描述:SSH是一種安全通道協定,主要用來實作字元界面的遠端登入,遠端複制等。SSH協定對通信雙方的資料都進行加密處理,其中包括登入時輸入的使用者密碼,與早期的TELNET(遠端登陸),RSH(遠端執行指令),RCP(遠端檔案複制)應用相比,SSH協定提供了更好的安全性。
1、服務監聽選項
Vim /etc/ssh/sshd_config (注意彩色部分要修改)
Service sshd reload重新加載服務才能生效
2、使用者登入控制
通常應禁止root使用者或密碼為空的使用者登入,另外,可以限制登入驗證的時間(預設為2分鐘)及最大重試次數,若超過限制後仍未登入則斷開連接配接。
Vim /etc/ssh/sshd_config
上圖中的PermitRootLogin yes是允許root登入,如果不允許把yes改為no
PermitEmptyPasswords no的意思是禁止空密碼使用者登入,PasswordAuthentication yes是啟用密碼驗證。
3、登入驗證方式
上圖中的PubkeyAuthentication yes是啟用密鑰對驗證,下一行是指定公鑰資料庫檔案
4、如果希望隻允許或禁止某些使用者登入時,可以使用AllowUsers或DenyUsers,如果隻允許某些使用者,如下圖:
5、使用ssh用戶端程式
1)在另一台LINUX上ssh遠端登入
2)ssh的端口預設是22,不安全,可以修改端口
修改完配置檔案别忘了重新開機sshd服務
在客戶機上連接配接的時候需要加上端口
3)遠端連接配接到伺服器之後,可以使用scp遠端複制的方法在伺服器和客戶機之間傳遞檔案。
例如:将遠端主機中的/etc/passwd檔案複制到本機,并将本機的/etc/vsftpd目錄複制到遠端主機。
在用戶端192.168.1.2上執行以下指令:
然後在192.168.1.1上檢視/opt下有沒有/etc/vsftpd
4)通過sftp指令可以利用SSH安全連接配接與遠端主機上傳,下載下傳檔案,采用了類似于ftp的方式。
上傳檔案如下圖:
然後到ssh伺服器上的root宿主目錄檢視
6、在windows用戶端上使用圖形工具xshell連接配接伺服器
安裝後建立會話,輸入使用者名和密碼即可連接配接,如下圖:
7、建構密鑰對驗證的SSH體系(這種驗證方法更安全)
實驗環境:一共兩台linux,一台ssh客戶機192.168.1.2,另一台linux伺服器192.168.1.1
1)在用戶端建立密鑰對
執行指令之後一路回車
2)将公鑰上傳到伺服器
3)在伺服器中導入公鑰文本
4)在用戶端使用密鑰對驗證(驗證之前别忘記在sshd主配置檔案中允許xiaohong)
8、配置tcp wrappers通路控制譚宏
tcp wrappers機制針對通路服務的客戶機位址進行通路控制,對應兩個政策檔案/etc/hosts.allow和/etc/hosts.deny,分别用來設定允許和拒絕政策。
政策的應用順序:首先檢查/etc/hosts.allow檔案,如果找到比對政策,則允許通路,否則繼續檢查/etc/hosts.deny檔案,如果找到比對,則拒絕,如果上述兩個檔案都找不到比對的政策,則允許通路。
例如:允許192.168.1.2的主機或者192.168.2.0的網段通路sshd,其他位址被拒絕,執行以下操作。
1)vim /etc/hosts.allow
2)vim/etc/hosts.deny
3)在用戶端上修改ip為192.168.1.200,測試連接配接失敗