一.Openssh的功能
实验前需搭建网桥,使虚拟机与真机可以互ping
真机步骤:
修改文件ifcfg-enp0s25
ifcfg-br0
修改完成需reboot
开机执行virt-manager指令
双击进入
虚拟机操作步骤:
注意:虚拟机与真机ip地址不能相同,两边可以互ping即为搭建成功
- 1.sshd服务的用途
作用:可以实现通过网络在远程主机中开启安全shell的操作
Secure shell ====> ##客户端
Secure shell daemon ====> ##服务端 - 2.主配置文件 /etc/ssh/sshd_conf
- 3.默认端口 22
- 4.客户端命令 ssh
二.ssh
1.基本用法
-
ssh -l 远程主机用户 ip|hostname ##远程登录服务器端
-
经过身份认证过程,输入yes后,服务器端会向当前主机发送身份公钥,并保存此公钥在~/.ssh/know_hosts,再次连接时会对客户主机进行身份认证。认证成功即可登陆
-
(身份认证改变拒绝连接,通过删除服务器/etc/ssh/ssh_host_*,重启sshd服务来改变身份认证)删除key重新登陆 ,vim ~/.ssh/known_hosts #删除内容
-
再次连接认证确认身份 ~/.ssh/known_hosts已更新
ssh参数(默认用户)
-
l ##指定登陆用户
-
-i ##指定私钥
-
-X ##开启图形
-
-f ##后台运行
-
-o ##指定连接参数 “StrictHostKeyChecking=no” 登陆无需输入yes和no(实验前删去~/.ssh/known_hosts)
-
-l ##指定跳板 ssh -l root 172.25.254.112 -t ssh -l root 172.25.254.112 (以112为跳板,虚拟机显示为112连接)
三、sshd key 认证(切换至新建用户)
1.认证类型
- 1)对称加密
加密与解密同一字符串 容易泄露,
可暴力破解,容易遗忘 - 2)非对称加密
加密用公钥,解密用私钥 不会被盗用
攻击者无法通过无密钥方式登陆服务器
密钥认证:用一个文件来解锁另一个文件的无密钥认证方式
2.生成非对称加密密钥
-
交互生成
- ssh-keygen ##生成密钥(可在/home/luqianqian/.ssh内查看)(需交互,可直接全部enter)
-
无交互生成
- ssh-keygen -f /home/luqianqian/.ssh/id_rsa -P “” ##无交互,直接建立完成
- ssh-keygen -f /home/luqianqian/.ssh/id_rsa -P “” ##无交互,直接建立完成
3.对服务器加密
- ssh-copy-id -i /home/luqianqian/.ssh/id_rsa.pub [email protected]
##将公钥给到服务器端,对其进行加密
- ssh [email protected] ##可无密登陆
- 建立完成后,虚拟机/root/.ssh/中出现authorized_keys文件, 创建密钥用户主机~/.ssh/中出现 id_rsa
id_rsa.pub 文件。 客户端可无密登录
四、sshd安全优化参数详解
- 实验准备
- getenforce
Disable ##可直接执行
否则执行 setenforce 0
systemctl disable --now firewalld ##关闭防火墙 - 需修改文件名为/etc/ssh/sshd_config
每次修改完需进行systemctl reload sshd(加载更新信息) - Port 2222 ###设定端口号
- PermitRootLogin yes|no ##设定是否允许以root用户登陆
- PasswordAuthentication yes|no ##是否开启原始密码认证(关闭则直接拒绝)
- AllowUsers lee ##用户白名单(仅允许用户lee登陆)
- DenyUsers luqianqian ##用户黑名单
- 查询端口是否使用
