一、openssh-server=sshd
功能:可以允许远程主机通过网络访问sshd服务,从而开始一个安全的shell.
注:开图形会降低百分之十到百分之二十的效率,在一些情况下不必使用图形页面
二.sshd模式下客户端的连接方式
ssh username@远程主机的ip
[root@loclhost ~]# ssh root@172.25.254.179
Are you sure you want to continue connecting (yes/no)? yes ##连接陌生主机时需要建立认证关系
Warning: Permanently added ‘172.25.0.11’ (ECDSA) to the list of knownhosts.
root@172.25.254.179’s password: ##远程用户密码
Last login:Mon
[root@server0 ~]# ##登陆成功
ssh 远程主机用户@远程主机ip -X ##调用远程主机图形工具
注:利用ssh@root -X 加gedit 可以在 w -f 上查看到
-x 连接到客户端之后再打开gedit 在w -f无法查看到
ssh 远程主机用户@远程主机ip command
直接在远程主机运行某条命令
注:ssh与sshd是客户端(Desktop)与服务端(Serve)的关系,这种关系是相对的,也是连接与被连接的关系
三.sshkey加密服务
1.生成公钥私钥
ssh-keygen 生成公钥私钥工具
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):[enter] 加密字符保存文件(建议用默认,可以不使用默认,但在后期,操作起来会变得复杂)
Created directory ‘/root/.ssh’
.Enter passphrase (empty for no passphrase): [enter]
密钥密码,必须>4个字符,也可以不设定,直接用enter键
id_rsa id_rsa.pub
id_rsa 私钥匙
id_rsa.pub 公钥
2.添加key认证方式
ssh-copy-id -i /root/.ssh/id_rsa.pub root@172.25.254.179
ssh-copy-id ##添加key认证方式的工具
-i ##指定加密key文件
/root/.ssh/id_rsa.pub ##加密key
root ##加密用户为root
172.25.254.179 ##被加密主机ip
注:这种方法表示将172.25.254.179主机进行加密
3.将钥匙发给desktop主机
[root@localhost Desktop~】:scp /root/.ssh/id_rsa root@172.25.254.179:/root/.ssh/
将/root/.ssh/id_rsa发送给172.25.254.179用户的/root/.ssh/目录下
4.测试效果
在拥有id_rsa的情况下直接连接不需要输入用户和密码
注:如果不小心删除了钥匙可以通过复制id_rsa来获得钥匙
四.提升openssh的安全级别
1.openssh-server的配置文件
vim /etc/ssh/sshd_config
PasswordAuthentication yes|no
是否开启用户密码认证,yes为支持no为关闭
注:在删除的钥匙的情况下,登陆另一用户,不需要密码验证
48行 PermitRootLogin yes(no) 是否允许超级用户登陆
在修改文件之后需要重启 systemctl restart sshd.service 来执行
49 AllowUsers student westos 用户白名单,只有在名单中出现的用户可以使用sshd建立shell
50Denyusers tom 用户黑名单没有权限访问
控制ssh客户端访问
vim /etc/hosts.deny
sshd:All 拒绝所有人链接sshd服务
vim /etc/hosts.allow
sshd:172.25.254.178 178主机链接sshd
sshd:172.25.254.178, 172.25.254.78 允许178和78链接
sshd:ALL EXCEPT 172.25.254.178 只不允许178链接sshd
3.ssh登陆提示修改该
vim /etc/motd 显示登陆后字符
hello world 在登陆后就会显示这个字符
注:在自己练习的
过程中可以在虚拟机中设置网络
1>使用nm-connection-editor
2>选择IPv4中的Manual
3>将ip设置好,就可以正常使用了