共计 11678 个字符,预计需要花费 30 分钟才能阅读完成。
随着开源社区的日趋丰富,开源软件、开源服务,已经成为人类的一种公共资源,发展势头可谓一日千里,所以不可不知。SSHD 服务,在我们的 linux 服务器上经常用到,很重要,涉及到服务器的安全,对这个服务的安全配置要高度重视。本文将从以下三个方面进行阐述开源服务及 ssh 服务。
- 一、学习开源服务的步骤和方法
- 二、SSHD 服务安装、配置、使用
- 三、设置安全的 SSHD 服务
一、学习开源服务的步骤和方法:
1、了解服务的作用:名称,功能,特点
2、安装
3、配置文件位置,端口
4、服务启动关闭的脚本
5、此服务的使用方法
6、修改配置文件,实战举例
7、排错(从下到上,从内到外)。
二、SSHD 服务安装、配置、使用
SSHD 服务
介绍:SSH 协议:安全外壳协议。为 Secure Shell 的缩写。SSH 为建立在应用层和传输层基础上的安全协议。
作用:sshd 服务使用 SSH 协议可以用来进行远程控制,或在计算机之间传送文件
相比较之前用 telnet 方式来传输文件要安全很多,因为 telnet 使用明文传输,是加密传输。
服务安装:
需要安装 OpenSSH 四个安装包:
OpenSSH 软件包,提供了服务端后台程序和客户端工具,用来加密远程控件和文件传输过程中的数据,并由此来代替原来的类似服务。
安装包:
OpenSSH 服务需要 4 个软件包
openssh-askpass-5.3p1-118.1.el6_8.x86_64 #支持对话框窗口的显示,是一个基于 X 系统的密码诊断工具
openssh-ldap-5.3p1-118.1.el6_8.x86_64 #这个包不是必须的,我在 yum install openssh* -y 安装时,顺带将这个包装了。
openssh-5.3p1-118.1.el6_8.x86_64 #包含 OpenSSH 服务器及客户端需要的核心文件
openssh-clients-5.3p1-118.1.el6_8.x86_64 #OpenSSH 客户端软件包
openssh-server-5.3p1-118.1.el6_8.x86_64 #OpenSSH 服务器软件包
这四个软件包在我们的 RHEL 镜像软件安装包里有。
[root@xiaolyu77 ~]# ll /mnt/Packages/openssh*
-r–r–r– 3 root root 264144 Nov 25 2013 /mnt/Packages/openssh-5.3p1-94.el6.x86_64.rpm
-r–r–r– 2 root root 55748 Nov 25 2013 /mnt/Packages/openssh-askpass-5.3p1-94.el6.x86_64.rpm
-r–r–r– 3 root root 411336 Nov 25 2013 /mnt/Packages/openssh-clients-5.3p1-94.el6.x86_64.rpm
-r–r–r– 3 root root 318860 Nov 25 2013 /mnt/Packages/openssh-server-5.3p1-94.el6.x86_64.rpm
[root@xiaolyu77 ~]#
说明:这里我给出我的 xshell 的配色方案,因为作为程序人,整天对着一个白底黑字还是黑底黄字,对眼睛的伤害非常大。
我的配色方案是眼科专家给出的,最利于眼睛保护的。xshell 最佳配色方案下载 下载完成后,直接在 xshell 中导入即可。
可以到 Linux 公社资源站下载:
—————————————— 分割线 ——————————————
免费下载地址在 http://linux.linuxidc.com/
用户名与密码都是www.linuxidc.com
具体下载目录在 /2017 年资料 / 6 月 /18 日 /SSHD 服务安装管理及配置文件理解和安全调优 /
下载方法见 http://www.linuxidc.com/Linux/2013-07/87684.htm
—————————————— 分割线 ——————————————
因为在上一篇博文中我已经讲了如何配置本地和在线 yum 源(见 http://www.linuxidc.com/Linux/2017-06/144905.htm),这里直接用 yum 安装方式来安装 openssh 软件包。
yum install openssh* -y
因为我的 openssh 安装过,而我又配置了网络 yum 源,所以这里会更新旧的安装包。
确认软件包是否已经安装:
rpm -qa | grep openssh
查看软件安装生产的文件:
rpm -ql openssh
OpenSSH 配置文件
ll /etc/ssh
OpenSSH 常用配置文件有两个 /etc/ssh/ssh_config 和 /etc/ssh/sshd_config。
ssh_config 为客户端配置文件
sshd_config 为服务器端配置文件
服务启动关闭脚本:
方法 1:
service sshd restart/stop/start/status
方法 2:
/etc/init.d/sshd restart/stop/start/status
设置开机启动服务:
chkconfig sshd on
chkconfig –list sshd
如何使用 ssh 来远程连接主机:
方法一、
1、ssh [远程主机用户名] @[远程服务器主机名或 IP 地址]
如果用 root 进程登录远程主机可以这样:就是直接写要登录远程主机的 ip 地址,不用带远程主机的用户名。
root 用户登录:
[root@xiaolyu77 ~]# ssh 192.168.31.76
查看生成的 knows-hosts 文件。
cat .ssh/known_hosts
普通用户登录:
[root@xiaolyu76 ~]# useradd xiao && echo 123456 | passwd –stdin xiao
因为我第一次用 root 用户登录,.ssh/known_hosts 文件已经生成,所以当我再用普通用户 xiao 登录时,不会出现 RSA 指纹签名的信息。
下面我删掉 /root/.ssh/known_hosts 文件,再用普通用户登陆一下。
重新换一个窗口登录 77 主机,发现 /root/.ssh/knows_hosts 文件又重新生成了。
总结:
1. 第一次登录服务器时系统没有保存远程主机的信息,为了确认该主机身份会提示用户是否继续连 接,输入 yes 后登录,这时系统会将远程服务器信息写入用户目录下:$HOME/.ssh/known_hosts 文件中,下次再进行登录时因为保存有该主机信息就不会再提示了.
