1、xshell、secureCRT ssh连接V10 2107报“服务器发送了一个意外的数据包....”
如下:
解决方式:
方式1、使用mobaxterm连接无问题
方式2、# sudo vim /etc/ssh/sshd_config
在行尾添加如下内容:
KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group14-sha1# sudo systemctl restart sshd //重启ssh服务后重新连接
2、打开ssh root登录
# sudo passwd root //设置root密码,默认不开放root用户
# sudo vim /etc/ssh/sshd_config //更改PermitRootLogin和PasswordAuthentication 为yes
# sudo systemctl restart sshd //重启ssh,另需检查防火墙是否开放ssh 22端口
3、更改ssh默认端口
# sudo vim /etc/ssh/sshd_config
# systemctl restart sshd
4、ssh黑白名单访问控制
首先麒麟V10 openssh默认是不支持hosts.deny和hosts.allow策略的,默认没有这个文件,手动新增的话也不会生效,因为hosts.allow和hosts.deny属于tcp_Wrappers防火墙的配置文件,而用tcp_Wrappers防火墙控制某一服务访问策略的前提是,该服务支持tcp_Wrappers防火墙,即该服务应用了libwrapped库文件。查看某服务(如ssh)是否应用了libwrapped库文件的方法是:
# ldd /usr/sbin/sshd |grep libwrap.so.0
比较一下可以发现麒麟V10默认没有自动加载libwrap.so.0库文件,如下图:
# rpm -qf /lib64/libwrap.so.0 //可以发现libwrap.so.0是属于tcp_wrappers-libs包
# yum install -y tcp_wrappers //安装后、重装openssh后还是没有加载libwrap.so.0,所以可能跟openssh版本有关系
# yum update openssh //无可用升级,暂时放弃,后面如有升级版本可以试一下,或者降级和centos7.5一样的版本试一下,这里先改用/etc/ssh/sshd_config的AllowUsers和DenyUsers的方式
# vim /etc/ssh/sshd_config
a、只允许指定用户进行登录(白名单)
在/etc/ssh/sshd_config配置文件中设置AllowUsers和DenyUsers选项:
#只允许192.168.1.10通过ssh访问本地root用户
AllowUsers root@192.168.1.10#只允许通过ssh访问本地arvin用户
AllowUsers arvin# 表示137段允许登录本地所有用户
AllowUsers *@192.168.137.*
#也可以 *@主机名 的方式,前提是此机器可以将该主机名解析到对应的地址
# 拒绝通过ssh访问本地arvin用户
DenyUsers arvin
#拒绝192.168.1.17通过ssh访问本地arvin用户
DenyUsers arvin@192.168.1.17
注:上述配置完需要重启sshd服务生效
5、ssh常见问题
5.1、ssh一会连接上一会连接不上
可能原因1:查看/var/log/secure日志发现有不明IP一直在暴力强登本机ssh
解决方法:更改本机ssh默认端口,打开防火墙并配置策略,或者在sshd_config做限制源地址访问本机ssh
5.2、ssh连接很慢,远程ssh操作很卡
可能原因1:服务器端配置了bond,上层交换机端口配错导致
--------------------------
麒麟软件以安全可信操作系统技术为核心,旗下拥有“银河麒麟”、“中标麒麟”两大产品品牌,面向通用和专用领域打造安全创新操作系统产品和相应解决方案,现已形成了服务器操作系统、桌面操作系统、嵌入式操作系统、麒麟云等产品。麒麟软件系列产品能同时支持飞腾、鲲鹏、龙芯、申威、海光、兆芯等国产CPU。企业坚持开放合作共建产业生态,为客户提供完整的国产化解决方案。
