Openss服务的部署及安全优化

1.Openssh服务概述
2.实验环境设置
3.ssh命令
4.Openssh服务的key认证
5.Openssh服务的常用配置参数




1.Openssh服务概述

1.Openssh功能介绍
2.ssh命令
3.Openssh的服务的key认证
4.Openssh服务的安全优化
Openssh功能概述
Openssh是ssh(secure shell)协议的免费开源软件
软件安装名称 Openssh-server
配置文件 /etc/ssh/sshd-conf
默认端口 22 ip:大门 接口:小门
客户端命令 ssh

2.设置实验环境

Openssh服务的部署及安全优化
设置workstation IP地址,
Openssh服务的部署及安全优化
Openssh服务的部署及安全优化
Openssh服务的部署及安全优化
ip addr show 看是否被设置好
Openssh服务的部署及安全优化
同理:设置servera 的IP
设置完两台主机的地址后在servera中ping workstation
Openssh服务的部署及安全优化
服务端,测试端?
Workstation:客户端:用来做测试
Servera:服务端 在服务端设置,在测试端设置
设定火墙:连谁设定谁:servera
Cd 切换到家目录 删掉 .ssh文件(在两台主机中都进行操作)
Openssh服务的部署及安全优化
网络不稳定时:换一下网卡
1.真机中system tools virtual machine manager
2.Servera中 ip addr show 看要删掉哪块网卡 相应的mac 值
Openssh服务的部署及安全优化
网卡换了之后要重新设定之前的步骤
Openssh服务的部署及安全优化

3.Ssh命令

Ssh remoteUSER@remoteIP 远程主机

-l 指定登录用户
-i 指定密钥
-X 开启图形
-p 指定端口
-f 后台运行
-o 指定连接参数
-t 指定连接跳板

Ssh @172.25.254.70 ssh -l root 172.25.254.70
w :查看哪些用户登录
w -i 看从哪里登录的
Openssh服务的部署及安全优化
Openssh服务的部署及安全优化
文本连接,不能开启图形
Openssh服务的部署及安全优化
可以开启远程主机的图形
Openssh服务的部署及安全优化
Openssh服务的部署及安全优化
打开的gedit进程在servera中,可以用ps aux | prep gedit 过滤
默认的接口为22
Openssh服务的部署及安全优化
Openssh服务的部署及安全优化
占用终端
Openssh服务的部署及安全优化
不占用终端 在远程主机打开gedit 在后台进行
Openssh服务的部署及安全优化
用man 命令去查看帮助ssh -o 查看参数
Openssh服务的部署及安全优化
-t
Openssh服务的部署及安全优化
在servera上看到是1 连接的 ,把1作为跳板
Openssh服务的部署及安全优化

4.Openssh的key认证

Openssh认证方式

密码认证 密钥认证
1.至少6个字符 1.新型认证方式
2.包含数字,字母,下划线特殊符号等 2.公钥上传服务器
3.易泄露 3.私钥配对认证
4.可被暴力破解 4.***者一般无法通过密钥登录服务器
5.密码容易丢失

公钥:锁头 私钥;密码

Openssh key
支持rsa及dsa加密
加密方法
1.生成密钥: ssh -keygen
2.上传密钥: ssh-copy-id -i keyfile remoteUSER@remoteIP
做实验:先删掉家目录下的.ssh文件
Servera 服务器 做加密 用公钥锁,锁服务器的用户 有私钥可以免密登录,没有的可以暴力破解(一直试),存在安全隐患,所以要关掉功能,没有私钥的就不能尝试登录
可以通过修改锁,让原本拥有私钥的用户就不能登录,
1.ssh-keygen 回车,再回车 生成密钥 公钥,私钥分别存放在不同文件中。

Openssh服务的部署及安全优化
2,
Openssh服务的部署及安全优化
3
Openssh服务的部署及安全优化
Openssh服务的部署及安全优化
锁头已经生成(公钥)
Openssh服务的部署及安全优化
谁想连servera 有密钥的才能登录 workstation 可以连,因为有私钥
Openssh服务的部署及安全优化
没有私钥的不能免密登录,但可以暴力破解,一直试,70主机认证存在安全隐患
Openssh服务的部署及安全优化
所以要在servera中要关掉功能 (原始认证功能)
Openssh服务的部署及安全优化
78行,把yes改为no
Openssh服务的部署及安全优化
Openssh服务的部署及安全优化
功能关闭,没有私钥的1用户无权进行尝试登录servera用户
Openssh服务的部署及安全优化
可以改掉密钥名称ssh服务无法识别,有密钥的用户也无法进行登录,权限被拒绝

Openssh服务的部署及安全优化
Openssh服务的部署及安全优化
把密钥名称改回去,之前拥有私钥的用户就可以进行登录

5.Openssh服务的常用配置参数

做实验之前,把上个实验所改动的原始认证功能还原
sshd服务常用相关配置参数

配置文件 配置参数
/etc/ssh/sshd_config Port 22 监听端口 17行
Protocol 2 指定协议版本
ListenAddress 绑定IP;
Hostkey 设定hostkey密钥路径;
Permitrootlogin 设定超级用户是否能登录
PubkeyAuthentication 公钥认证开关
PasswordAuthentication 私钥认证开关
AllowUsers 用户白名单
DenyYUsers 用户黑名单

做实验之前 setenforce 0

1.在配置文件中改掉端口后 systemctl reload sshd 用netstat -anltupe | grep sshd查看端口号
2.绑定IP(有多个ip)指定只能连某个ip
Openssh服务的部署及安全优化
Openssh服务的部署及安全优化
只能去连接指定端口70
3.设定超级用户是否能登录 46行
Openssh服务的部署及安全优化
Systemctl restart sshd 重启(在servera中)
Openssh服务的部署及安全优化
4.做完上一步的实验要还原之前的数据
设置黑名单
Openssh服务的部署及安全优化
Openssh服务的部署及安全优化
westos用户无法登录

Openssh服务的部署及安全优化
同理:设置白名单
Openssh服务的部署及安全优化
只有白名单上的用户可以登录
Openssh服务的部署及安全优化