加密認證算法：RSA 、DSA兩個都可使用

1、在客戶機上生成密鑰對

在客戶機上執行”ssh-keygen -t rsa” 生成非對稱加密秘鑰對

2、將公鑰文件上傳到服務器

在客戶機家目錄的.ssh/目錄下，將id_rsa.pub公鑰文件上傳給服務機

3、在服務器上創建秘鑰目錄並修改上傳的秘鑰文件名

上傳完成後，要在服務機端的家目錄下創建一個 .ssh/ 的目錄，把id_rsa.pub改名為authorized_keys並剪切到家目錄下的.ssh/目錄裏面。

4、編輯服務機端的/etc/ssh/sshd_config文件，取消註釋

5、遠程傳輸工具的使用

（1） scp 進行文件的上傳和下載

上傳格式：scp 本機文件 用戶名@IP地址:目錄

下載格式：scp 用戶名@IP地址:文件名 本地保存位置

指定端口：-P(大)

（2）sftp 安全的ftp傳輸協議

登錄方法：sftp 用戶名@IP地址

指定端口：-oPort=端口

用sftp登錄到服務端以後，操作服務端的命令和操作本機相同，如果想在登錄服務端的同時操作本機，需要在命令前 面加上l

如果想讓Windows也可以免密碼連接到Linux，需要用x-shell工具-新建用戶秘鑰生成向導生成一個秘鑰，然後將秘鑰復制到Linux服務端的

6、僅允許秘鑰對登錄，禁止密碼登錄

*確保啟用ssh公鑰認證功能，查看/etc/ssh/sshd_config文件，確保以下兩條yes ：

*禁止密碼安全驗證，編輯/etc/ssh/sshd_config文件，確保以下文件出現在文件中：

編輯這個文件完成之後，需要重啟sshd服務：service sshd restart即可禁止密碼登錄，只能用秘鑰對登錄。

想讓其他用戶通過秘鑰登錄，可以直接把可以登錄的私鑰文件傳給某個用戶即可。

註意：一定要保護好私鑰的安全性。

7、密鑰對的快速生成及上傳

上面所有的步驟介紹的是秘鑰的詳細生成過程，下面介紹秘鑰對的快速生成及上傳生效：

（1） 在客戶機上輸入命令：ssh-keygen -t rsa

（2） 上傳公鑰到服務端：ssh-copy-id 服務端用戶名@IP地址

這樣即可快速生成並上傳，而且不用改名和提前創建.ssh目錄

二、TCP Wrappers管理及訪問控制

1、TCP Wrappers管理命令的條件

如果某個命令調用庫文件libwarp.so ，那麽這個命令就可以被TCP Wrappers管理。

which 命令名稱 查詢某服務命令所在位置

ldd 命令名稱 查詢某命令調用的庫文件

2、訪問控制策略的配置文件

白名單（允許訪問）：/etc/hosts.allow

黑名單（拒絕訪問）：/etc/hosts.deny

註意：白名單比黑名單優先級高

3、設置訪問控制策略

策略格式：服務列表:客戶機地址列表

服務列表：多個服務以逗號分隔，ALL 表示所有服務

客戶機地址列表：多個地址以逗號分隔，ALL表示所有地址

例如：

允許使用通配符 ? 和 *

網段地址，如 192.168.4. 或者 192.168.4.0/255.255.255.0

4、策略的應用順序

先檢查hosts.allow，匹配即停止（即允許）

否則再檢查hosts.deny，匹配即停止（即拒絕）

若兩個文件中均無匹配策略，則默認允許訪問

密鑰對驗證及TCP Wrappers訪問控制