linux中的sshd服務
一、首先需要設定虛擬機器
nm-connection-editor
2.點選上圖中的eth0,然後點選delete
3.然後點選add新建網路
如上圖,address改為172.25.254.100 ,netmask改成255.255.255.0,gataway為空
點選save,重新啟動網路
ifconfig
經過上述操作,虛擬機器就可以和主機執行sshd服務了
二、sshd簡介
sshd= secure shell
可以通過網路在主機中開機shell的服務
客戶端軟體<C-F9>
sshd
連線方式:
ssh [email protected] ##文字模式的連結
ssh -X [email protected] ##可以在連結成功後開機圖形
注意:
第一次連結陌生主機是要建立認證檔案
所以會詢問是否建立,需要樹入yes
在次連結此臺主機時,因為已經生成~/.ssh/know_hosts檔案所以不需要再次輸入yes
遠端複製:
scp file [email protected]:dir ##上傳
scp [email protected]:file dir ##下載
2.sshd 的key認證
1.生成認證KEY
ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/kiosk/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/kiosk/.ssh/id_rsa.
Your public key has been saved in /home/kiosk/.ssh/id_rsa.pub.
The key fingerprint is:
f8:d4:15:30:28:25:90:cd:d1:90:70:e9:13:70:47:fc [email protected]
The key's randomart image is:
+--[ RSA 2048]----+
| +B*X+.o.. |
| .oBo+ . . |
| . o . . |
| o. .E. |
| ..S . |
| o |
| . |
| |
| |
+-----------------+
2.加密服務
ssh-copy-id -i //home/kiosk/.ssh/id_rsa.pub [email protected]
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
[email protected]'s password:
Number of key(s) added: 1
Now try logging into the machine, with: "ssh '[email protected]'"
and check to make sure that only the key(s) you wanted were added.
ls ##開啟加密配置的資料夾
authorized_keys id_rsa id_rsa.pub known_hosts
^
此檔案出現表示加密完成
4.測試
ssh [email protected] ##連線時發現直接登陸不需要root登陸系統的密碼認證,此處ip為你設定的虛擬機器的ip
3.sshd的安全設定
在/etc/ssh/sshd_config檔案修改設定
78 PasswordAuthentication yes|no ##是否允許使用者通過登陸系統的密碼做sshd的認證
下圖第78行,修改為no,然後重新啟動sshd服務
更換使用者登陸,提示無訪問許可權
48 PermitRootLogin yes|no ##是否允許root使用者通過sshd服務的認證
如下圖第48行,修改為no,需要先將之前78行修改為yes,重啟網路服務
52 Allowusers student westos ##設定使用者白名單,白名單出現預設不在名單中的使用者不能使用sshd
在第52行新增以上內容,同樣需要將前兩個的操作還原,然後重啟網路服務
會發現除了student以外,使用者就不可以登陸了
53 Denyusers westos ##設定使用者黑名單,黑名單出現預設不再名單中的使用者可以使用sshd
除了student以外,其他使用者可以登陸
4.新增sshd登陸登陸資訊
vim /etc/motd ##檔案內容就是登陸後顯示的資訊
這樣就會出現在使用者的登陸資訊
5.使用者的登陸審計
1.檢視正在使用當前系統的使用者,可以使用w
w -f ##檢視使用來源
w -i ##顯示IP
該命令的配置檔案在/var/run/utmp
2.檢視使用過並退出的使用者資訊使用last
該命令的配置檔案在/var/log/wtmp
注:> /var/log/wtmp 可以清空檔案內容
3.檢視試圖登陸但沒成功的使用者使用lastb
該配置檔案在/var/log/btmp
注:> /var/log/btmp 可以清空檔案內容
三、登陸審計
有多個使用者登陸我的電腦,我臨時想不讓其連線我的電腦怎麼辦
1.首先檢視都是誰連線了你的電腦
如上圖是172.25.254.55的ip正在連線我這臺主機
2.用命令檢視這個使用者使用的程序
ps aux | grep pts/1
程序為2439
3.使用指令
kill -9 2439
這樣就可以中斷連線