溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
SSH服務配置文件:
?服務名稱:sshd
?服務端主程序:/usr/sbin/sshd
?服務端配置文件:/etc/ssh/sshd_config
?端口號,協議版本,監聽IP地址
?禁用反向解析
?禁止root用戶,空密碼用戶
?登錄時間,重試次數
?AllowUsers,DenyUsers(配置文件中手工添加)
1、默認其他終端可以使用SSH以root身份登錄到服務器進行維護。
2、禁止其他終端可以使用SSH以root身份登錄到服務器。
(1)執行“vim etc/ssh/sshd_config”命令進入到ssf服務端的配置文件。
(2)刪除“PermitRootLogin”開頭的“#”符號,并將“yes”改成“no”即可。
(3)執行“systemctl restart sshd”命令重啟ssh服務。
(4)終端將無法使用root身份登錄。
(5)然而終端可以通過其他用戶作為跳板,并使用su命令切換root用戶。
(6)我們可以啟用PAM認證模塊,執行“vim /etc/pam.d/su”命令進入到pam認證模塊配置文件。
(7)在配置文件中將第六行開頭的“#”符號刪除,以開啟pam認證。
(8)我們使用id命令開頭看到czt用戶屬于pam認證的wheel組,而lisi用戶不屬于wheel組。
(9)不隸屬于wheel組的lisi用戶無法切換root用戶,而隸屬于wheel組的czt用戶方能切換root用戶。
3、我們可以設定登錄驗證的次數來防止密碼破解。
(1)執行“vim etc/ssh/sshd_config”命令進入到ssf服務端的配置文件。
(2)刪除“MaxAuthTries 6”開頭處的“#”符號一開啟登錄驗證功能。
(3)執行“systemctl restart sshd”命令重啟ssh服務。
(4)默認情況下我們只輸入三次就被指定登出了。
(5)我們可以在登錄時即加入一個參數,“ssh -o NumberOfPasswordPrompts=8 lisi@192.168.174.151
”即可按照默認的嘗試次數去反復輸入密碼,輸錯六次后自動登出。
4、線網上建議設定白名單——AllowUsers
(1)執行“vim etc/ssh/sshd_config”命令進入到ssf服務端的配置文件。
(2)手工在空行處輸入“AllowUsers zhaoliu”僅zhaoliu用戶可以登錄。
(3)執行“systemctl restart sshd”命令重啟ssh服務。
(4)其他用戶便無法登錄到服務器,僅zhaoliu用戶可以登錄。
1、執行“vim etc/ssh/sshd_config”命令進入到ssf服務端的配置文件。
2、將“PubkeyAuthentication yes”前的“#”符號刪除以開啟密鑰對驗證功能。
3、在服務端執行“systemctl restart sshd”命令重啟ssh服務。
4、在客戶端執行“ssh-keygen -t ecdsa
”命令來創建密鑰對;按回車鍵保持默認路徑不變;輸入密鑰對的密碼即可獲取到加密的密鑰。
5、我們在客戶端執行“cd .ssh/”命令進入到隱藏文件夾可見“id_ecdsa”私鑰文件,以及“id_ecdsa.pub”公鑰文件。
6、執行“ ssh-copy-id -i id_ecdsa.pub czt@192.168.174.151
”命令將公鑰文件推送給服務器。
7、在服務端執行“cd .ssh/”命令進入隱藏目錄查看是否收到來自ccc用戶的公鑰文件。
8、客戶端下次登錄時就需要進行密鑰驗證,輸入密鑰密碼即可成功登錄。
9、然而登錄需要進行密碼驗證交互步驟,我們可以使用代理功能來實現免交互登錄(建議不要在公共設備上使用)。
六、sftp服務
1、我們可以執行“sftp root@192.168.174.151”命令來登錄到服務端的家目錄中。
2、在服務端我們可以執行thouch命令創建文件。
3、客戶端便可以通過使用“get”命令安全下載到服務端的文件。
4、客戶端亦可以使用“put” 命令安全上傳文件給服務器。
七、TCP Wrappers 控制
1、訪問控制策略的配置文件:
?/etc/hosts.allow
?/etc/hosts.deny
2、設置訪問控制策略:
?策略格式:服務列表:客戶機地址列表
?服務列表:多個服務一逗號分隔,ALL表示所有服務
3、策略的應用順序:
?先檢查hosts.allow,找到匹配則允許訪問
?否則再檢查hosts.deny,找到則拒絕訪問
?若兩個文件中均無匹配策略,則默認允許訪問
(1)在服務端執行“vim /etc/hosts.allow
”命令進入到白名單配置文件。
(3)在白名單配置文件中寫入“ssh:192.168.174.110”僅允許此IP地址的主機登錄。
(4)執行“vim /etc/hosts.deny
”命令進入到黑名單配置文件。
(5)在還沒到配置文件中寫入“sshd:ALL”拒絕所有ip登錄。
(6)除了終端IP地址為“192.168.174.110”能登錄,其他無法登錄。
(7)在服務端執行“vim /etc/hosts.allow
”命令進入到白名單配置文件。
(8)只在黑名單配置文件中寫入“ssh:192.168.174.110”僅拒絕此IP地址的主機登錄,其他IP地址的主機可用登錄。
(9)除了終端IP地址為“192.168.174.110”無法登錄,其他IP的主機都能登錄。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
