1、xshell、secureCRT ssh连接V10 2107报“服务器发送了一个意外的数据包....”

如下:

麒麟v10 安装python 麒麟v10 安装sshd_vim

 解决方式:

方式1、使用mobaxterm连接无问题

方式2、# sudo vim /etc/ssh/sshd_config

在行尾添加如下内容:

KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group14-sha1

# sudo systemctl restart sshd    //重启ssh服务后重新连接

2、打开ssh root登录

# sudo passwd root   //设置root密码,默认不开放root用户

# sudo vim /etc/ssh/sshd_config     //更改PermitRootLogin和PasswordAuthentication 为yes

麒麟v10 安装python 麒麟v10 安装sshd_vim_02

麒麟v10 安装python 麒麟v10 安装sshd_kylin_03

 # sudo systemctl restart sshd     //重启ssh,另需检查防火墙是否开放ssh 22端口

3、更改ssh默认端口

# sudo vim /etc/ssh/sshd_config

麒麟v10 安装python 麒麟v10 安装sshd_vim_04

# systemctl restart sshd

4、ssh黑白名单访问控制

首先麒麟V10 openssh默认是不支持hosts.deny和hosts.allow策略的,默认没有这个文件,手动新增的话也不会生效,因为hosts.allow和hosts.deny属于tcp_Wrappers防火墙的配置文件,而用tcp_Wrappers防火墙控制某一服务访问策略的前提是,该服务支持tcp_Wrappers防火墙,即该服务应用了libwrapped库文件。查看某服务(如ssh)是否应用了libwrapped库文件的方法是:

# ldd /usr/sbin/sshd |grep libwrap.so.0

比较一下可以发现麒麟V10默认没有自动加载libwrap.so.0库文件,如下图:

麒麟v10 安装python 麒麟v10 安装sshd_kylin_05

 

麒麟v10 安装python 麒麟v10 安装sshd_kylin_06

 # rpm -qf /lib64/libwrap.so.0      //可以发现libwrap.so.0是属于tcp_wrappers-libs包

麒麟v10 安装python 麒麟v10 安装sshd_麒麟v10 安装python_07

 # yum install -y tcp_wrappers    //安装后、重装openssh后还是没有加载libwrap.so.0,所以可能跟openssh版本有关系

# yum update openssh   //无可用升级,暂时放弃,后面如有升级版本可以试一下,或者降级和centos7.5一样的版本试一下,这里先改用/etc/ssh/sshd_config的AllowUsers和DenyUsers的方式

# vim /etc/ssh/sshd_config   

a、只允许指定用户进行登录(白名单)

在/etc/ssh/sshd_config配置文件中设置AllowUsers和DenyUsers选项:

#只允许192.168.1.10通过ssh访问本地root用户
AllowUsers root@192.168.1.10

#只允许通过ssh访问本地arvin用户
AllowUsers arvin

# 表示137段允许登录本地所有用户

AllowUsers  *@192.168.137.*      

#也可以 *@主机名  的方式,前提是此机器可以将该主机名解析到对应的地址

# 拒绝通过ssh访问本地arvin用户

DenyUsers arvin

#拒绝192.168.1.17通过ssh访问本地arvin用户

DenyUsers arvin@192.168.1.17

注:上述配置完需要重启sshd服务生效

5、ssh常见问题

5.1、ssh一会连接上一会连接不上

可能原因1:查看/var/log/secure日志发现有不明IP一直在暴力强登本机ssh

麒麟v10 安装python 麒麟v10 安装sshd_kylin_08

 解决方法:更改本机ssh默认端口,打开防火墙并配置策略,或者在sshd_config做限制源地址访问本机ssh

5.2、ssh连接很慢,远程ssh操作很卡

可能原因1:服务器端配置了bond,上层交换机端口配错导致

--------------------------
麒麟软件以安全可信操作系统技术为核心,旗下拥有“银河麒麟”、“中标麒麟”两大产品品牌,面向通用和专用领域打造安全创新操作系统产品和相应解决方案,现已形成了服务器操作系统、桌面操作系统、嵌入式操作系统、麒麟云等产品。麒麟软件系列产品能同时支持飞腾、鲲鹏、龙芯、申威、海光、兆芯等国产CPU。企业坚持开放合作共建产业生态,为客户提供完整的国产化解决方案。