Openssh服务的部署及安全优化

Openss服务的部署及安全优化

1.Openssh服务概述
2.实验环境设置
3.ssh命令
4.Openssh服务的key认证
5.Openssh服务的常用配置参数

公司主营业务：网站设计制作、做网站、移动网站开发等业务。帮助企业客户真正实现互联网宣传，提高企业的竞争能力。成都创新互联是一支青春激扬、勤奋敬业、活力青春激扬、勤奋敬业、活力澎湃、和谐高效的团队。公司秉承以“开放、自由、严谨、自律”为核心的企业文化，感谢他们对我们的高要求，感谢他们从不同领域给我们带来的挑战，让我们激情的团队有机会用头脑与智慧不断的给客户带来惊喜。成都创新互联推出长海免费做网站回馈大家。

1.Openssh服务概述

1.Openssh功能介绍
2.ssh命令
3.Openssh的服务的key认证
4.Openssh服务的安全优化
Openssh功能概述
Openssh是ssh（secure shell）协议的免费开源软件
软件安装名称 Openssh-server
配置文件 /etc/ssh/sshd-conf
默认端口 22 ip:大门 接口：小门
客户端命令 ssh

2.设置实验环境

设置workstation IP地址，



ip addr show 看是否被设置好

同理:设置servera 的IP
设置完两台主机的地址后在servera中ping workstation

服务端，测试端？
Workstation:客户端：用来做测试
Servera：服务端 在服务端设置，在测试端设置
设定火墙：连谁设定谁：servera
Cd 切换到家目录 删掉 .ssh文件（在两台主机中都进行操作）

网络不稳定时：换一下网卡
1.真机中system tools virtual machine manager
2.Servera中 ip addr show 看要删掉哪块网卡 相应的mac 值

网卡换了之后要重新设定之前的步骤

3.Ssh命令

Ssh remoteUSER@remoteIP 远程主机

Ssh @172.25.254.70 ssh -l root 172.25.254.70
w :查看哪些用户登录
w -i 看从哪里登录的


文本连接，不能开启图形

可以开启远程主机的图形


打开的gedit进程在servera中，可以用ps aux | prep gedit 过滤
默认的接口为22


占用终端

不占用终端 在远程主机打开gedit 在后台进行

用man 命令去查看帮助ssh -o 查看参数

-t

在servera上看到是1 连接的 ，把1作为跳板

4.Openssh的key认证

Openssh认证方式

公钥：锁头 私钥;密码

Openssh key
支持rsa及dsa加密
加密方法
1.生成密钥： ssh -keygen
2.上传密钥： ssh-copy-id -i keyfile remoteUSER@remoteIP
做实验：先删掉家目录下的.ssh文件
Servera 服务器 做加密 用公钥锁，锁服务器的用户 有私钥可以免密登录，没有的可以暴力破解（一直试），存在安全隐患，所以要关掉功能，没有私钥的就不能尝试登录
可以通过修改锁，让原本拥有私钥的用户就不能登录，
1.ssh-keygen 回车，再回车 生成密钥 公钥，私钥分别存放在不同文件中。

2，

3


锁头已经生成（公钥）

谁想连servera 有密钥的才能登录 workstation 可以连，因为有私钥

没有私钥的不能免密登录，但可以暴力破解，一直试，70主机认证存在安全隐患

所以要在servera中要关掉功能 （原始认证功能）

78行，把yes改为no


功能关闭，没有私钥的1用户无权进行尝试登录servera用户

可以改掉密钥名称ssh服务无法识别，有密钥的用户也无法进行登录，权限被拒绝

把密钥名称改回去，之前拥有私钥的用户就可以进行登录

5.Openssh服务的常用配置参数

做实验之前，把上个实验所改动的原始认证功能还原
sshd服务常用相关配置参数

做实验之前 setenforce 0

1.在配置文件中改掉端口后 systemctl reload sshd 用netstat -anltupe | grep sshd查看端口号
2.绑定IP（有多个ip）指定只能连某个ip


只能去连接指定端口70
3.设定超级用户是否能登录 46行

Systemctl restart sshd 重启（在servera中）

4.做完上一步的实验要还原之前的数据
设置黑名单


westos用户无法登录

同理：设置白名单

只有白名单上的用户可以登录