如果是 root 用户,known_hosts 会写在 /root/.ssh/known_hosts 文件中。
2. RSA 算法基于一个十分简单的数论事实:将两个大素数相乘十分容易,但是想要对其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥。
方法二、
ssh -l [远程主机用户名] [远程服务器主机名或 IP 地址]
[root@xiaolyu77 ~]# ssh -l xiao xiaolyu76
说明:两种登录方式效果相同,推荐第一种,因为第一种登录方法和大多数服务的登录方法相同,本人也习惯用第一种。
更多详情见请继续阅读下一页的精彩内容:http://www.linuxidc.com/Linux/2017-06/144905p2.htm
三、SSHD 配置文件及安全配置:
介绍下配置文件,以及需要安全调优的地方
注:参数前面有 #,表示是默认值。当然 #号也表示注示。
/etc/ssh/sshd_config 配置文件
说明:这里以 xiaolyu76 作为服务器,xiaolyu77 作为客户端。
# 下面是系统默认的 sshd_config 的配置文件:
[root@xiaolyu76 ~]# cat /etc/ssh/sshd_config
# $OpenBSD: sshd_config,v 1.80 2008/07/02 02:24:18 djm Exp $
# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.
# This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin
# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.
#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::
# Disable legacy (protocol version 1) support in the server for new
# installations. In future the default will change to require explicit
# activation of protocol 1
Protocol 2
# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 1024
# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
#LogLevel INFO
# Authentication:
#LoginGraceTime 2m
#PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile .ssh/authorized_keys
#AuthorizedKeysCommand none
#AuthorizedKeysCommandRunAs nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no
PasswordAuthentication yes
# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
ChallengeResponseAuthentication no
# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no
#KerberoSUSEKuserok yes
# GSSAPI options
#GSSAPIAuthentication no
GSSAPIAuthentication yes
#GSSAPICleanupCredentials yes
GSSAPICleanupCredentials yes
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
#UsePAM no
UsePAM yes
# Accept locale-related environment variables
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS
#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
#X11Forwarding no
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#ShowPatchLevel no
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10:30:100
#PermitTunnel no
#ChrootDirectory none
# no default banner path
#Banner none
# override default of no subsystems
Subsystem sftp /usr/libexec/openssh/sftp-server
# Example of overriding settings on a per-user basis
#Match User anoncvs
# X11Forwarding no
# AllowTcpForwarding no
# ForceCommand cvs server 1. 端口:Port 22
设置 sshd 监听端口号
# SSH 预设使用 22 这个 port,也可以使用多个 port,即重复使用 port 这个设定项目!
# 例如想要开放 sshd 端口为 22 和 222,则多加一行内容为:Port 222 即可
# 然后重新启动 sshd 这样就好了。建议修改 port number 为其它端口。防止别人暴力破解。
eg:修改 sshd 服务默认监听的端口为 222
vim /etc/ssh/sshd_config
将 Port 22 修改为Port 222
重启 sshd 服务:service sshd restart
测试 sshd 服务的端口是否已经改变了:netstat -tlunp | grep sshd
修改完端口默认端口后,登录方法:
ssh -p 222 192.168.31.76 #- p 后面跟的就是修改后的端口号。
2. 设置 sshd 服务器绑定的本地 IP 地址。
当本地有多个网卡时,就会出现多个 ip 地址,可以选择一个 ip 地址作为 sshd 服务器的 ip 地址。
当然了,0.0.0.0 表示本地所有的 ip 地址。
ListenAddress 是监听本地 ip 地址的,而不是远端 ip 地址的。
这个值可以写成本地某一个 ip 地址或所有地址(0.0.0.0)。
#Protocol 2
选择的 SSH 协议版本,可以是 1 也可以是 2,CentOS 5.x 预设是仅支援 V2。出于 安全考虑,设置为最新的协议版本
#HostKey /etc/ssh/ssh_host_key
设置包含计算机私人密匙的文件
#SyslogFacility AUTHPRIV
当有人使用 SSH 登入系统的时候,SSH 会记录信息,这个信息要记录的类型为 AUTHPRIV。
在这个配置文件中,没有看到登录系统的默认日志存放路径,那么 登录系统的默认日志存放在哪?
