linux初学者-sshd服务

 linux初学者-sshd服务

  在linux系统操作中，经常需要连接其他的主机，连接其他主机的服务是openssh-server，它的功能是让远程主机可以通过网络访问sshd服务，开始一个安全shell，下文将介绍一些ssh服务的功能和安全方法。

1、主机的连接方式

连接其他主机的命令是"ssh 远程主机用户@远程主机ip"，例如下图，连接"root@172.25.254.102"的主机。

如果是首次连接，将会出现下图输入，是因为连接陌生主机时需要建立认证关系，输入"yes"后输入远程主机用户密码即可完成连接。

上述命令是在对方主机上打开一个安全的shell，但是并不能打开图形工具，如果需要打开图形工具，则需要在上述命令后加"-x"，即连接有图形的主机命令为"ssh 远程主机用户@远程主机ip -x"。

"ssh 远程主机用户@远程主机ip command"可以直接在远程主机运行某条命令，例如，输入"ssh root@172.25.254.102 touch /root/Desktop/file{1..10}"，即表示在ip为172.25.254.102的主机root用户桌面下建立10个文件。

2、sshkey加密方式

为了主机的安全也为了特定主机连接的方便，通常使用sshkey加密方式，如下图，输入命令"ssh-keygen"，按三下回车后即可生成一对公钥和私钥。新出现的文件"/root/.ssh/id_rsa"称作私钥，"/root/.ssh/id_rsa.pub"称作公钥。公钥相当于是锁，私钥相当于是钥匙。

在生成钥匙之后，输入命令"ssh-copy-id -i /root/.ssh/id_rsa.pub root@172.25.254.102"对ip为172.25.254.102的主机上锁。可以对其他主机进行上锁，输入正确的密码即可。

用命令"scp /root/.ssh/id_rsa kiosk@172.25.254.2:/home/kiosk/.ssh/"将私钥发送给其他主机,并进行登陆验证。

3、提升ssh服务的安全级别

3.1、修改配置文件

输入命令"vim /etc/ssh/sshd_config"即可修改ssh的配置文件，其中，"PasswordAuthentication yes|no"表示是否开启密码认证，yes为支持，no为关闭，如果是no的情况，并且无私钥，则不能连接本台主机。

"PermitRootLogin yes|no"表示是否允许超级用户登陆。"AllowUsers username"表示用户白名单，只有在名单里的用户可以使用sshd建立shell。"DenyUsers username"表示用户黑名单，名单中的用户不能通过sshd建立shell。值得注意的是，如果黑名单和白名单中有用一个用户，则黑名单生效。

3.2、控制ssh客户端访问

如下图所示，输入命令"vim /etc/hosts.deny"并在其中输入"sshd:ALL"可以拒绝所有人连接sshd服务。

输入命令"vim /etc/hosts.allow"并且输入"sshd:172.25.254.2"，则代表只允许ip为172.25.254.2的主机连接。也可以输入"sshd:ALL EXCEPT 172.25.254.2"表示只不允许ip为172.25.254.2的主机连接。

3.3、修改ssh登陆提示

输入命令"vim /etc/motd"，在文件中输入需要作为提示的信息如下图所示，则在ssh连接成功时会自动显示出来。

以上就是主机间互相连接的服务openssh-serve的连接方式及其安全保护。