概要----------------------- ----------------------
SSHは、主に遠隔ログインインタフェース文字、リモート複製および他の機能のために使用されるセキュアチャネルプロトコルです。ユーザがログイン入力は、ユーザパスワードを含むことを特徴とする請求両方の暗号化を処理する通信データ送信のためのSSHプロトコル。、のrsh(リモートシェル、コマンドのリモート実行)、RCP(リモートファイルコピー、リモートファイルコピー)以前のtelnet(リモートログイン)他のアプリケーションに比べて、SSHプロトコルは、より高いセキュリティを提供しています。
・
SHサービス:TCPポート22のポート番号に対応するsshdの許可リモートアクセスログインサービス(転送暗号文)
-------------------- ---------------------システム環境
クライアント、およびホスト名が01と02に変更されているように、サーバー(SSHサーバ)としてcentOS7、
-------------------- -------------------実験
設定ファイルを変更します。
1、SSH、SSHメインの設定ファイルを変更するには、メインの設定ファイル: "は/ etc / sshを/ ssh_configの"(クライアントプロファイル)、 "は、/ etc / ssh / sshd_config"(サーバーの設定ファイル)を、 "#" を削除することができますオープンサービス、保存して終了することを忘れないでください覚えています
vim /etc/ssh/sshd_config
Port 22 监听端口,默认监听22端口 #AddressFamily any 可以选择IPV4和IPV6协议,any表示都使用 #ListenAddress 0.0.0.0 指明监听的地址(IPV4) #ListenAddress :: 指明监听的地址(IPV6)
#LoginGraceTime 2mの----セッション時間(2分のデフォルト時間)
#PermitRootLoginはい----ルートユーザーがリモート(はい許可)のログオンを許可するかどうかを
#StrictModesはい------ベリファイアクセス
#MaxAuthTries 6- -----パスワード認証番号(デフォルトは6です)
10 ------接続の最大数を訪問#MaxSessions![](https://s1.51cto.com/images/blog/201909/10/64f1840fd1609512e53f3064d992da40.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
・
2、設定ファイルを変更完了後にサービスを再起動する必要があります
systemctl restart sshd
・
3、我々は現在のrootユーザーログインを使用する場合、リモートアクセスサーバーへのクライアントホストが続きます
ssh [email protected]
・
4、我々はすべての他のものを使用することができないように、他の人が簡単にリモートログインは、セキュアではないであろうことができれば、あなたは設定ファイルのパーミッションを変更することができ、比較的高い権威を持って、rootユーザーがシステムの管理者である知っているとき、リモートrootログインユーザーは、ログインするあなたのサービスへの変更後に再起動するようにしてください
・
5、我々は着陸普通のユーザーを切り替えたときに表示するためのパーミッションを拒否するためのパスワードを入力し、rootユーザーのリモートログインを使用します。この時間は、アクセスすることができます
・
6、そしてときに我々は、rootユーザーに、平均的なユーザーのための踏み台としてこれを使用することができますか?答えはイエス間違いなくあります
・
7、あなたは「ホイール」のグループに使用「SU」ユーザーをできることができますこのような状況は、PAMを使用して安全な認証を使用することができ遭遇します
vim /etc/pam.d/su
・
ユーザーは、グループ内の「ホイール」を追加する必要があり、かつ「ボス」ユーザーは「車輪」のグループは、使用時間が追加されない「AKG」を参照してください「ID」コマンドを使用して8、「上司のユーザーは、rootユーザーを切り替えることができますディスプレイ、許可を拒否したが、ユーザーはまだ切り替えることができ、「ホイール」グループを追加しました
・
9、設定ファイル内の我々の最大パスワード試行を6回には、設定ファイルを入力する前には開放されて、テスト今、我々はまた、「-o NumberOfPasswordPrompts = 8」テスト(入力8)を使用することができ
、デフォルトの入力の試みを見ることができますパスワードを入力して3回を終了しますが、あなたは6倍以上に設定しようとした場合、その後、あなたが設定した制限値に見つけることができる6倍です
・
10、またリージは192.168.100.55、完全なコンフィギュレーション内の任意のホストでログインして、サービスを再起動することができ、今、ユーザーが唯一の上司にログインすることができ、設定ファイルでのブラックリストとホワイトリストを追加することにより、ユーザーのログインを制限することができます
11、私たちはホスト192.168.100.55ログイン、ホワイトリストから、ユーザー「AKG」を使用してログオンできない、唯一の「リージ」と「ボス」ときログインすることができます