网站首页 > 开源技术 正文
什么是sshd服务
客户端主机通过网络在服务端主机中开启服务端主机shell的服务
客户端通过网络连接服务端,并且控制服务端,也就是客户端开启了服务端的shell
ssh (安全外壳协议)
SSH 为 Secure Shell 的缩写,由 IETF 的网络小组(Network Working Group)所制定;SSH 为建立在应用层基础上的安全协议。
SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。
利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。
SSH最初是UNIX系统上的一个程序,后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络中的漏洞。SSH客户端适用于多种平台。
几乎所有UNIX平台—包括HP-UX、Linux、AIX、Solaris、Digital UNIX、Irix,以及其他平台,都可运行SSH。
实验操作
本实验是在两台虚拟机中做,server主机为服务端,desktop主机为客户端
主机的ip不知道可以采用命令查看 :
在虚拟机的shell中输入 ip addr show eth0 即可查看
在真机的shell中输入 ip addr show br0 即可查看
步骤一:先在真机中打开两个虚拟机 desktop和server
步骤二:配置两台主机的ip
desktop主机的ip为172.25.254.100,该主机用于客户端测试
server主机的ip为172.25.254.200,该主机用于服务端配置
步骤三:在两台主机的shell中分别删除 /root/.ssh/(删除这个目录rm -rf /root/.ssh 或者删除这个目录下的文件rm -rf /root/.ssh/*均可以)
步骤四:然后改两个主机名字
在客户端主机输入 hostnamectl set-hostname client.westos.com(desktop主机)
在服务端主机输入 hostnamectl set-hostname server.westos.com(server主机)
用客户端主机连接服务端主机
在客户端主机中输入: ssh root@172.25.254.200(server主机的ip)
在客户端主机当中输入 ssh root@172.25.254.200 -X,使客户端可以控制服务端主机的图形界面
远程复制
只需要知道对方的ip及存在的帐号和密码就可以进行远程文件上传和下载
1)scp file root@ip:dir ##远程上传
2)scp root@ip:file dir ##远程下载
sshd服务的免密操作(**认证)
(1)为什么要进行免密操作?
如果客户端知道服务端主机的ip地址和密码,就可以远程操控服务端
如果任意一个客户端知道服务端主机的ip地址和密码,并且知道它里面的重要文件存放路径
那么就可以拷贝服务端的文件
这样的操作在实际企业当中非常不安全
(2)怎样进行免密操作?
采用钥匙和锁的方式,服务端想让客户端什么时候连就什么时候连
步骤一:在服务端输入:ssh-****** ,生成钥匙和密码
id_rsa是钥匙 id_rsa.pub是锁
备注:
在服务端输入 ssh-****** 三次回车 ,每次回车都有原因
第一次回车是钥匙和密码存放路径(可以直接回车,存放在默认路径下)
第二次回车是密码(可以直接回车,不设置密码)
第三次回车也是密码(可以直接回车,不设置密码)
步骤二:在服务端输入:ssh-copy-id -i /root/.ssh/id_rsa.pub root@172.25.254.200
先给自己上锁,也就是给服务端上锁
步骤三:修改服务端 /etc/ssh/sshd_config 配置文件
并重启服务
步骤四:在服务端输入:scp /root/.ssh/id_rsa root@172.25.254.100:/root/.ssh/
将密码传给客户端
客户端/root/.ssh/的这个文件(目录)必须存在 ,相当于上传
步骤五:在客户端测试 进行服务端免密登陆
步骤六: 移除或者重命名服务端的authorized_keys文件,客户端远程连接失败
sshd的安全设定
(1)为什么要进行安全设定?
