CentOS——SSH遠(yuǎn)程訪問(wèn)控制(一)

----------------------概述-----------------------

SSH是一種安全通道協(xié)議，主要是用來(lái)實(shí)現(xiàn)字符界面的遠(yuǎn)程登陸，遠(yuǎn)程復(fù)制等功能。SSH協(xié)議對(duì)通信雙方的數(shù)據(jù)傳輸進(jìn)行了加密處理，其中包括用戶(hù)登錄時(shí)輸入的用戶(hù)口令。與早期的telnet（遠(yuǎn)程登錄），rsh（Remote Shell，遠(yuǎn)程執(zhí)行命令），rcp（Remote File Copy，遠(yuǎn)程文件復(fù)制）等應(yīng)用相比，SSH協(xié)議提供了更好的安全性。

·

SH服務(wù)：sshd 允許遠(yuǎn)程登陸訪問(wèn)的服務(wù) （密文傳輸）對(duì)應(yīng)端口號(hào) TCP 22端口

--------------------系統(tǒng)環(huán)境---------------------

centOS7 一臺(tái)作為服務(wù)端(SSH服務(wù)器)，一臺(tái)作為客戶(hù)端，并分別將主機(jī)名修改為01和02

--------------------實(shí)驗(yàn)過(guò)程-------------------

修改配置文件

1、修改SSH主配置文件，SSH主配置文件："/etc/ssh/ssh_config"(客戶(hù)端配置文件)、"/etc/ssh/sshd_config"(服務(wù)端配置文件)，將"#"刪除即可開(kāi)啟服務(wù),記得不要忘了保存退出

vim /etc/ssh/sshd_config

Port 22                                          監(jiān)聽(tīng)端口，默認(rèn)監(jiān)聽(tīng)22端口  
#AddressFamily any                   可以選擇IPV4和IPV6協(xié)議，any表示都使用
#ListenAddress 0.0.0.0                指明監(jiān)聽(tīng)的地址(IPV4) 
#ListenAddress ::                         指明監(jiān)聽(tīng)的地址(IPV6)

#LoginGraceTime 2m————會(huì)話時(shí)間(默認(rèn)時(shí)間為2分鐘)
#PermitRootLogin yes————是否允許root用戶(hù)遠(yuǎn)程登錄(yes表示允許)
#StrictModes yes——————驗(yàn)證訪問(wèn)權(quán)限
#MaxAuthTries 6——————密碼驗(yàn)證次數(shù)(默認(rèn)為6次)
#MaxSessions 10——————訪問(wèn)的最大連接數(shù)

![](https://s1.51cto.com/images/blog/201909/10/64f1840fd1609512e53f3064d992da40.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)

·

2、修改完配置文件之后需要重新啟動(dòng)服務(wù)

systemctl restart sshd

·

3、接下來(lái)用客戶(hù)端主機(jī)去遠(yuǎn)程訪問(wèn)服務(wù)器，當(dāng)前我們使用的時(shí)root用戶(hù)登錄

ssh root@192.168.100.128

·

4、大家都知道root用戶(hù)是系統(tǒng)的管理員，所擁有的權(quán)限相對(duì)較高，如果別人可以隨便遠(yuǎn)程登錄的話會(huì)很不安全，可以在配置文件中修改權(quán)限，使得別人無(wú)法在遠(yuǎn)程登陸時(shí)使用root用戶(hù)登錄，修改完之后一定要重啟服務(wù)

·

5、這時(shí)候我們?cè)偈褂胷oot用戶(hù)遠(yuǎn)程登錄，輸入密碼后顯示權(quán)限拒絕，當(dāng)切換為普通用戶(hù)登陸時(shí)就可以訪問(wèn)

·

6、那么這時(shí)候我們可不可以使用普通用戶(hù)作為跳板切換為root用戶(hù)呢？答案肯定是可以的

·

7、遇到上述的這種情況可以用到使用PAM安全認(rèn)證，將允許使用"su"的用戶(hù)添加到"wheel"組即可

vim /etc/pam.d/su

·

8、 使用"id"命令可以看到"akg"用戶(hù)已經(jīng)添加在"wheel"組里，而"boss"用戶(hù)并沒(méi)有添加在"wheel"組里，這時(shí)再使用"boss’用戶(hù)切換root用戶(hù)可以顯示，權(quán)限拒絕，而添加在"wheel"組里的用戶(hù)依然可以切換

·

9、之前我們?cè)谂渲梦募械淖畲竺艽a嘗試次數(shù)為6次，進(jìn)入配置文件進(jìn)行開(kāi)啟，現(xiàn)在測(cè)試一下，我們也可以使用"-o NumberOfPasswordPrompts=8"進(jìn)行測(cè)試(輸入8)


可以看到默認(rèn)輸入嘗試輸入三次密碼就會(huì)退出，但是如果設(shè)定嘗試超過(guò)6次的話就能發(fā)現(xiàn)設(shè)置上限制值是6次

·

10、還可以通過(guò)在配置文件中添加黑白名單來(lái)限制用戶(hù)登錄，現(xiàn)在用戶(hù)boss只能在192.168.100.55中登錄，lisi可以在任何主機(jī)上登錄，配置完重啟服務(wù)

11、我們使用192.168.100.55的主機(jī)登錄時(shí)，由于設(shè)置了白名單，用戶(hù)"akg"并不能登錄，只有"lisi"和"boss"可以登錄