簡介：

SSH 為 secure shell 的縮寫，由 IETF 的網(wǎng)絡(luò)小組（Network Working Group）所制定；SSH 為建立在應(yīng)用層基礎(chǔ)上的安全協(xié)議。SSH 是目前較可靠，專為遠(yuǎn)程登錄會話和其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議。利用 SSH 協(xié)議可以有效防止遠(yuǎn)程管理過程中的信息泄露問題。SSH最初是UNIX系統(tǒng)上的一個程序，后來又迅速擴(kuò)展到其他操作平臺。SSH在正確使用時可彌補網(wǎng)絡(luò)中的漏洞。SSH客戶端適用于多種平臺。幾乎所有UNIX平臺—包括HP-UX、Linux、AIX、Solaris、Digital UNIX、Irix，以及其他平臺，都可運行SSH。

目前創(chuàng)新互聯(lián)已為上千多家的企業(yè)提供了網(wǎng)站建設(shè)、域名、網(wǎng)絡(luò)空間、網(wǎng)站托管維護(hù)、企業(yè)網(wǎng)站設(shè)計、尉氏網(wǎng)站維護(hù)等服務(wù)，公司將堅持客戶導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長，共同發(fā)展。

基本功能：

1.首先我們開啟兩臺Linux系統(tǒng)，一臺作為服務(wù)端，一臺作為客戶端。我們先用vim編輯器對ssh服務(wù)端配置文件“/etc/ssh/sshd_config”進(jìn)行編輯。

Port 22                                          監(jiān)聽端口，默認(rèn)監(jiān)聽22端口  
#AddressFamily any                     IPV4和IPV6協(xié)議家族用哪個，any表示二者均有
#ListenAddress 0.0.0.0                 指明監(jiān)控的地址，0.0.0.0表示本機的所有地址 
#ListenAddress ::                           指明監(jiān)聽的IPV6的所有地址格式

#LoginGraceTime 2m                 會話時間，默認(rèn)2分鐘則自動斷開連接
#PermitRootLogin yes                是否允許管理員直接登錄，'yes'表示允許
#StrictModes yes                         是否讓sshd去檢查用戶主目錄或相關(guān)文件的權(quán)限數(shù)據(jù)
MaxAuthTries 6                           大認(rèn)證嘗試次數(shù)，最多可以嘗試6次輸入密碼。
#MaxSessions 10                        允許的大會話數(shù)
（將“#”刪除即可開啟相應(yīng)功能）

2.配置完畢記得重啟服務(wù)才會生效，我們用客戶端嘗試連接一下服務(wù)端。

我們直接輸入用來的登錄的用戶root（注意是服務(wù)端用戶）和服務(wù)端IP地址即可，然后輸入用戶密碼即可登錄。我之前登陸過，如果沒有登陸過，系統(tǒng)會問你是否想連接，你只需輸入“yes”即可。

如果客戶端的用戶名和服務(wù)端的用戶名相同，登錄時可以省略用戶名。

SSH服務(wù)的默認(rèn)端口是22，如果你不設(shè)置端口的話，登錄請求會自動送到遠(yuǎn)程主機的22端口。如果我們在配置文件里修改了端口號，我們可以使用 -p 選項來指定端口號。例如端口改為了123：

3.我們知道root用戶是系統(tǒng)的管理員，如果別人能夠隨意登錄肯定是不安全的。所以我們可以通過修改配置文件，不讓別人通過root用戶登錄。修改完記得重啟服務(wù)。

我們再次用root用戶登錄，輸入密碼后顯示權(quán)限拒絕，而換成zhangsan用戶又可以登錄了。

4.雖然我們限制了使用root用戶登錄，但是當(dāng)我們用zhangsan用戶登錄了，用“su”命令任然可以切換到root用戶。

所以我們可以開啟“su”命令的PAM安全認(rèn)證功能，我們只要將允許用“su”命令的用戶添加到“wheel”組即可。

可以看到用戶“jiang”在“wheel”組中，用戶“zhangsan”不在。我們再用“zhangsan”用戶切換root用戶已經(jīng)顯示權(quán)限拒絕，而在“wheel”組用戶“jiang”任然可以切換root用戶。

5.前面我將大認(rèn)證嘗試次數(shù)6次數(shù)開啟了，我們可以測試一下是否成功。
可以看到當(dāng)我們嘗試了6次，就自動被斷開連接了。但是我們得用“-o NumberOfPasswordPrompts=8”選項才能測試成功，如果直接輸入，還是默認(rèn)3次就會斷開連接。

6.我們還可以通過在服務(wù)端配置文件里添加黑白名單來限制登錄的用戶和IP地址。

黑白名單不能同時存在，一般企業(yè)中多用白名單，下面以白名單為例演示。
首先我們在配置文件中添加白名單，限制zhangsan用戶只能在ip為192.168.52.132的主機上進(jìn)行登錄，lisi用戶可以在任意主機上進(jìn)行登錄。配置完成要重啟服務(wù)。

