一、安装机配置OPenSSH服务器
1、安装与启动OpenSSH
首先查询系统是否安装了与OpenSSH相关的软件包:
#rpm -qa| grep openssh
安装完成后,可以使用下述命令启动:
#servicesshd start
查看opensshd进程和端口号是否正常,使用下面命令:
#netstat-nutap | grep sshd; ps -ef | grep sshd
如果需要在系统启动时就自动运行该服务,则使用如下命令:
#chkconfig--level 345 sshd on
2、配置文件
OpenSSH 的配置文件和主要文件存放在/etc/ssh/目录中。主要包括如下文件:
/etc/ssh/sshd_config: SSHD 服务器的配置文件。
/etc/ssh/ssh_config: SSH 客户端的配置文件。
/etc/ssh/ssh_host_key:SSH1用的RSA私钥。
/etc/ssh/ssh_host_key.pub:SHH1用的 RSA公钥。
/etc/ssh/ssh_host_rsa_key:SSH2用的RSA私钥。
/etc/ssh/ssh_host_rsa_key.pub:SSH2用的RSA公钥。
/etc/ssh/ssh_host_dsa_key:SSH2用的DSA私钥 。
/etc/ssh/ssh_host_dsa_key.pub:SSH2用的DSA公钥。
3、配置使用口令验证登录服务器的实例
在系统中,OPenSSH 服务器和客户端的相关软件包是默认安装的,并已将sshd服务添加为标准的系统服务。因此,自需要在服务器中执行“service sshd start”就可以开启默认的配置sshd服务,包括root在内的大部分用户都可以远程登录系统。为了安全,我们需要修改配置文件(/etc/ssh/sshd_config)。
eg:允许网站管理员root从任何客户端远程登录服务器,允许用户cjh只能从linux客户端(192.168.0.1)远程登录web服务器,将SSH默认监听的端口号22修改为3000,以提高安全。
#vim/etc/ssh/sshd_config
Port 3000 #修改监听端口为3000,默认为22
ListenAddress192.168.0.1 #只在Web服务器上提供服务
PermitRootLogin no #禁止root用户远程登录
PermitEmpeyPassword no #禁止空密码用户登录
LoginGraceTime 1m #登录验证过程时间为1分钟
MaxAuthTries 3 #允许用户登录验证的最大重试次数为3
PasswordAuthentication yes #允许使用密码验证
AllowUsers root cjh1@192.168.0.1 #此项需要手动添加,允许root用户可以从任何客户端登录,允许用户cjh1只能从192.168.0.1客服端登录,其他用户拒绝。
注: 当root用户被禁止登录时,可以先使用普通帐号远程进入系统,在需要执行管理任务时在使用“su – ”的方式切换为root。或者在服务器中配置sudo一执行部分管理命令,这样以提高系统的安全性。
(1)创建允许远程登录Web服务器的用户:
#useraddcjh1
#passwdcjh1
(2)重新启动sshd服务。
#servicesshd start
(3)使用Linux客服端验证:
#ssh -p3000 cjh1@192.168.0.10
(4)验证从windows客户端工具putty远程登录
二、配置使用密钥对(证书)方式远程登录服务器实例
(1)在服务器端(SSH服务器)调整/etc/ssh/sshd_config配置文件,配置使用密钥对验证方式登录:
# vim/etc/ssh/sshd_config
PasswordAuthentication no #禁止使用密码验证方式
PubkeyAuthentication yes #使用密钥对(证书)方式进行登录验证
AuthorizedKeysFile ./ssh/authorized_keys #指定保存各用户公钥内容的数据文件位置。
(2)重新启动sshd服务
#servicesshd restart
(3)在一个linux客服端创建密钥对:
(4)将公钥文件上传到服务器端(SSH服务器) (可以通过FTp、Samba、HTTP、SCP等方式上传):
#scp -p3000 .ssh/id_rsa.pub cjh1@192.168.0.66:/home/cjh1
(5)在服务器端(SSH服务器),将公钥文件的内容添加到用户cjh1授权密钥库:
#mkdir -p/home/cjh1/.ssh
#cat/home/cjh1/id_rsa.pub >> /home/cjh1/.ssh/authorized_keys
(6)在Window客户端使用WinSCP以密钥对(证书)验证方式登录SSH服务器。
首先使用FTP或其他方法从Linux客户端到处私钥至windows客户端。使用PuTTYgen工具导入私钥文件病转换成.ppk格式的私钥
使用WinSCP工具远程登录SSH服务器,需要现在客服端安装WinSCP软件,安装好后,打开程序。
[info]岁月博客(www.syddos.com),致力于网络优秀资源的分享和交流![/info]
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 2303805254@qq.com,本站将立刻删除。