配置OpenSSH服務端
1.1配置SSH及配置文件
openssh服務器由openssh、openssh-server等軟件包提供(默認已安裝)
服務名稱:sshd:
sshd服務的配置文件是:/etc/ssh/sshd_config
服務的管理:systemctl
systemctl status sshd 查看服務狀態
systemctl start sshd 啓動服務
systemctl restart sshd 重啓服務
systemctl stop sshd 停止服務
systemctl enable sshd 開機自啓
systemctl is-enabled sshd 查看是否開機自啓
systemctl disable sshd 禁用開機自啓
如何連接服務呢?
使用winscp遠程連接服務器:
(1)確認sshd服務是開啓的
(2)查看服務器的IP地址:ifconfig
(3)使用winscp連接
(4)ifup ens33(默認網卡名是ens33,可在有線設置內查看)啓動ens33
1.2服務監聽選項
sshd服務使用的默認端口號爲22,必要時建議修改此端口號,並指定監聽服務的具體IP地址,以提高在網絡中的隱蔽性。SSH協議的版本選用V2比V1的安全性要更好,禁用DNS反向解析可以提高服務器的響應速度。
[root@localhost ~]# vim /etc/ssh/sshd_config
Port 22 //監聽端口爲22
ListenAddress 192.168.10.1 //監聽地址爲192.168.10.1
… //省略內容
UseDNS yes //禁用DNS反射解析
… //省略內容
[root@localhost ~]# systemctl restart sshd
1.3用戶登錄控制
sshd服務默認允許root用戶登錄,當在Internet中使用時這是非常不安全的。普遍的做法是:先以普通用戶遠程登錄,進入安全shell環境後,根據實際需要使用su命令切換爲root用戶。關於sshd服務的用戶登錄控制,通常就禁止root用戶或密碼爲空的用戶登錄。另外,可以限制登錄驗證的時間(默認爲2分鐘)及最大重次數,若超過限制後仍未登錄則斷開連接。
編輯vim /etc/ssh/sshd_config配置文件
[root@localhost ~]# vim /etc/ssh/sshd_config
LoginGraceTime 2m //登錄驗證時間
PermitRootLogin no //禁止root用戶登錄
MaxAuthTries 6 //最大重試次數
MaxSessions 10 //最大連接數
PermitEmptyPasswords no //禁止空密碼用戶登錄
… //省略內容
[root@localhost ~]# systemctl restart sshd
如果只允許或禁止某些用戶登錄時,可以使用AllowUsers或DenyUsers配置,兩者用法類似(不能同時使用)。
舉例: 只允許stu1和stu2用戶登錄,其中stu2用戶僅能從IP地址爲 192.168.10.100
的主機遠程登錄,配置如下:
[root@localhost ~]# vim /etc/ssh/sshd_config
… //省略內容
AllowUsers stu1 [email protected] //多個用戶用空格隔開
[root@localhost ~]# systemctl restart sshd
1.4實操
(1)禁止root用戶登錄
啓動sshd服務
編輯配置文件:
#表示註釋,在命令模式下使用a鍵進入編輯模式,刪除#號,註釋掉的服務就啓動了,在末行模式(Esc鍵後輸入冒號)輸入wq保存並且退出。
保存修改退出後,重啓服務進行測試:
systemctl restart sshd
使用ifconfig查看虛擬機的ip
使用WinSCP工具進行測試:
這裏提示拒絕訪問,說明配置成功了。
(2)設置其他用戶登錄方式
只允許stu1和stu2用戶可以遠程訪問服務器,其中stu2用戶僅能在IP地址爲192.168.10.100的主機上遠程登錄
需要啓動sshd服務後
使用vim /etc/sshd/sshd_config編輯sshd配置文件
在文件末尾(或任意位置)添加這一句配置
測試:
測試前需要保存配置,並重啓sshd服務,配置才能生效
同樣使用WinSCP進行測試
stu1用戶登錄成功:
測試stu2是否能登錄
stu2訪問失敗,當前主機的IP並不是192.168.10.100
如果有小夥伴想測試stu2輸入正確的主機IP能否登錄成功,可以嘗試將配置裏的地址設置成主機上VMnat8的IP,如果不行的話就輸入你主機上面的所有IP進行嘗試,如果成功,則利用排錯法,逐一排除,最終測試完成。