sshd 服务日志存放在:/var/log/secure。
ls /var/log/secure
例:为什么 sshd 配置文件中没有指定日志,但日志却存放在了:/var/log/secure?
vim /etc/rsyslog.conf
就是在这个 /etc/rsyslog.conf 定义了 sshd 服务日志的存放路径。
#LogLevel INFO
# 登录记录的等级!INFO 级别以上。
3. 下面是安全调优的重点:
#LoginGraceTime 2m
# 当使用者连上 SSH server 之后,会出现输入密码的画面
# 在多久时间内没有成功连上 SSH server 就强迫断线!若无单位则默认时间为秒!
可以根据实际情况来修改实际
# PermitRootLogin yes
# 是否允许 root 登入!预设是允许的,但是建议设定成 no!
真实的生产环境服务器,是不允许 root 账号登陆的!!!
#PasswordAuthentication yes
# 密码验证当然是需要的!所以这里写 yes,也可以设置为 no
# 在真实的生产服务器上,根据不同安全级别要求,有的是设置不需要密码登陆的,通过认证的秘钥来登陆
# PermitEmptyPasswords no
# 若上面那一项如果设定为 yes 的话,这一项就最好设定为 no,
# 这个项目在是否允许以空的密码登入!当然不许!
# PrintMotd yes
# 登入后是否显示出一些信息呢?例如上次登入的时间、地点等等,预设是 yes
# 亦即是打印出 /etc/motd 这个文档的内容。
例:给 sshd 服务添加一些警告信息
# 服务器端:[root@xiaolyu76 ~]# cat /etc/motd
[root@xiaolyu76 ~]# echo 'Warning ! From now on, all of your operations have been recorded!'> /etc/motd
#客户端:[root@xiaolyu77 ~]# ssh -p222 xiaolyu76
root@xiaolyu76's password:
Last login: Mon Sep 19 02:08:16 2016 from xiaolyu77
Warning ! From now on, all of your operations have been recorded!
# PrintLastLog yes
# 显示上次登入的信息!预设也是 yes!实际生产上也是 yes! 从上面可以明显的看到这个参数的效果。
# UseDNS yes
# 一般来说,为了要判断客户端来源是正常合法的,因此会使用 DNS 去反查客户端的主机名
# 不过如果是在内网互连,这项目设定为 no 会让联机速度比较快。
本文永久更新链接地址:http://www.linuxidc.com/Linux/2017-06/144905.htm
随着开源社区的日趋丰富,开源软件、开源服务,已经成为人类的一种公共资源,发展势头可谓一日千里,所以不可不知。SSHD 服务,在我们的 linux 服务器上经常用到,很重要,涉及到服务器的安全,对这个服务的安全配置要高度重视。本文将从以下三个方面进行阐述开源服务及 ssh 服务。
- 一、学习开源服务的步骤和方法
- 二、SSHD 服务安装、配置、使用
- 三、设置安全的 SSHD 服务
一、学习开源服务的步骤和方法:
1、了解服务的作用:名称,功能,特点
2、安装
3、配置文件位置,端口
4、服务启动关闭的脚本
5、此服务的使用方法
6、修改配置文件,实战举例
7、排错(从下到上,从内到外)。
二、SSHD 服务安装、配置、使用
SSHD 服务
介绍:SSH 协议:安全外壳协议。为 Secure Shell 的缩写。SSH 为建立在应用层和传输层基础上的安全协议。
作用:sshd 服务使用 SSH 协议可以用来进行远程控制,或在计算机之间传送文件
相比较之前用 telnet 方式来传输文件要安全很多,因为 telnet 使用明文传输,是加密传输。
服务安装:
需要安装 OpenSSH 四个安装包:
OpenSSH 软件包,提供了服务端后台程序和客户端工具,用来加密远程控件和文件传输过程中的数据,并由此来代替原来的类似服务。
安装包:
OpenSSH 服务需要 4 个软件包
openssh-askpass-5.3p1-118.1.el6_8.x86_64 #支持对话框窗口的显示,是一个基于 X 系统的密码诊断工具
openssh-ldap-5.3p1-118.1.el6_8.x86_64 #这个包不是必须的,我在 yum install openssh* -y 安装时,顺带将这个包装了。
openssh-5.3p1-118.1.el6_8.x86_64 #包含 OpenSSH 服务器及客户端需要的核心文件
openssh-clients-5.3p1-118.1.el6_8.x86_64 #OpenSSH 客户端软件包
openssh-server-5.3p1-118.1.el6_8.x86_64 #OpenSSH 服务器软件包
这四个软件包在我们的 RHEL 镜像软件安装包里有。
[root@xiaolyu77 ~]# ll /mnt/Packages/openssh*
