1.远程连接:
首先设置ip:
设置好之后,先ping一下IP 看能不能通
ssh root@172.25.13.103 ##表示的是:连接ip为172.25.13.103的root用户
2.系统控制命令
系统控制命令的查看相关参数如下表
| systemctl | 服务控制命令 |
|---|---|
| systemctl status sshd | 查看服务状态 inactive(不可用),active(可用) |
| systemctl start sshd | 开启服务 |
| systemctl stop aahd | 关闭服务 |
| systemctl restart sshd | 重启服务 |
| systemctl reload sshd | 重新加载服务配置 |
| systemctl enable sshd | 设置开机重启时开启服务 |
| systemctl disable sshd | 设置开机重启时不会自起服务 |
| systemctl list-unit-files | 列出所有服务开机启动时的状态 |
| systemctl mask sshd | 表示sshd服务已经被锁定 |
| systemctl unmask sshd | 表示sshd服务已经被解锁 |
| systemctl set-default multi-user.target | 设定系统启动级别为多用户级别(无图形) |
| systemctl set-default graphical.target | 设定系统启动级别为图形模式 |
(1)查看服务状态 inactive(不可用),active(可用)
(2) 关闭服务
(3)开启服务
(4)重启服务
(5) 设置开机重起时不会自起服务
3.sshd的服务
sshd全称为 secure shell
可以通过网络在远程主机中开启shell的服务
客户端软件:sshd
连接方式:
1)ssh username@ip ## 文本模式的连接
2)ssh username@ip -X ## 可以在连接成功后开启图形
注意:1.在第一次连接陌生主机时,要生成认证文件/root/.ssh/know_host,所以会询问是否建立,需要键入yes,此后在连接此台主机时,只要认证文件存在,就不需要再次输入yes。
远程复制: scp file root@ip:dir ##上传
scp root@ip:file dir ##下载
4.sshd的key认证
ssh-keygen 生成密钥的命令
在生成密钥的时候会让你输入三次的指令:
1.指定保存加密字符的文件(使用默认)
2.设定密码(使用空密码)
3.确认密码(空格 就行)
建立完成后可以使用 ls /root/.ssh/ 来查看是否生成
可以看到公钥(id_rsa.pub)与私钥(id_rsa)
首先:加密
ssh-copy-id -i /root/.ssh/id_rsa.pub root@172.25.62.251
然后:修改
vim /etc/ssh/sshd_config 将第78行的yes改成no
修改完之后还需要重启一下服务:
systemctl restart sshd.service
再试一下连接:ssh root@172.25.62.251
此时,使用远程连接已经被权限拒绝,因为我们已经进行了加密,要想再次连上就得给他分发钥匙,这样就能成功连接了。
给172.25.62.250分发钥匙:
scp /root/.ssh/id_rsa root@172.25.62.250:/root/.ssh/
然后在连接172.25.62.251
连接成功了。
5.sshd的安全认证
/etc/ssh/sshd_config
用vim进入这个文件后就可以更改ssh服务的安全设定
78 PasswordAuthentication yes|no 是否允许用户通过登录系统的密码做sshd的认证
48 PermitRootLogin yes|no 是否允许root用户通过sshd服务的认证
我们先试一下:
现在能连上251这台机子,
接着vim /etc/ssh/sshd_config 在第48行改不允许通过认证:
改完后记着重启服务:systemctl restart sshd.service
然后在尝试连接:
现在发现Permission denied 权限拒绝了。
但是用其他用户还可以连接:
发现student用户还可以连上。
还可以在这个文件里设置黑白名单:
Allowusers 用户名 ##设定用户白名单,白名单中的用户可以使用sshd
Denyusers 用户名 ##设定用户黑名单,黑名单出现的用户不可以使用sshd
6.添加sshd的登陆信息
我们可以在我们的主机上添加一些登陆信息,这样别人在登陆我们的主机的时候可以看到这些登陆信息。
vim /etc/motd 编辑这个文件就可以了
然后退出保存,
其他人连接时就会出现编辑的这个
7.用户的登录审计
| w | 查看正在使用当前系统的用户 |
|---|---|
| w -f | 查看使用来源 |
| w -i | 显示IP |
| last | 查看使用过并退出的用户信息 |
| lastb | 查看试图登陆但没有成功的用户 |
正在使用当前系统的用户:
查看使用过并退出的用户信息 :
查看试图登陆但没有成功的用户
