OpenSSH遠程登錄管理
OpenSSH 是 SSH (Secure SHell) 協議的免費開源實現。SSH協議族可以用來進行遠程控制, 或在計算機之間傳送文件。而實現此功能的傳統方式,如telnet(終端仿真協議)、 rcp ftp、 rlogin、rsh都是極為不安全的,並且會使用明文傳送密碼。OpenSSH提供了服務端後臺程序和客戶端工具,用來加密遠程控制和文件傳輸過程中的數據,並由此來代替原來的類似服務。
OpenSSH是使用SSH透過計算機網絡加密通訊的實現。它是取代由SSH Communications Security所提供的商用版本的開放源代碼方案。目前OpenSSH是OpenBSD的子計劃。
OpenSSH
ssh 遠程登錄訪問(密文傳輸) 22端口 TCP
作用場景:廣域網連接或者局域網連接
telnet 遠程登錄訪問(明文傳輸) 23端口 TCP
作用場景:只能作用在局域網
vim /etc/ssh/ssh_config 主配置文件
PermitRootLogin no 是否允許管理員遠程登錄
AllowUsers zhangsan 僅允許固定用戶登錄(白名單)
DenyUsers lisi
非對稱密鑰 公鑰 私鑰 安全 rsa 加密速度慢 效率高
對稱密鑰 加密和解密用相同密鑰 AES DES 3DES 加密快,不安全
----------------密鑰對驗證-----------------
su - zhangsan 客戶機上切換zhangsan身份
ssh-keygen -t rsa 以zhangsan身份生成密鑰對
cd /home/zhangsan/.ssh
ls
id_rsa id_rsa.pub 公鑰文件和私鑰文件
ssh-copy-id-i id_rsa.pub [email protected]
rhel6-1作為服務端,rhel6-2作為客戶端,首先 在rhel6-1服務端用vim/etc/ssh/sshd_config進入配置文件如下圖所示
重啟ssh服務後接下來用客戶端rhel6-2來試一下如下圖所示
root管理員賬號密碼是不會隨便給別人的,那麽就要給一些特定的用戶來遠程登錄管理如下圖所示
重啟ssh服務後查看一下有沒有zhangsan的用戶沒有就創建一個如下圖所示
接下來用zhangsan這個用戶來試一下,但是你會發現一個問題就是只要是知道管理員密碼的也能切換到管理員賬號這就存在安全隱患如下圖所示
所以可以設置一個wheel組,把受信任的用戶添加到wheel組,只有在wheel組的用戶才可以切換到管理員,在zhangsan後面添加一個lisi用戶,只允許zhangsan切換到管理員,lisi不允許 如下圖所示
重啟ssh服務後來試驗一下如下圖所示
構建密鑰對驗證SSH首先在服務端開啟它的功能vim /etc/ssh/sshd_config 如下圖所示
重啟ssh服務後在客戶端生成公鑰和私鑰如下圖所示
把公鑰上傳到服務器上如下圖所示
去服務器上看一下有沒有這個公鑰文件如下圖所示
去客戶端驗證一下 如下圖所示
如果嫌每次登陸都要輸密碼太煩可以做一個代理如下圖所示
OpenSSH遠程登錄管理