-r–r–r– 3 root root 264144 Nov 25 2013 /mnt/Packages/openssh-5.3p1-94.el6.x86_64.rpm
-r–r–r– 2 root root 55748 Nov 25 2013 /mnt/Packages/openssh-askpass-5.3p1-94.el6.x86_64.rpm
-r–r–r– 3 root root 411336 Nov 25 2013 /mnt/Packages/openssh-clients-5.3p1-94.el6.x86_64.rpm
-r–r–r– 3 root root 318860 Nov 25 2013 /mnt/Packages/openssh-server-5.3p1-94.el6.x86_64.rpm
[root@xiaolyu77 ~]#
说明:这里我给出我的 xshell 的配色方案,因为作为程序人,整天对着一个白底黑字还是黑底黄字,对眼睛的伤害非常大。
我的配色方案是眼科专家给出的,最利于眼睛保护的。xshell 最佳配色方案下载 下载完成后,直接在 xshell 中导入即可。
可以到 Linux 公社资源站下载:
—————————————— 分割线 ——————————————
免费下载地址在 http://linux.linuxidc.com/
用户名与密码都是www.linuxidc.com
具体下载目录在 /2017 年资料 / 6 月 /18 日 /SSHD 服务安装管理及配置文件理解和安全调优 /
下载方法见 http://www.linuxidc.com/Linux/2013-07/87684.htm
—————————————— 分割线 ——————————————
因为在上一篇博文中我已经讲了如何配置本地和在线 yum 源(见 http://www.linuxidc.com/Linux/2017-06/144905.htm),这里直接用 yum 安装方式来安装 openssh 软件包。
yum install openssh* -y
因为我的 openssh 安装过,而我又配置了网络 yum 源,所以这里会更新旧的安装包。
确认软件包是否已经安装:
rpm -qa | grep openssh
查看软件安装生产的文件:
rpm -ql openssh
OpenSSH 配置文件
ll /etc/ssh
OpenSSH 常用配置文件有两个 /etc/ssh/ssh_config 和 /etc/ssh/sshd_config。
ssh_config 为客户端配置文件
sshd_config 为服务器端配置文件
服务启动关闭脚本:
方法 1:
service sshd restart/stop/start/status
方法 2:
/etc/init.d/sshd restart/stop/start/status
设置开机启动服务:
chkconfig sshd on
chkconfig –list sshd
如何使用 ssh 来远程连接主机:
方法一、
1、ssh [远程主机用户名] @[远程服务器主机名或 IP 地址]
如果用 root 进程登录远程主机可以这样:就是直接写要登录远程主机的 ip 地址,不用带远程主机的用户名。
root 用户登录:
[root@xiaolyu77 ~]# ssh 192.168.31.76
查看生成的 knows-hosts 文件。
cat .ssh/known_hosts
普通用户登录:
[root@xiaolyu76 ~]# useradd xiao && echo 123456 | passwd –stdin xiao
因为我第一次用 root 用户登录,.ssh/known_hosts 文件已经生成,所以当我再用普通用户 xiao 登录时,不会出现 RSA 指纹签名的信息。
下面我删掉 /root/.ssh/known_hosts 文件,再用普通用户登陆一下。
重新换一个窗口登录 77 主机,发现 /root/.ssh/knows_hosts 文件又重新生成了。
总结:
1. 第一次登录服务器时系统没有保存远程主机的信息,为了确认该主机身份会提示用户是否继续连 接,输入 yes 后登录,这时系统会将远程服务器信息写入用户目录下:$HOME/.ssh/known_hosts 文件中,下次再进行登录时因为保存有该主机信息就不会再提示了.
如果是 root 用户,known_hosts 会写在 /root/.ssh/known_hosts 文件中。
2. RSA 算法基于一个十分简单的数论事实:将两个大素数相乘十分容易,但是想要对其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥。
方法二、
ssh -l [远程主机用户名] [远程服务器主机名或 IP 地址]
[root@xiaolyu77 ~]# ssh -l xiao xiaolyu76
说明:两种登录方式效果相同,推荐第一种,因为第一种登录方法和大多数服务的登录方法相同,本人也习惯用第一种。
更多详情见请继续阅读下一页的精彩内容:http://www.linuxidc.com/Linux/2017-06/144905p2.htm