因为服务端的root权限太大,客户端如果使用服务端的root权限极不安全
为了保证ssh服务器的安全性:服务端开放的权限不能太多,一般不太让客户端主机用服务端主机的超级用户root
(2)常用的安全设定
/etc/ssh/sshd_config的第78行 :是否允许服务端的任意一个存在的用户通过登陆系统的密码做sshd的认证
/etc/ssh/sshd_config的第48行: 是否允许服务端的root用户通过sshd的服务认证
加入AllowUesrs student westos: 设定用户的白名单,此名单里面的用户可以通过sshd服务认证 (文件里不存在 直接输入即可 多个用户用空格隔开)
加入DenyUsers westos :设定用户的黑名单,此名单里面的用户不可以通过sshd认证
每次改完一个参数重启才会起作用:在服务端systemctl restart sshd.service
设定sshd服务的指定端口号(修改端口)
操作:setenforce 0 (临时生效可以直接用setenforce 0 )
systemctl stop firewalld (关闭火墙)
netstat -antlupe |grep sshd 查看系统的接口
vim /etc/ssh/sshd_config
port 8888
systemctl restart sshd.service
客户端测试需要指定端口号
固定22端口到指定的ip
ListenAddress默认全开 现指定为172.25.254.200
猜你喜欢
- 2024-10-05 SSH 是如何工作的?(ssh的工作原理及作用)
- 2024-10-05 HTTPS 温故知新(五)——TLS 中的密钥计算
- 2024-10-05 操作系统:SSH协议知识介绍(ssh协议工作过程图)
- 2024-10-05 SSH 揭秘:安全远程访问的基石(安全远程连接协议)
- 2024-10-05 大数据学习环境搭建系列(十一)安装SSH服务
- 2024-10-05 Linux系统的启动过程和远程登录(linux远程启动进程)
- 2024-10-05 SSH远程连接服务详解(ssh远程连接服务器,使用什么端口号)
- 2024-10-05 SSH协议基本工作原理介绍(ssh协议主要由什么组成)
- 2024-10-05 SSH 简介:安全远程访问的利器(ssh远程登录功能配置)
- 2024-10-05 在 CentOS 7 中安装 SSH(centos6.5安装ssh)
你 发表评论:
欢迎- 05-16东契奇:DFS训练时喷了我很多垃圾话 我不懂他为什么比赛不这么干
- 05-16这两球很伤!詹姆斯空篮拉杆不中 DFS接里夫斯传球空接也没放进
- 05-16湖人自媒体调查:89%球迷希望DFS回归79%希望詹姆斯回归
- 05-16Shams:湖人得到全能球员DFS 节省了1500万奢侈税&薪金空间更灵活
- 05-16G5湖人胜率更高!詹姆斯不满判罚,DFS谈5人打满下半场:这很艰难
- 05-16DFS:当东契奇进入状态 所有防守者在他面前都像个圆锥桶
- 05-16上一场9中6!DFS:不能让纳兹-里德这样的球员那么轻松地投三分
- 05-16WIDER FACE评测结果出炉:滴滴人脸检测DFS算法获世界第一
- 最近发表
-
- 东契奇:DFS训练时喷了我很多垃圾话 我不懂他为什么比赛不这么干
- 这两球很伤!詹姆斯空篮拉杆不中 DFS接里夫斯传球空接也没放进
- 湖人自媒体调查:89%球迷希望DFS回归79%希望詹姆斯回归
- Shams:湖人得到全能球员DFS 节省了1500万奢侈税&薪金空间更灵活
- G5湖人胜率更高!詹姆斯不满判罚,DFS谈5人打满下半场:这很艰难
- DFS:当东契奇进入状态 所有防守者在他面前都像个圆锥桶
- 上一场9中6!DFS:不能让纳兹-里德这样的球员那么轻松地投三分
- WIDER FACE评测结果出炉:滴滴人脸检测DFS算法获世界第一
- 湖人自媒体调查:89%球迷希望DFS回归 79%希望詹姆斯回归
- 一觉醒来湖人苦盼的纯3D终于到位 DFS能带给紫金军多少帮助
- 标签列表
-
- jdk (81)
- putty (66)
- rufus (78)
- 内网穿透 (89)
- okhttp (70)
- powertoys (74)
- windowsterminal (81)
- netcat (65)
- ghostscript (65)
- veracrypt (65)
- asp.netcore (70)
- wrk (67)
- aspose.words (80)
- itk (80)
- ajaxfileupload.js (66)
- sqlhelper (67)
- express.js (67)
- phpmailer (67)
- xjar (70)
- redisclient (78)
- wakeonlan (66)
- tinygo (85)
- startbbs (72)
- webftp (82)
- vsvim (79)
本文暂时没有评论,来添加一个吧(●'◡'●)