首页 > 其他分享 >sshd服务端配置

sshd服务端配置

时间:2023-06-12 19:34:14浏览次数:48  
标签:sshd 配置 192.168 sftp ssh root 服务端 客户端

目录

sshd服务端配置文件:/etc/ssh/sshd_config

服务监听选项:

  • 端口号、协议版本、监听IP地址
  • 禁用反向解析

参数说明:

[root@localhost ~]# cat /etc/ssh/sshd_config
 --------------------
  17 #Port 22                   //端口号,生产环境建议修改端口号
  18 #AddressFamily any
  19 #ListenAddress 0.0.0.0
  20 #ListenAddress ::
 
  38 #LoginGraceTime 2m         //发起连接后多少时间内必须登录,超时断开连接
  39 #PermitRootLogin yes       //是否允许root用户登录,ubantu不允许root远程ssh登录
  40 #StrictModes yes           //检查.ssh/文件的所有者,权限等
  41 #MaxAuthTries 6            //最多允许输错几次密码(centos7默认3次,修改也无效)
  42 #MaxSessions 10            //同一时间最多允许10个远程连接
 
  65 #PermitEmptyPasswords no    //是否允许空密码用户登录
  66 PasswordAuthentication yes  //基于用户和密码验证
 
 116 #UseDNS no                //禁用反向解析,提高速度可设置为no
 
 
 #设置黑白名单
 #llowUsers [email protected]  lisi   //只允许yuji用户从192.168.19.20访问,允许lisi从所有地址访问
 #enyUsers jlx    //不允许使用liwu用户登录
 
 #白名单的优先级高于黑名单。如果一个用户同时加入了白名单和黑名单,那么该用户是可以访问的。
 #如果不设置白名单,则所有用户都可以登录访问。一旦设置了白名单,那么只有白名单内的用户可以访问。

sshd客户端配置

客户端配置文件

客户端配置文件:/etc/ssh/ssh_config

客户端首次连接服务端时,系统询问是否交换公钥,进行安全确认。这是由客户端配置文件默认的,可以修改配置文件ssh_config取消询问。

取消35行的注释,并将ask改成改成no,则首次连接时,系统不会进行确认询问。

这种做法只在内网中使用,如果服务器暴露在外网中,不建议这样操作,非常危险。

客户端的使用方式

ssh scp sftp 都是默认使用ssh协议,端口为 tcp 22

远程登录

ssh [-p 端口]  [用户]@服务端IP

推送 上行复制

scp [-r 目录] 文件   [用户]@服务端IP:保存路径

拉取 下行复制

scp [-P] [用户]@服务端IP:保存路径   本地路径

sftp命令

SFTP是SSH File Transfer Protocol的缩写,安全文件传送协议。SFTP与FTP有着几乎一样的语法和功能。SFTP为SSH的其中一部分,是一种传输档案至 Blogger 伺服器的安全方式。其实在SSH软件包中,已经包含了一个叫作SFTP的安全文件信息传输子系统,SFTP本身没有单独的守护进程,它必须使用sshd守护进程(端口号默认是22)来完成相应的连接和答复操作,所以从某种意义上来说,SFTP并不像一个服务器程序,而更像是一个客户端程序。

sftp命令格式:

 sftp  [用户名@]IP地址
 sftp -oPort=220 [用户名@]IP地址     //修改了默认端口的情况下,需要指定端口号
 
 例:
 sftp 192.168.72.129
 sftp [email protected]
 
 #sftp连接后,进入的是当前登录用户的家目录。例如使用root登录,则sftp连接后进入的是/root/目录.
 #文件的上传和下载,不能使用绝对路径。文件必须位于当前目录下。

sftp连接后的常用命令:

 get        #下载文件
 get -r     #下载目录
 put        #上传文件
 put -r     #上传目录
 quit、exit、bye      #退出

sftp和ftp的区别:

  • 连接方式:FTP使用TCP端口21上的控制连接建立连接。而,SFTP是在客户端和服务器之间通过SSH协议(TCP端口22)建立的安全连接来传输文件。
  • 安全性:SFTP使用加密传输认证信息和传输的数据,所以使用SFTP相对于FTP是非常安全。
  • 效率:SFTP这种传输方式使用了加密解密技术,所以传输效率比普通的FTP要低得多。

免密码登录

认证方式

  • 用户账户
  • 密码认证
  • 密钥对认证
PasswordAuthentication yes
PubkeyAuthentication yes

设置免密码登录(创建密钥对验证)

实验思路:

  1. 在客户端创建密钥对
  2. 将公钥文件上传至服务器
  3. 在服务器中导入公钥文本
  4. 在客户端使用密钥对验证
  5. 在客户机设置ssh代理功能,实现免交互登录

