Openssh服务器端和客户端的配置及应用（openssh安装及简单配置）

一、安装机配置OPenSSH服务器

1、安装与启动OpenSSH

首先查询系统是否安装了与OpenSSH相关的软件包：

#rpm -qa| grep openssh

安装完成后，可以使用下述命令启动：

#servicesshd start

查看opensshd进程和端口号是否正常，使用下面命令：

#netstat-nutap | grep sshd; ps -ef | grep sshd

如果需要在系统启动时就自动运行该服务，则使用如下命令：

#chkconfig--level 345 sshd on

2、配置文件

OpenSSH 的配置文件和主要文件存放在/etc/ssh/目录中。主要包括如下文件：

/etc/ssh/sshd_config: SSHD 服务器的配置文件。

/etc/ssh/ssh_config: SSH 客户端的配置文件。

/etc/ssh/ssh_host_key:SSH1用的RSA私钥。

/etc/ssh/ssh_host_key.pub:SHH1用的 RSA公钥。

/etc/ssh/ssh_host_rsa_key:SSH2用的RSA私钥。

/etc/ssh/ssh_host_rsa_key.pub:SSH2用的RSA公钥。

/etc/ssh/ssh_host_dsa_key:SSH2用的DSA私钥 。

/etc/ssh/ssh_host_dsa_key.pub:SSH2用的DSA公钥。

3、配置使用口令验证登录服务器的实例

在系统中，OPenSSH 服务器和客户端的相关软件包是默认安装的，并已将sshd服务添加为标准的系统服务。因此，自需要在服务器中执行“service sshd start”就可以开启默认的配置sshd服务，包括root在内的大部分用户都可以远程登录系统。为了安全，我们需要修改配置文件（/etc/ssh/sshd_config）。

eg：允许网站管理员root从任何客户端远程登录服务器，允许用户cjh只能从linux客户端（192.168.0.1）远程登录web服务器，将SSH默认监听的端口号22修改为3000，以提高安全。

#vim/etc/ssh/sshd_config

Port    3000                         #修改监听端口为3000，默认为22

ListenAddress192.168.0.1                #只在Web服务器上提供服务

PermitRootLogin   no                   #禁止root用户远程登录

PermitEmpeyPassword  no               #禁止空密码用户登录

LoginGraceTime      1m                #登录验证过程时间为1分钟

MaxAuthTries        3                  #允许用户登录验证的最大重试次数为3

PasswordAuthentication   yes             #允许使用密码验证

AllowUsers   root   cjh1@192.168.0.1    #此项需要手动添加，允许root用户可以从任何客户端登录，允许用户cjh1只能从192.168.0.1客服端登录，其他用户拒绝。

注： 当root用户被禁止登录时，可以先使用普通帐号远程进入系统，在需要执行管理任务时在使用“su - ”的方式切换为root。或者在服务器中配置sudo一执行部分管理命令，这样以提高系统的安全性。

（1）创建允许远程登录Web服务器的用户：

#useraddcjh1

#passwdcjh1

（2）重新启动sshd服务。

#servicesshd start

（3）使用Linux客服端验证：

#ssh -p3000 cjh1@192.168.0.10

（4）验证从windows客户端工具putty远程登录

二、配置使用密钥对（证书）方式远程登录服务器实例

（1）在服务器端（SSH服务器）调整/etc/ssh/sshd_config配置文件，配置使用密钥对验证方式登录：

# vim/etc/ssh/sshd_config

PasswordAuthentication   no   #禁止使用密码验证方式

PubkeyAuthentication     yes  #使用密钥对（证书）方式进行登录验证

AuthorizedKeysFile    ./ssh/authorized_keys   #指定保存各用户公钥内容的数据文件位置。

（2）重新启动sshd服务

#servicesshd restart

（3）在一个linux客服端创建密钥对：

（4）将公钥文件上传到服务器端（SSH服务器） （可以通过FTp、Samba、HTTP、SCP等方式上传）：

#scp -p3000 .ssh/id_rsa.pub cjh1@192.168.0.66:/home/cjh1

（5）在服务器端（SSH服务器），将公钥文件的内容添加到用户cjh1授权密钥库：

#mkdir -p/home/cjh1/.ssh

#cat/home/cjh1/id_rsa.pub >> /home/cjh1/.ssh/authorized_keys

（6）在Window客户端使用WinSCP以密钥对（证书）验证方式登录SSH服务器。

首先使用FTP或其他方法从Linux客户端到处私钥至windows客户端。使用PuTTYgen工具导入私钥文件病转换成.ppk格式的私钥

使用WinSCP工具远程登录SSH服务器，需要现在客服端安装WinSCP软件，安装好后，打开程序。