一、SSH远程管理
SSH是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。SSH协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令。与早期的Telent、RSH、RCP、等应用相比,SSH协议提供了更好的安全性。
1、配置OpenSSH服务端在CentOS 7.4系统中,OpenSSH服务器由openssh、openssh-server等软件包提供(默认已安装),并已将sshd添加为标准的系统服务。执行“systemctl start sshd”命令即可启动sshd服务,包括root在内的大部分用户都可以远程登录系统。sshd服务的配置文件默认位于/etc/ssh/sshd_config目录下,正确调整相关配置项,可以进一步提高sshd远程登录的安全性。
1)服务监听选项sshd服务使用的默认端口号为22,必要时建议修改此端口号,并指定监听服务的具体IP地址,以提高在网络中的隐蔽性。V2版本要比V1版本的安全性要更好,禁用DNS反向解析可以提高服务器的响应速度。
[root@centos01 ~]# vim /etc/ssh/sshd_config <!--编辑sshd主配置文件--> 17 Port 22 <!--监听端口为22--> 19 ListenAddress 192.168.100.10 <!--监听地址为192.168.100.10--> 21 Protocol 2 <!--使用SSH V2协议--> 118 UseDNS no <!--禁用DNS反向解析--> ...... <!--此处省略部分内容--> [root@centos01 ~]# systemctl restart sshd <!--重启sshd服务--> 2)用户登录控制sshd服务默认允许root用户登录,但在Internet中使用时是非常不安全的。关于sshd服务的用户登录控制,通常应禁止root用户或密码为空的用户登录。另外,可以限制登录验证的时间(默认为2分钟)及最大重试次数,若超过限制后仍未能登录则断开连接。
[root@centos01 ~]# vim /etc/ssh/sshd_config <!--编辑sshd主配置文件--> 37 LoginGraceTime 2m <!--登录验证时间为2分钟--> 38 PermitRootLogin yes <!--禁止root用户登录--> 40 MaxAuthTries 6 <!--最大重试次数为6--> 67 PermitEmptyPasswords no <!--禁止空密码用户登录--> ...... <!--此处省略部分内容--> [root@centos01 ~]# systemctl restart sshd <!--重启sshd服务--> 2、登录验证方式对于服务器的远程管理,除了用户账户的安全控制以外,登录验证的方式也非常重要。sshd服务支持两种验证方式——密码验证、密钥对验证,可以设置只使用其中一种方式,也可以两种方式都启用。
密码验证:对服务器中本地系统用户的登录名称、密码进行验证。这种方式使用最为简便,但从客户端角度来看,正在连接的服务器有可能被假冒;从服务器角度来看,当遭遇密码穷举第三者时防御能力比较弱。
密钥对验证:要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一对密钥文件(公钥、私钥),然后将公钥文件放到服务器中的指定位置。远程登录时,系统将使用公钥,私钥进行加密/解密关联验证,大大增强了远程管理的安全性。该方式不易被假冒,且可以免交互登录,在Shell中被广泛使用。
当密码验证,密钥对验证都启用时,服务器将优先使用密钥对验证。对于安全性要求较高的服务器,建议将密码验证方式禁用,只允许启用密钥对验证方式;若没有特殊要求,则两种方式都可以启用。
[root@centos01 ~]# vim /etc/ssh/sshd_config <!--编辑sshd主配置文件--> 43 PubkeyAuthentication yes <!--启用密钥对验证--> 47 AuthorizedKeysFile .ssh/authorized_keys <!--指定公钥库文件--> 66 PasswordAuthentication yes <!--启用密码验证--> ...... <!--此处省略部分内容--> [root@centos01 ~]# systemctl restart sshd <!--重启sshd服务-->其中,公钥文件用来保存多个客户端上传的公钥文本,以便与客户端本地的私钥文件进行匹配。
二、使用SSH客户端程序在Centos 7.4系统中,OpenSSH客户端由openssh-clients软件包提供(默认已安装),其中包括ssh远程登录命令,以及scp、sftp远程复制和文件传输命令等。
1、命令程序ssh远程登录通过ssh命令可以远程登录sshd服务,为用户提供一个安全的Shell环境,以便对服务器进行管理和维护。使用时应指定登录用户、目标主机地址作为参数。示例如下:
[root@centos02 ~]# ssh root@192.168.100.10 root@192.168.100.10's password: Last login: Mon Nov 11 19:02:50 2019 from 192.168.100.254 [root@centos01 ~]# [root@centos01 ~]# [root@centos01 ~]# ssh root@192.168.100.10 The authenticity of host '192.168.100.10 (192.168.100.10)' can't be established. ECDSA key fingerprint is SHA256:PUueT9fU9QbsyNB5NC5hbSXzaWxxQavBxXmfoknXl4I. ECDSA key fingerprint is MD5:6d:f7:95:0e:51:1a:d8:9e:7b:b6:3f:58:51:51:4b:3b. Are you sure you want to continue connecting (yes/no)? yes <!--接受密钥--> Warning: Permanently added '192.168.100.10' (ECDSA) to the list of known hosts. root@192.168.100.10's password: <!--输入密码--> Last login: Mon Nov 11 19:03:08 2019 from 192.168.100.20 [root@centos01 ~]# who <!--确认当前用户--> root pts/1 2019-11-11 19:03 (192.168.100.20) root pts/2 2019-11-11 19:04 (192.168.100.10)