SSHD服務(wù) 介紹:SSH 協(xié)議:安全外殼協(xié)議。為 Secure Shell 的縮寫。SSH 為建立在應(yīng)用層和傳輸層基礎(chǔ)上的安全協(xié)議。
作用 sshd服務(wù)使用SSH協(xié)議可以用來進(jìn)行遠(yuǎn)程控制, 或在計(jì)算機(jī)之間傳送文件 相比較之前用telnet方式來傳輸文件要安全很多,因?yàn)閠elnet使用明文傳輸,是加密傳輸。
SSH服務(wù)安裝 這里用yum安裝 [root@compy ~]# yum -y install openssh openssh-clients openssh-server openssh-askpass
SSH 配置文件 SH 常用配置文件有兩個(gè)/etc/ssh/ssh_config 和/etc/sshd_config。 ssh_config 為客戶端配置文件 sshd_config 為服務(wù)器端配置文件
服務(wù)啟動(dòng)關(guān)閉腳本
[root@compy ~]# cd /etc/ssh[root@compy ssh]# pwd/etc/ssh[root@compy ssh]# service sshd restart開機(jī)啟動(dòng)服務(wù)
[root@compy ~]# chkconfig sshd on[root@compy ~]# chkconfig --list sshdsshd 0:off 1:off 2:on 3:on 4:on 5:on 6:off如何使用ssh來遠(yuǎn)程連接主機(jī) 方法一 1、ssh [遠(yuǎn)程主機(jī)用戶名] @[遠(yuǎn)程服務(wù)器主機(jī)名或ip地址] 如果用root進(jìn)程登錄遠(yuǎn)程主 [root@compy ssh]# ssh 192.168.100.156 普通用戶:
第一次登錄服務(wù)器時(shí)系統(tǒng)沒有保存遠(yuǎn)程主機(jī)的信息,為了確認(rèn)該主機(jī)身份會(huì)提示用戶是否繼續(xù)連 接,輸入yes 后登錄,這時(shí)系統(tǒng)會(huì)將遠(yuǎn)程服務(wù)器信息寫入用戶主目錄下的$HOME/.ssh/known_hosts 文件中,下次再進(jìn)行登錄時(shí)因?yàn)楸4嬗性撝鳈C(jī)信息就不會(huì)再提示了
[root@compy ~]# cat /root/.ssh/known_hosts 192.168.100.155 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA7B2ow9G9mtjXOdFf0OaRGeJDgAjENY99fHd4Z2R1J7rJH0qpcCVGnIbyAGlZml6XYoUZ8yJunOgA5wh7wKCRUqlT2Xwo5LQ7GH21Q2oiDkeiGFbn0woshZJwsCxpBbcmfzT63RXdHKlBny5pC1rINmlzOnXzvSk/1Wxc8eNn8fMMbP4u2yn7sp9U27Gm5iHkGcIoyPqhP6G5oQ/LoRQFCzhiPQXFf8a8twYDy4jVBt1FJpFJiHBZdiXVlujTCucr0TFXw8UHt9Dq7ZRZrqd74ASz8f5Kp7XdagumpDgb1/DqAY6m/NLdT9qhG4TnhJwfIcjv+EI30raVgcMEYweM9w==RSA算法基于一個(gè)十分簡單的數(shù)論事實(shí):將兩個(gè)大素?cái)?shù)相乘十分容易,但是想要對(duì)其乘積進(jìn)行因式分解卻極其困難,因此可以將乘積公開作為加密密鑰。
方法二 ssh -l [遠(yuǎn)程主機(jī)用戶名] [遠(yuǎn)程服務(wù)器主機(jī)名或IP 地址] 例:ssh -l compy 192.168.100.156 -l login_name
SSHD配置文件及安全配置 /etc/ssh/sshd_config 配置文件 Port 22 設(shè)置sshd 監(jiān)聽端口號(hào)
