如何進(jìn)行ssh的使用與配置

如何進(jìn)行ssh的使用與配置，很多新手對(duì)此不是很清楚，為了幫助大家解決這個(gè)難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來(lái)學(xué)習(xí)下，希望你能有所收獲。

一、ssh基本配置

開(kāi)兩臺(tái)centos系統(tǒng)7-1（服務(wù)端）、7-2（客戶(hù)端）
用xshell連接，證明sshd的22端口開(kāi)放出來(lái)了

配置文件所在位置

進(jìn)入服務(wù)端配置文件，進(jìn)行一系列配置：端口22功能打開(kāi)等等


為區(qū)分兩個(gè)系統(tǒng)用戶(hù)，我們分別將其用戶(hù)名設(shè)為test01、test02，接著進(jìn)行遠(yuǎn)程登陸。

輸入訪問(wèn)命令，即可連接并進(jìn)行一系列操作

可在對(duì)方的opt下創(chuàng)建abc文本，進(jìn)行遠(yuǎn)程操作

回到7-1的服務(wù)端，進(jìn)ssh配置文件，更改不允許對(duì)方用root身份登陸，保存退出。即在客戶(hù)端用root身份不可登陸，即使有密碼也無(wú)法登陸。

但隨之而來(lái)的問(wèn)題，我們先用普通用戶(hù)lisi登陸服務(wù)端，接著可切換到服務(wù)器的root用戶(hù)，可實(shí)現(xiàn)跳板登陸

解決：進(jìn)行pam模塊驗(yàn)證，開(kāi)啟功能，即不在wheel組內(nèi)成員不可用su命令切換用戶(hù)。

在客戶(hù)端用lisi登陸，并用su切換root，被拒絕。并且切換同級(jí)別權(quán)限的zhangsan，也不能切換。（pam驗(yàn)證開(kāi)啟非常重要，加大系統(tǒng)安全）

結(jié)論：不在wheel組內(nèi)平級(jí)用戶(hù)也切換不了，zhangsan在wheel組內(nèi)，可切換為lisi用戶(hù)，也可切換root用戶(hù)。

開(kāi)啟最大驗(yàn)證次數(shù)功能，卻發(fā)現(xiàn)默認(rèn)驗(yàn)證3次。

要想驗(yàn)證次數(shù)變?yōu)?，那么我們就要更改驗(yàn)證次數(shù)為8，即驗(yàn)證最大次數(shù)從默認(rèn)的3變?yōu)榱?。

回到服務(wù)器7-1，配置文件中插入白名單，即皆可登陸服務(wù)器的zhangsan和wangwu用戶(hù)

此時(shí)我們還需在開(kāi)一臺(tái)centos7-3，IP為129.168.195.130，登陸服務(wù)器wangwu（配置文件中沒(méi)設(shè)置wangwu允許登陸的ip，可從任意終端登陸）

結(jié)論：白名單上為僅允許，名單上有的條目可以去執(zhí)行，沒(méi)有的一概不能執(zhí)行；反之黑名單則為僅拒絕，即名單上的條目皆不可執(zhí)行。（在企業(yè)環(huán)境中建議使用白名單）

二、密鑰對(duì)進(jìn)行身份驗(yàn)證

在配置文件中開(kāi)啟密鑰對(duì)驗(yàn)證功能

用7-2客戶(hù)端進(jìn)行密鑰生成，用戶(hù)caiwu來(lái)驗(yàn)證。

在家目錄下有公鑰和私鑰，推送公鑰給服務(wù)端，指定服務(wù)端用戶(hù)zhangsan，輸入對(duì)方登陸密碼，家目錄下生成一個(gè)known_hosts（內(nèi)有推送的服務(wù)端ip、加密方式ecdsa等）。

再次回到服務(wù)端，家目錄中已有公鑰導(dǎo)入文件。


查看當(dāng)前用戶(hù)方法

只有用caiwu用戶(hù)ssh遠(yuǎn)程訪問(wèn)服務(wù)器zhangsan用戶(hù)要用密鑰對(duì)驗(yàn)證（每次驗(yàn)證都要密鑰對(duì)驗(yàn)證）。

防止每次都要進(jìn)行密鑰驗(yàn)證，我們來(lái)設(shè)置只需一次驗(yàn)證，之后可直接進(jìn)入。

三、ssh客戶(hù)端

若服務(wù)器的端口改為123，那么在客戶(hù)端遠(yuǎn)程訪問(wèn)就要輸入以下命令，先開(kāi)啟客戶(hù)端可用root用戶(hù)登陸的權(quán)限（復(fù)制操作要用到），刪除之前建立的白名單。

Scp遠(yuǎn)程復(fù)制文件到服務(wù)器端。

Scp遠(yuǎn)程復(fù)制文件夾到服務(wù)器端。

將之前opt下文件全部刪除，進(jìn)行ssh安全下載文件。進(jìn)行遠(yuǎn)程連接后，會(huì)回到對(duì)方服務(wù)器的家目錄下

首先給文件改名server，進(jìn)行ssh安全上傳文件server文件


可以直接切換用戶(hù)目錄，進(jìn)行任意更改文件。為限制只可訪問(wèn)對(duì)方服務(wù)器的家目錄，我們研究出了一套方法。
在配置文件中找到這一行注釋?zhuān)⒋蜷_(kāi)此功能。

并輸入一系列命令。

且權(quán)限必須為755，文件屬主、屬組必須是root。

四、TCP Wrappers

在配置之前，需要將黑白名單在ssh配置文件中刪除，否則配置策略應(yīng)用時(shí)會(huì)重復(fù)。在/etc/hosts.allow中進(jìn)行配置

在/etc/hosts.deny中進(jìn)行配置

測(cè)試129客戶(hù)端能否訪問(wèn)服務(wù)器，發(fā)現(xiàn)可以

測(cè)試130客戶(hù)端能否訪問(wèn)服務(wù)器，發(fā)現(xiàn)被直接拒絕（黑白名單是允許輸入密碼，不一樣）

現(xiàn)在在兩個(gè)中配置兩個(gè)一樣的內(nèi)容：均為129，發(fā)現(xiàn)允許訪問(wèn)。

結(jié)論：先檢查allow中，找到匹配則允許訪問(wèn)。否則再檢查hosts.deny，找到則拒絕訪問(wèn)；若兩個(gè)文件中都沒(méi)有內(nèi)容，則默認(rèn)所有文件允許訪問(wèn)。

看完上述內(nèi)容是否對(duì)您有幫助呢？如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章，請(qǐng)關(guān)注億速云行業(yè)資訊頻道，感謝您對(duì)億速云的支持。