Openssh服务的部署及安全优化
Openss服务的部署及安全优化
1.Openssh服务概述
2.实验环境设置
3.ssh命令
4.Openssh服务的key认证
5.Openssh服务的常用配置参数
1.Openssh服务概述
1.Openssh功能介绍
2.ssh命令
3.Openssh的服务的key认证
4.Openssh服务的安全优化
Openssh功能概述
Openssh是ssh(secure shell)协议的免费开源软件
软件安装名称 Openssh-server
配置文件 /etc/ssh/sshd-conf
默认端口 22 ip:大门 接口:小门
客户端命令 ssh
2.设置实验环境
设置workstation IP地址,
ip addr show 看是否被设置好
同理:设置servera 的IP
设置完两台主机的地址后在servera中ping workstation
服务端,测试端?
Workstation:客户端:用来做测试
Servera:服务端 在服务端设置,在测试端设置
设定火墙:连谁设定谁:servera
Cd 切换到家目录 删掉 .ssh文件(在两台主机中都进行操作)
网络不稳定时:换一下网卡
1.真机中system tools virtual machine manager
2.Servera中 ip addr show 看要删掉哪块网卡 相应的mac 值
网卡换了之后要重新设定之前的步骤
3.Ssh命令
Ssh remoteUSER@remoteIP 远程主机
-l | 指定登录用户 |
---|---|
-i | 指定密钥 |
-X | 开启图形 |
-p | 指定端口 |
-f | 后台运行 |
-o | 指定连接参数 |
-t | 指定连接跳板 |
Ssh @172.25.254.70 ssh -l root 172.25.254.70
w :查看哪些用户登录
w -i 看从哪里登录的
文本连接,不能开启图形
可以开启远程主机的图形
打开的gedit进程在servera中,可以用ps aux | prep gedit 过滤
默认的接口为22
占用终端
不占用终端 在远程主机打开gedit 在后台进行
用man 命令去查看帮助ssh -o 查看参数
-t
在servera上看到是1 连接的 ,把1作为跳板
4.Openssh的key认证
Openssh认证方式
密码认证 | 密钥认证 |
---|---|
1.至少6个字符 | 1.新型认证方式 |
2.包含数字,字母,下划线特殊符号等 | 2.公钥上传服务器 |
3.易泄露 | 3.私钥配对认证 |
4.可被暴力破解 | 4.***者一般无法通过密钥登录服务器 |
5.密码容易丢失 |
公钥:锁头 私钥;密码
Openssh key
支持rsa及dsa加密
加密方法
1.生成密钥: ssh -keygen
2.上传密钥: ssh-copy-id -i keyfile remoteUSER@remoteIP
做实验:先删掉家目录下的.ssh文件
Servera 服务器 做加密 用公钥锁,锁服务器的用户 有私钥可以免密登录,没有的可以暴力破解(一直试),存在安全隐患,所以要关掉功能,没有私钥的就不能尝试登录
可以通过修改锁,让原本拥有私钥的用户就不能登录,
1.ssh-keygen 回车,再回车 生成密钥 公钥,私钥分别存放在不同文件中。
2,
3
锁头已经生成(公钥)
谁想连servera 有密钥的才能登录 workstation 可以连,因为有私钥
没有私钥的不能免密登录,但可以暴力破解,一直试,70主机认证存在安全隐患
所以要在servera中要关掉功能 (原始认证功能)
78行,把yes改为no
功能关闭,没有私钥的1用户无权进行尝试登录servera用户
可以改掉密钥名称ssh服务无法识别,有密钥的用户也无法进行登录,权限被拒绝
把密钥名称改回去,之前拥有私钥的用户就可以进行登录
5.Openssh服务的常用配置参数
做实验之前,把上个实验所改动的原始认证功能还原
sshd服务常用相关配置参数
配置文件 | 配置参数 |
---|---|
/etc/ssh/sshd_config | Port 22 监听端口 17行 |
Protocol 2 指定协议版本 | |
ListenAddress 绑定IP; | |
Hostkey 设定hostkey密钥路径; | |
Permitrootlogin 设定超级用户是否能登录 | |
PubkeyAuthentication 公钥认证开关 | |
PasswordAuthentication 私钥认证开关 | |
AllowUsers 用户白名单 | |
DenyYUsers 用户黑名单 |
做实验之前 setenforce 0
1.在配置文件中改掉端口后 systemctl reload sshd 用netstat -anltupe | grep sshd查看端口号
2.绑定IP(有多个ip)指定只能连某个ip
只能去连接指定端口70
3.设定超级用户是否能登录 46行
Systemctl restart sshd 重启(在servera中)
4.做完上一步的实验要还原之前的数据
设置黑名单
westos用户无法登录
同理:设置白名单
只有白名单上的用户可以登录