sshd简介
sshd= secure shell
可以通过网络在主机中开机shell的服务
客户端软件 sshd
连接方式:
ssh username@ip 文本模式连接 ssh username@ip -X 图形模式连接注:第一次连接陌生主机时需要建立认证文件,所以会询问是否建立,输入“yes”即可,再次连接此台主机时,因已生成~/.ssh/know_hosts文件所以不需要再次输入“yes”
远程复制:
scp file root@ip:dir 上传 scp root@ip:file dir 下载下载目录用scp -r 例:上传文件file2到server主机的桌面 下载server主机的文件file1到当前主机 下载server主机的westos目录到当前主机
sshd的key认证 1.生成认证KEY
ssh-keygen 生成密钥的命令上图中:
Enter file in which to save the key (/root/.ssh/id_rsa): 指定保存加密字符的文件(使用默认) Enter passphrase (empty for no passphrase): 设定密码 Enter same passphrase again: 确认密码 /root/.ssh/id_rsa 私钥 /root/.ssh/id_rsa.pub 公钥(锁)!
2.加密服务 ssh-copy-id -i /root/.ssh/id_rsa.pub root@172.25.254.103 加密sshd服务(ip地址为需要被加密的主机ip) 输入命令后需要确认是否加密,键入yes即可。(y或ye都不能识别) 在输入超级用户密码即可完成
ls查看/root/.ssh/ authorized_keys id_rsa id_rsa.pub known_hosts ^ 此文件出现表示加密完成
3.分发钥匙 scp /root/.ssh/id_rsa root@172.25.254.203:/root/.ssh/ 此ip地址为需要连接被加密主机的id 由接收私钥的主机连接加密主机 ssh root@172.25.254.103 -X
连接时会直接登陆不需要root登陆系统密码验证
sshd的安全设定(在sshd_config中 最前面有#默认为给人看,系统会忽略,没有#系统会读取)
vim /etc/ssh/sshd_config 78 PasswordAuthentication yes|no 是否允许用户通过登陆系统的密码做sshd的认证 48 PermitRootLogin yes|no 是否允许root用户通过sshd服务的认证 52 Allowusers student westos 设定用户白名单(用户student),白名单出现后,默认不再名单中的用户不能使用sshd 53 Denyusers westos 设定用户黑名单(用户student),黑名单出现默认不再名单中的用户可以使用sshd 更改sshd_config文件后需systemctl restart sshd重启服务使更改生效例:1.设置白名单内student用户,然后用不在白名单的westos用户使用sshd服务 westos用户不再白名单内,所以无法登陆 2.注销刚刚设置的白名单,设置student用户在黑名单内,用不在黑名单的用户westos使用sshd服务 不在黑名单的用户westos成功连接,而在黑名单内的student连接失败
添加sshd登陆信息 vim /etc/motd 文件内容就是登陆后显示的信息 在motd内编辑需要的内容 使用sshd连接时成功登陆会显示
用户的登陆审计
w 查看正在使用当前系统的用户 w -f 查看使用源 w -i 显示ip 文件信息储存在/var/run/utmp中 last 查看使用过并退出的用户信息(文件信息储存在/var/log/wtmp中) lastb 试图登陆但没有成功的用户(文件信息储存在/var/log/btmp中)