实验步骤:

步骤一:

在客户端创建密钥对

[root@localhost ~]# ssh-keygen -t ecdsa
Generating public/private ecdsa key pair.
Enter file in which to save the key (/root/.ssh/id_ecdsa): 123456         Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in 123456.
Your public key has been saved in 123456.pub.
The key fingerprint is:
SHA256:/nDEZ9z0YX1bA5MaAsNRZ5eQO4OAI8JelD8paKi4Ndo [email protected]
The key's randomart image is:
+---[ECDSA 256]---+
|. ... o++. +o+o  |
| o + o o..oo.oo .|
|o + o o . o + .++|
|.+ . +   o * o..*|
|+   . . S o * ...|
|o o    . . o     |
| = .    o .      |
|o E      +       |
|          .      |
+----[SHA256]-----+

步骤二:

将公钥文件上传至服务器

[root@localhost ~]# scp ~/.ssh/id_ecdsa.pub [email protected]
cp: 无法获取"/root/.ssh/id_ecdsa.pub" 的文件状态(stat): 没有那个文件或目录
[root@localhost ~]# scp ~/.ssh/id_ecdsa.pub [email protected]:/opt
ssh: connect to host 192.168.68.103 port 22: No route to host
lost connection
[root@localhost ~]# scp ~/.ssh/id_ecdsa.pub [email protected]:/opt
The authenticity of host '192.168.68.103 (192.168.68.103)' can't be established.
ECDSA key fingerprint is SHA256:c/vT25iGBsM5bT0AqPkAXIYENkTV7KskP2y6i7tZpVQ.
ECDSA key fingerprint is MD5:ab:67:31:42:18:a0:6e:66:3b:ec:48:0d:af:31:36:9c.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.68.103' (ECDSA) to the list of known hosts.
[email protected]'s password: 
/root/.ssh/id_ecdsa.pub: No such file or directory

步骤三:

在服务器中导入公钥文本

[root@localhost ~]# scp ~/.ssh/id_ecdsa.pub [email protected]:/opt
The authenticity of host '192.168.19.10 (192.168.19.10)' can't be established.
ECDSA key fingerprint is SHA256:hWBYEEW/YrLPAB8JwD8k9BzaRAqeJAU/xBFUFLBU+cE.
ECDSA key fingerprint is MD5:95:fa:43:3c:e5:3b:8f:a5:7d:b0:43:d9:5a:90:d9:d1.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.19.10' (ECDSA) to the list of known hosts.
[email protected]'s password: 
id_ecdsa.pub                      

步骤四:

在客户端使用密钥对验证

步骤五:

在客户机设置ssh代理功能,实现免交互登录

[root@localhost ~]# ssh-agent bash
[root@localhost ~]# ssh-add
Enter passphrase for /root/.ssh/id_ecdsa:           //输入私钥密码
Identity added: /root/.ssh/id_ecdsa (/root/.ssh/id_ecdsa)
[root@localhost ~]# ssh [email protected]       //此时远程连接无需密码
Last login: Thu Aug 18 15:33:45 2022 from 192.168.19.20
[jlx@localhost ~]$ 

TCP Wrappers 访问控制

TCP_Wrappers是一个工作在第四层(传输层)的的安全工具,对有状态连接的特定服务进行安全检测并实现访问控制,凡是包含有libwrap.so库文件的的程序就可以受TCP_Wrappers的安全控制。它的主要功能就是控制谁可以访问,常见的程序有 rpcbind、vsftpd、sshd、telnet。

有些进程不受tcp_wrappers管理,例如 httpd、smb、squid等。

格式

<服务程序列表>:<客户端地址列表>

工作原理

TCP_Wrappers有一个TCP的守护进程叫作tcpd。以ssh为例,每当有ssh的连接请求时,tcpd即会截获请求,先读取系统管理员所设置的访问控制文件,符合要求,则会把这次连接原封不动的转给真正的ssh进程,由ssh完成后续工作;如果这次连接发起的ip不符合访问控制文件中的设置,则会中断连接请求,拒绝提供ssh服务。

基本原则

  • 首先检查/etc/host.allow文件,如果找到相匹配的策略,则允许访问;
  • 否则继续检查/etc/hosts.deny文件,如果找到相匹配的策略,则拒绝访问;
  • 如果检查上述两个文件都找不到相匹配的策略,则允许访问。

拓展:

允许个别,拒绝所有

除了在/etc/hosts.allow中添加允许策略之外,还需要在/etc/hosts.deny文件中设置“ALL:ALL"的拒绝策略。

实例:

