Linux----- openssh-server

一、openssh-server

1.功能：让远程主机可以通过网络访问sshd服务，开始一个安全shell

（1）先创建两个环境---开启两台虚拟机

（2）一台作为服务端，将其主机名用一下命令更改（以便区分）

hostnamectl set-hostname ssh-sever.example.com

另一台作为客户端，同样将其主机名进行修改

hostnamectl set-hostname client.example.com

(注：example.com是域名，不予显示)

 注：修改完成后，一定要关掉shell再重新开启shell修改才生效。

nm-connection-editor 配置ip

点击add

单击creat

设置完成后点击save

ip配置完成

设置完成

ip addr show 查看ip

服务端同样

2.ssh远程主机用户@远程主机ip

ssh远程主机用户@远程主机ip

[root@client ~]ssh root@172.25.60.11

The authenticity of host '172.25.60.11 (172.25.60.11)' can't be established.

ECDSA key fingerprint is eb:24:0e:07:96:26:b1:04:c2:37:0c:78:2d:bc:b0:08.

Are you sure you want to continue connecting (yes/no)? yes连接陌生主机时需要建立认证关系

Warning: Permanently added '172.25.60.11' (ECDSA) to the list of known hosts.

root@172.25.60.11's password:  远程用户密码

Last login: Mon Oct  3 03:13:47 2016

[root@ssh-server ~]登陆成功 

ssh 远程主机用户@远程主机ip -X 调用远程主机图形工具

ssh     远程主机用户@远程主机ipcommand 直接在远程主机运行某

产生的进程在服务端

在服务端关闭进程客户端也会关闭

服务端进程关闭

在服务端建立文件

远程连接进行删除文件命令

删除图片成功

w -f 查看谁登陆过我

3.登录提示字符

vim /etc/motd

客户端登录显示该字符

以上是第一种加密方式

二、sshkey加密

1.生成公钥私钥

[root@ssh-server ~]# ssh-keygen  生成公钥私钥工具

Generating public/private rsa key pair.

Enter file in which to save the key (/root/.ssh/id_rsa):[enter]  加密字符保存文件（建议用默认）

Created directory '/root/.ssh'.

Enter passphrase (empty for no passphrase): [enter] 密钥密码，必须>4个字符

Enter same passphrase again: [enter] 确认密码

Your identification has been saved in /root/.ssh/id_rsa.

Your public key has been saved in /root/.ssh/id_rsa.pub.

The key fingerprint is:

ab:3c:73:2e:c8:0b:75:c8:39:3a:46:a2:22:34:84:81 root@server0.example.com

The key's randomart p_w_picpath is:

+--[ RSA 2048]----+

|o              |

|E.             

|..             |

|.  . o          |

|.o. * . S         |

|oo.o o   .       |

|+ =. .  .        |

|o. oo.+..         |

|    ..o*.       |

+-----------------+

[root@server0 ~]# ls /root/.ssh/

id_rsa  id_rsa.pub

id_rsa 私钥，就是钥匙

id_rsa.pub 公钥，就是锁

ssh-keygen 生成公钥私钥工具

以下是第二种加密方式

ls 列出.ssh 可以看到已生成锁和钥匙

2.添加key认证方式

[root@ssh-server ~]# ssh-copy-id -i /root/.ssh/id_rsa.pub  root@172.25.60.11

ssh-copy-id 添加key认证方式的工具

-i 指定加密key文件

/root/.ssh/id_rsa.pub 加密key

root 加密用户为root

172.25.60.11被加密主机ip 

3.提升安全级别

更改配置文件 vim /etc/ssh/ssh_config

将78行 yes改为no,restart该文件，密钥加密生效

权利被禁止

4.分发钥匙给client主机

[root@ssh-server ~]# scp /root/.ssh/id_rsa root@172.25.60.10:/root/.ssh/

分发钥匙成功

登录成功

5.提升安全级别

(1)更改配置文件 vim/etc/ssh/sshd_config

将78行 yes改为no 

(2)提升安全级别

更改配置 vim /etc/ssh_config 

79 Allowusers ww root 允许ww root 用户登录

设置白名单

登录成功

（3）提升安全级别

# 注释掉白名单用户

80 Denyusers ww  拒绝ww用户登录

设置黑名单用户

ww是黑名单用户，权利被禁止

root 用户权利过大，要禁止它的权利

48 PermitRootLogin yes|no  是否允许超级用户登陆

更改如下配置文件

root 用户被禁止，普通用户可登陆

6.控制ssh客户端访问

vim /etc/hosts.deny

sshd:ALL  拒绝所有人链接sshd服务

vim /etc/hosts.allow

sshd:172.25.254.250  允许250主机链接sshd

sshd:172.25.254.250， 172.25.254.180 允许250和180链接

sshd:ALL EXCEPT 172.25.254.200   只不允许200链接sshd