我們在ip為192.168.52.132的主機上登錄時，可以看到由于設(shè)置了白名單，用戶“jiang”不在名單里所有已經(jīng)不能登錄了，而zhangsan與lisi用戶任然可以登錄。

我們在ip為192.168.52.128的主機上登錄時，只有l(wèi)isi用戶可以登錄，zhangsan用戶不能登錄，因為我們限制了zhangsan用戶只能在ip為192.168.52.132的主機上進(jìn)行登錄。

scp命令與sftp命令

1.我們將之前設(shè)置的白名單刪除，允許root用戶登錄改為“yes”，并重啟服務(wù)。

2.首先在client主機的“/opt/”目錄，新建一個文件“ssh_client.txt”和一個目錄“ssh”，然后用scp命令將它們都復(fù)制到server主機的“/opt/”目錄下。

3.再在client主機的“/opt/”目錄下，創(chuàng)建一個文件“test01”，然后在“server”主機用scp命令將文件復(fù)制過來。

4.我們將之前在兩臺主機“/opt/”目錄下新建的目錄和文件刪除，分別在server與client的“/opt/”目錄下創(chuàng)建兩個文件demo01、demo02。

5.我們在client主機用sftp命令也可以登錄server主機進(jìn)行文件的上傳和下載。上傳用“put”命令，下載用“get”命令，同時我們還可以用cd命令進(jìn)行目錄的切換。

6.可以看到我們可以用cd命令隨意切換目錄，這樣很不安全，所以我們可以通過對ssh服務(wù)端配置文件進(jìn)行修改，將sftp命令連接后限制在我們指定的目錄里。

首先用vim編輯器對文件“/etc/ssh/sshd_config”進(jìn)行編輯，將“Subsystem sftp /usr/libexec/openssh/sftp-server”注釋掉。然后添加下面的命令：

Subsystem  sftp  internal-sftp
Match User zhangsan
ChrootDirectory /home/zhangsan
X11Forwarding no
ForceCommand internal-sftp
AllowTcpForwarding no
（配置完別忘了重啟服務(wù)）

然后我們進(jìn)入“/home/”目錄，將我們指定的目錄“zhangsan”的權(quán)限設(shè)為“755”，屬主、屬組均改為root。

我們再“/home/zhangsan/”目錄下，新建5個空文件。

我們再次用client主機，通過sftp連接server主機，可以看到我們直接就登錄到“zhangsan/目”錄中了。當(dāng)我們想切換到別的目錄時，都不能成功。

密鑰對登錄

1.將之前的限制sftp登錄切換目錄的配置修改回來，開啟密鑰對登錄功能（刪除#即可），并重啟服務(wù)。

2.首先用“ssh-keygen -t ecdsa”命令生成密鑰對，將密鑰文件存在“/home/zhangsan/.ssh/”目錄中。

3.用命令“ssh-copy-id -i id_ecdsa.pub zhangsan@192.168.52.131”將目錄“/home/zhangsan/.ssh/”下的公鑰文件“id_ecdsa.pub”導(dǎo)入到server主機。

4.當(dāng)我們再次用ssh命令登錄時，這是只要輸入之前的密鑰即可。

5.但是我們每次登錄都得輸入密鑰會很麻煩，此時我們只要用bash代理，添加密鑰即可，我們下次登錄就不用輸入密鑰了。

TCP Wrappers策略

控制策略的配置文件：

• /etc/hosts.allow（白名單文件）
• /etc/hosts.deny（黑名單文件）

策略的應(yīng)用順序：

• 先檢查hosts.allow文件，找到匹配則直接允許訪問，不再檢查hosts.deny文件；
• 若hosts.allow文件中沒有，再檢測hosts.deny文件，找到則拒絕訪問；
• 若兩個文件中均無匹配策略，則默認(rèn)允許訪問。

1.先用vim編輯器對文件“/etc/hosts.allow”進(jìn)行編輯，添加一個白名單ip192.168.52.132。

2.再用vim編輯器對文件“/etc/hosts.deny”進(jìn)行編輯，將所有ip設(shè)為黑名單。

3.下面我們用ip為192.168.52.132的主機client和ip為192.168.52.128的主機client02分別進(jìn)行登錄，只有白名單里的client主機可以登錄。

4.將白名單中的client主機ip刪除，加入到黑名單中，再用client主機去登錄，結(jié)果不能登錄。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

網(wǎng)站標(biāo)題：Linux系統(tǒng)SSH服務(wù)詳解-創(chuàng)新互聯(lián)
轉(zhuǎn)載源于：http://www.rwnh.cn/article18/dddpgp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供定制網(wǎng)站、品牌網(wǎng)站建設(shè)、標(biāo)簽優(yōu)化、電子商務(wù)、虛擬主機、關(guān)鍵詞優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)