一、ssh的连接方式
1.ssh username@IP 文本方式连接(以username的身份进行连接)
以文本方式进行连接不能使用gedit,但是以图形方式连接可以使用gedit
2.ssh -X username@ip 图形方式连接(以username的身份进行连接)
可以通过命令'cheese'来打开摄像头
3.ssh username@ip -X 图形方式连接(以username的身份进行连接,同2,即参数可以加在中间,也可以加在后面)
可以通过命令'cheese'来打开摄像头
注意: 第一次连接陌生主机是需要建立认证文件,输入,yes,再次连接时,因为已经生成了~/.ssh/konwn_hosts文件,所以不需要再次认证
二、远程复制:
1.scp file username@ip:dir 以上传的方式进行复制(dir为绝对路径)
2.scp username@ip:file dir 以下载的方式进行复制(dir为绝对路径)
三、sshd的认证
1.生成认证 输入命令:ssh-keygen可以生成认证(产生了id_rsa--相当于钥匙和id_rsa.pub--相当于锁)
2.加密服务 示例:ssh-copy-id -i id_rsa.pub [email protected](相当于复制了一把锁给自己)
3.分发钥匙 示例:scp id_rsa [email protected]:/root/.ssh/(将自己的钥匙分发给另一个用户)
4.测试 在客户主机中(172.25.254.20),ssh [email protected],连接时发现不需要密码
但是当该客户主机把密码删掉之后,再去连接(ssh [email protected])的时候发现需要密码。
四、sshd的安全设定
1.(1)通过命令vim /etc/ssh/sshd_config
(2)将78行改为PasswordAuthentication yes(允许用户通过密码进行登陆),
(3)将48行改为PermitRootLogin no(不允许root用户通过sshd服务的认证),
(4)因为修改的是配置文件,所以需要通过systemctl restart sshd,重启网络。
PasswordAuthentication yes和将其注释掉是一样的效果,要想起到相反的效果,需要写为PasswordAuthentication no,配置文件中别的相似的命令也是类似的。
(5)那么在客户主机上通过ssh [email protected]时,会显示permission denied,而普通用户可以登陆,即ssh [email protected],通过输入密码,可以登陆成功。
2.(1)通过命令vim /etc/ssh/sshd_config,
(2)将78行改为PasswordAuthentication yes--允许用户通过密码进行登陆,
(3)将48行(PermitRootLogin yes)注释掉--允许root用户通过sshd服务的认证,
(4)在该配置文件的任意地方,加入Allowusers student,
(5)因为修改的是配置文件,所以需要通过systemctl restart sshd,重启sshd服务。
(6)那么在客户主机上通过ssh [email protected]时,会显示permission denied,而普通用户student可以登陆,即ssh [email protected],通过输入密码,可以登陆成功。别的普通用户(xin)不可以登陆,即ssh [email protected],会显示permission denied。
(7)注意:
在使用白名单(Allowusers student)时,只允许student用户登陆,别的用户通通不允许登陆(root用户也是如此,即不允许登陆)
如果白名单中有多个用户,那么用空格隔开。(通过man 5 sshd_config来查看sshd_config文件,这里需要注意的是,man 命令:用来查看命令的用法;man 5 文件;用来查看文件的用法。不管是查看文件还是命令,都与当前所在的目录没有关系。)
3.(1)通过命令vim /etc/ssh/sshd_config,
(2)将78行改为PasswordAuthentication yes--允许用户通过密码进行登陆,
(3)将48行(PermitRootLogin yes)注释掉--允许root用户通过sshd服务的认证,
(4)在该配置文件的任意地方,加入Denyusers student
(5)因为修改的是配置文件,所以需要通过systemctl restart sshd,重启sshd服务。
(6)那么在客户主机上通过ssh [email protected]时,会显示permission denied,而别的用户root可以登陆,即ssh [email protected],通过输入密码,可以登陆成功。别的普通用户(xin)也可以登陆,即ssh [email protected],通过输入密码,可以登陆成功。
(7)注意:
在使用黑名单(Denyusers student)时,不允许student用户登陆,别的用户通通都可以登陆(root用户也是如此,即允许登陆)
如果黑名单中有多个用户,那么用空格隔开。(通过man 5 sshd_config来查看sshd_config文件)
78 PasswordAuthentication yes 是否允许用户通过登陆系统密码
48 PermitRootLogin no 是否允许root用户通过sshd服务的认证
Allowusers student 设定用户白名单,白名单中没有的用户默认不能使用sshd
Denyusers westos 设定用户黑名单,黑名单中没有的用户默认能使用sshd
五、添加sshd登陆信息
vim /etc/motd 文件的内容就是登陆后显示的信息
1.示例1:填写的是你好,欢迎登陆
2.示例2:填写的自己的信息
注意:
这里不是修改配置文件,而是重新编写一个文件,所以不用重启网络
例如:这个配置文件是在客户机中进行编写,编写的是自己的信息,那么当服务机通过ssh服务连接时,连接成功时,会显示这个信息
六、用户的登陆审计
1.w -f 查看使用来源
w -i 显示IP
2.last 查看使用过并退出的用户信息
3.lastb 试图登陆但没有成功的用户