若只希望从IP地址为12.0.0.1的主机或者位于192.168.19.0/24网段的主机访问sshd服务,其他地址被拒绝。

[root@localhost ~]# vim /etc/hosts.allow 

sshd:12.0.0.1,192.168.19.*

[root@localhost ~]# vim /etc/hosts.deny 

sshd:ALL

总结:

  • 认证方式
    • 用户账户
    • 密码认证
    • 密钥对认证
  • 设置密钥的方式 ---ssh-keygen

标签:sshd,配置,192.168,sftp,ssh,root,服务端,客户端
From: https://www.cnblogs.com/m-zhuang/p/17475918.html

相关文章

  • CJJC项目实验环境配置
    CJJC项目实验环境配置 (base)D:\>(base)D:\>condacreate-nwind_2022python==3.7Solvingenvironment:done##PackagePlan##environmentlocation:D:\Anaconda3\envs\wind_2022added/updatedspecs:-python==3.7Thefollowingpackages......
  • 在docker环境下配置php以及swole并创建hyperf项目
    在上篇文章中说了在linux环境下安装php8.2以及swoole扩展的问题,只是很多时候我们的环境都是在windows下进行的,但是在windows中安装swoole太麻烦了。这时候就到了我们的docker出场的时候了。首先docker的安装,这个网上到处都是,就不多赘述了,贴一个docker官网地址:https:docker.com,顺......
  • 【建议收藏】Log4j配置详解
    大家在日常开发中必然会使用到日志组件,Log4j是Java方向上比较常用的日志组件,今天给大家分享下Log4j支持的配置项,强烈建议收藏,以便配置时查看#展示log4j各种配置,私有部分见文件中注释,公有部分详细注释见文件最后log4j.rootLogger=DEBUG,console,file,rolling,daily,DATABASE......
  • Linux日志切割神器logrotate原理介绍和配置详解
    1、原理介绍create这也就是默认的方案,可以通过create命令配置文件的权限和属组设置;这个方案的思路是重命名原日志文件,创建新的日志文件。详细步骤如下:重命名正在输出日志文件,因为重命名只修改目录以及文件的名称,而进程操作文件使用的是inode,所以并不影响原程序继续输出日志......
  • VMware Workstation 17 Pro安装配置CentOS 7与ssh工具链接配置
    下载安装虚拟机VMwareWorkstation17Pro虚拟机官网:点击直达下载Centos7镜像文件123网盘地址:点击直达提取码1213在虚拟机中安装Centos7第一步点击创建新的虚拟机第二步默认选择典型点击下一步第三步选择稍候安装操作系统点击下一步第四......
  • 2020-07-03 java配置环境变量
    java开发,首先要安装JDK,并配置环境1 安装JDK(本人下载的安装包,无脑下一步,选择了下文件夹),安装完成截图如下2 开始配置环境变量右键我的电脑==高级系统设置==环境变量==系统变量中选择新建 (1)JAVA_HOME路径根据自己安装的写,路径到(bin 上一层)例如:笔者的jdk 的bin......
  • frp内网穿透web服务配置
    frp是使用较多的免费开源的内网穿透软件,源代码托管在GitHub。1.下载安装安装步骤可参考官方文档https://gofrp.org/docs/setup/点击项目的release地址进入下载页面:https://github.com/fatedier/frp/releases,首先要根据自己需要安装的机器系统架构下载相应的二进制安装包。frp的......
  • 定位调试两手抓,报错真的不可怕 | MindSpore报错调试宝典(二):网络构建与训练类报错之cont
    上一期我们讲解了数据加载与处理类报错如何调试解决,今天给大家继续带来网络构建与训练类报错中的context配置问题,本期仍将以案例的形式展开,详细讲解mindspore.set_context算子的使用方法以及配置方法,希望大家在后续使用context算子过程中可以轻松解决相关的报错问题!同时也欢迎大家......
  • 为Linux配置固定IP(Windows)
    配置固定IP地址目前我们虚拟机的Linux操作系统,其IP地址是通过DHCP服务获取的。DHCP:动态获取IP地址,即每次重启设备后都会获取一次,可能导致IP地址频繁变更。为什么需要配置固定IP地址原因1:办公电脑IP地址变化无所谓,但是要远程连接到Linux系统,如果IP地址经常变化就要频繁修改适......
  • Boost::asio范例分析 服务端
      main函数要求程序调用者传递3个参数:服务器IP地址,端口号和文档根目录.其中IP地址可以是IPv4或IPv6格式.接着创建server对象实例,将传递进来的IP地址,端口号,文档根目录作为server对象的构造函数参数传递到处理程序中.最后调用server的run成员函数启动服务端处理例程.   ......