Linux远程连接与sshd服务安全设定
1.遠程連接:
首先設置ip:
設置好之后,先ping一下IP 看能不能通
ssh root@172.25.13.103 ##表示的是:連接ip為172.25.13.103的root用戶
2.系統控制命令
系統控制命令的查看相關參數如下表
| systemctl status sshd | 查看服務狀態 inactive(不可用),active(可用) |
| systemctl start sshd | 開啟服務 |
| systemctl stop aahd | 關閉服務 |
| systemctl restart sshd | 重啟服務 |
| systemctl reload sshd | 重新加載服務配置 |
| systemctl enable sshd | 設置開機重啟時開啟服務 |
| systemctl disable sshd | 設置開機重啟時不會自起服務 |
| systemctl list-unit-files | 列出所有服務開機啟動時的狀態 |
| systemctl mask sshd | 表示sshd服務已經被鎖定 |
| systemctl unmask sshd | 表示sshd服務已經被解鎖 |
| systemctl set-default multi-user.target | 設定系統啟動級別為多用戶級別(無圖形) |
| systemctl set-default graphical.target | 設定系統啟動級別為圖形模式 |
(1)查看服務狀態 inactive(不可用),active(可用)
(2) 關閉服務
(3)開啟服務
(4)重啟服務
(5) 設置開機重起時不會自起服務
3.sshd的服務
sshd全稱為 secure shell
可以通過網絡在遠程主機中開啟shell的服務
客戶端軟件:sshd
連接方式:
1)ssh username@ip ## 文本模式的連接
2)ssh username@ip -X ## 可以在連接成功后開啟圖形
注意:1.在第一次連接陌生主機時,要生成認證文件/root/.ssh/know_host,所以會詢問是否建立,需要鍵入yes,此后在連接此臺主機時,只要認證文件存在,就不需要再次輸入yes。
遠程復制: scp file root@ip:dir ##上傳
scp root@ip:file dir ##下載
4.sshd的key認證
ssh-keygen 生成密鑰的命令
在生成密鑰的時候會讓你輸入三次的指令:
1.指定保存加密字符的文件(使用默認)
2.設定密碼(使用空密碼)
3.確認密碼(空格 就行)
建立完成后可以使用 ls /root/.ssh/ 來查看是否生成
可以看到公鑰(id_rsa.pub)與私鑰(id_rsa)
首先:加密
ssh-copy-id -i /root/.ssh/id_rsa.pub root@172.25.62.251
然后:修改
vim /etc/ssh/sshd_config 將第78行的yes改成no
修改完之后還需要重啟一下服務:
systemctl restart sshd.service
再試一下連接:ssh root@172.25.62.251
此時,使用遠程連接已經被權限拒絕,因為我們已經進行了加密,要想再次連上就得給他分發鑰匙,這樣就能成功連接了。
給172.25.62.250分發鑰匙:
scp /root/.ssh/id_rsa root@172.25.62.250:/root/.ssh/
然后在連接172.25.62.251
連接成功了。
5.sshd的安全認證
/etc/ssh/sshd_config
用vim進入這個文件后就可以更改ssh服務的安全設定
78 PasswordAuthentication yes|no 是否允許用戶通過登錄系統的密碼做sshd的認證
48 PermitRootLogin yes|no 是否允許root用戶通過sshd服務的認證
我們先試一下:
現在能連上251這臺機子,
接著vim /etc/ssh/sshd_config 在第48行改不允許通過認證:
改完后記著重啟服務:systemctl restart sshd.service
然后在嘗試連接:
現在發現Permission denied 權限拒絕了。
但是用其他用戶還可以連接:
發現student用戶還可以連上。
還可以在這個文件里設置黑白名單:
Allowusers 用戶名 ##設定用戶白名單,白名單中的用戶可以使用sshd
Denyusers 用戶名 ##設定用戶黑名單,黑名單出現的用戶不可以使用sshd
6.添加sshd的登陸信息
我們可以在我們的主機上添加一些登陸信息,這樣別人在登陸我們的主機的時候可以看到這些登陸信息。
vim /etc/motd 編輯這個文件就可以了
然后退出保存,
其他人連接時就會出現編輯的這個
7.用戶的登錄審計
| w -f | 查看使用來源 |
| w -i | 顯示IP |
| last | 查看使用過并退出的用戶信息 |
| lastb | 查看試圖登陸但沒有成功的用戶 |
正在使用當前系統的用戶:
查看使用過并退出的用戶信息 :
查看試圖登陸但沒有成功的用戶
總結
以上是生活随笔為你收集整理的Linux远程连接与sshd服务安全设定的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 树莓派该文件名_树莓派:文本编辑器与文件
- 下一篇: CDN加速实现—varnish