08 12:00:35

Web移動終端開發

PhoneGap: 一個開源的開發框架,使用HTML、CSS和JavaScript來構建跨平臺的移動應用程序。它使開發者能夠利用iPhone、Android、 Palm、Symbian、BlackBerry、Windows Phone和

panxianwen2012 2020-07-08 12:00:35

Java SSH獲取服務器文件內容

需要導入jar:j2ssh-core-0.2.9.jar import java.io.BufferedReader; import java.io.File; import java.io.FileOutputStream; i

哈哈金馆长 2020-07-08 11:36:23

java 模糊查詢 分頁(自定義標籤)

本次的實現是採用struts2+hibernate+分頁標籤 實現 class :PagerTag 是用來實現自定義分頁標籤,繼承SimpleTagSupport實現自定義標籤 public class PagerTag extends

jayqean 2020-07-08 10:40:19

spring中裝載多個配置文件的解決方法

當spring中同時存在多個配置文件時,你必須同時加載它,那你怎麼辦呢?我所知道的方法以下幾種: 1.使用監聽器或servlet,當然也可以自己寫類實現,這種方法要使用多個配置文件只需在web.xml中加入一個 <context-para

shihuacai 2020-07-08 10:04:11

struts 進不了action方法

這裏只是對於我所碰到的問題 <tr> <td class="altbg1">首映日期:</td> <td class="altbg2" colspan="11"> <input type="text" name="

jayqean 2020-07-08 10:03:21

dao注入的sessionFactory和hibernateTemplate丟失

版本 整合SSH struts版本: 2.5.14 spring版本: 5.0.3.RELEASE hibernate版本: 5.2.13.Final jdk版本: 1.8 數據庫使用MySql 現象: IDEA整合SSH的時候:突然遇到

幻岁 2020-07-08 04:29:41

struts2快速入門_day02

一:結果頁面配置 1.1:全局結果頁面 假如多個Action最終返回的頁面是一樣的,我們是這樣寫的, 無論訪問http://localhost:8080/項目名/JapanAction或者ChinaAction.action,最終都是訪問

一个虽然帅,但是菜的cxy 2020-07-07 23:08:11

struts2快速入門_day03

一: 1.1什麼是值棧: 1.2獲取值棧對象 1.3:值棧內部結構 根據快捷鍵,搜索這個jar包中的類,發現OgnlContext是Map類型,CompoundRoot是List類型 值棧內部結構有兩部分:context和root部分

一个虽然帅,但是菜的cxy 2020-07-07 23:08:11

【SSH實戰】IntelliJ IDEA環境開發BOS物流項目(六)POI技術Excel文件導出

一、分區組合條件分頁查詢n 分區分頁查詢(沒有過濾條件)頁面:WEB-INF/pages/base/subarea.jsp第一步:修改jsp頁面中datagrid的URL地址第二步:在SuareaAction中提供分頁查詢方法pageQu

麦客子 2020-07-07 21:30:59

gradle編譯spring

配置gralde 調整gradle的倉庫使用阿里鏡像,在.gradle下創建init.gradle,並輸入以下內容:   allprojects {     repositories {         maven {          

小灰灰1234 2020-07-07 21:27:14

HQL學習小結

1 joina 爲相關聯的實體或集合指定一個別名select mate from Cat as cat inner join cat.mate

iteye_19622 2020-07-07 14:48:17

ssh 整合出現的問題

Exception in thread "main" org.springframework.orm.hibernate4.HibernateSys

陈集福 2020-07-07 11:57:18

hibernate + spring 不能寫入數據庫,查詢就OK

發表於2008年07月30日 17:25 閱讀(4) 評論(0)   1.<id name="id" type="java.lang.Integer">            <column name="id" />           

ap0406708 2020-07-07 09:12:32

struts2錯誤 : java.lang.NoClassDefFoundError: org/apache/commons/logging/LogFactory

錯誤的意思 java虛擬機不能加載 org.apache.commons.logging.logFactory這個類 加上commons-logging-1.1.jar  (我還加了junit-3.8.1.jar~~~不知要不要的)就OK

ap0406708 2020-07-07 09:12:32