注釋: SSH 預(yù)設(shè)使用 22 這個(gè)port,也可以使用多個(gè)port,即重復(fù)使用 port 這個(gè)設(shè)定項(xiàng)目! 例如想要開放 sshd 端口為 22和 2200 ,則多加一行內(nèi)容為: Port 2200 即可 然后重新啟動(dòng) sshd 這樣就好了。 建議大家修改 port number 為其它端口。防止別人暴力破解。
修改sshd服務(wù)默認(rèn)監(jiān)聽的端口為2200
[root@compy ~]# vim /etc/ssh/sshd_config 改: Port 22 為: Port 2200
[root@compy ssh]# service sshd restart #重啟服務(wù)[root@compy ~]# netstat -tlunp | grep sshd #查看端口tcp 0 0 0.0.0.0:2200 0.0.0.0:* LISTEN 4139/sshd tcp 0 0 :::2200 :::* LISTEN 4139/sshd修改完端口默認(rèn)端口后,登錄方法: [root@compy ~]# ssh -p 2200 192.168.100.156
ListenAddress 0.0.0.0
設(shè)置sshd 服務(wù)器綁定的IP 地址,0.0.0.0 表示偵聽所有地址 比如192.168.100.155這個(gè)機(jī)器只允許100.155來遠(yuǎn)程登錄,那么可以設(shè)置 ListenAddress 192.168.100.155
PRotocol 2
選擇的 SSH 協(xié)議版本,可以是 1 也可以是 2 ,CentOS 5.x 預(yù)設(shè)是僅支援 V2。 安全考慮,設(shè)置為最新的協(xié)議版本
SyslogFacility AUTHPRIV
當(dāng)有人使用 SSH 登入系統(tǒng)的時(shí)候,SSH 會(huì)記錄信息,這個(gè)信息要記錄的類型為AUTHPRIV。
登錄系統(tǒng)的默認(rèn)日志存/var/log/secure
LogLevel INFO
登錄記錄的等級(jí)!INFO級(jí)別以上。
LoginGraceTime 2m
當(dāng)使用者連上 SSH server 之后,會(huì)出現(xiàn)輸入密碼的畫面,在該畫面中, 在多久時(shí)間內(nèi)沒有成功連上 SSH server 就強(qiáng)迫斷線!若無單位則默認(rèn)時(shí)間為秒! 可以根據(jù)實(shí)際情況來修改實(shí)際
PermitRootLogin yes
是否允許 root 登入!預(yù)設(shè)是允許的,但是建議設(shè)定成 no ! 真實(shí)的生產(chǎn)環(huán)境服務(wù)器,是不允許root賬號(hào)登陸的!!!
PassWordAuthentication yes
密碼驗(yàn)證當(dāng)然是需要的!所以這里寫 yes,也可以設(shè)置為no 在真實(shí)的生產(chǎn)服務(wù)器上,根據(jù)不同安全級(jí)別要求,有的是設(shè)置不需要密碼登陸的,通過認(rèn)證的秘鑰來登陸
PermitEmptyPasswords no
若上面那一項(xiàng)如果設(shè)定為 yes 的話,這一項(xiàng)就最好設(shè)定為 no 這個(gè)項(xiàng)目在是否允許以空的密碼登入!當(dāng)然不許!
PrintMotd yes
登入后是否顯示出一些信息呢?例如上次登入的時(shí)間、地點(diǎn)等等,預(yù)設(shè)是 yes 亦即是打印出 /etc/motd 這個(gè)文檔的內(nèi)容
給sshd服務(wù)添加一些警告信息 [root@compy ~]# cat /etc/motd [root@compy ~]# echo 'Warning ! From now on, all of your Operation has been 4record!'> /etc/motd
PrintLastLog yes
顯示上次登入的信息!預(yù)設(shè)也是 yes!
UseDNS yes
一般來說,為了要判斷客戶端來源是正常合法的,因此會(huì)使用 DNS 去反查客戶端的主機(jī)名 不過如果是在內(nèi)網(wǎng)互連,這項(xiàng)目設(shè)定為 no會(huì)讓聯(lián)機(jī)速度比較快
新聞熱點(diǎn)
疑難解答
圖片精選
