westos-vmctl reset nodea westos-vmctl reset nodeb
在虚拟机nodea中:
在虚拟机nodeb中进行相同的操作:
hostnamectl set-hostname westoshost139.westos.org ##修改虚拟机名字
一.Openssh的功能1.sshd服务的用途
作用:可以实现通过网络在远程主机中开启安全shell的操作
Secure SHell ===>ssh ##客户端
Secure SHell daemon ===>sshd ##服务端
2.安装包:openssh-server
3.主配置文件: /etc/ssh/sshd_conf
4.默认端口:22
5.客户端命令:ssh
二.ssh的基本用法ssh [-l 远程主机用户]ssh -l root 172.25.254.139 ##通过ssh命令在139主机中以root身份开启远程shell
第一次连接或执行 rm -fr /root/.ssh/ 之后,会有身份证明生成过程确认,再次登陆直接输入passwd即可 :
作用:
##当收入
##139主机持有私钥当客户主机再次连接时会对客户主机进行身份验证。
在服务端(nodea139主机) cd /etc/ssh/ ls cat ssh_host_ecdsa_key.pub ##服务器存储客户端发送过来 rm -fr ssh_host_* ls systemctl restart sshd ##重启sshd ls cat ssh_host_ecdsa_key.pub ##重新查看一下,与之前的不同
当服务端重启sshd之后,客户端被拒绝连接效果如下:
解决方案:删除/root/.ssh/known_hosts文件中的指定行
vim /root/.ssh/know_hosts ##在此文件中删除报错提示相应的行即可 ssh -l root 172.25.254.139 ##再次连接
ssh 常用参数:
| -l | 指定登陆用户 |
| -i | 指定私钥 |
| -X | 开启图形 |
| -f | 后台运行 |
| -o | 指定连接参数 # ssh -l root@172.25.254.x -o "StrictHostKeyChecking=no" 首次连接不需要输入yes |
| -t | 指定连接跳板 # ssh -l root 172.25.254.239 -t ssh -l root 172.25.254.139 |
具体操作:
-Xl 开启图形,指定用户
-f ##后台运行
-o 指定连接参数
ssh -l root@172.25.254.x -o "StrictHostKeyChecking=no" 首次连接不需要输入yes
-t ##指定连接跳板
## ssh -l root 172.25.254.239 -t ssh -l root 172.25.254.139
在139主机中查看:可以看到远程登陆的ip是172.25.254.239
三.sshd key认证 1.认证类型- 对称加密:加密和解密是同一串字符。容易泄漏,可暴力破解,容易遗忘
- 非对称加密 : 加密用公钥,解密用私钥,不会被盗用,攻击者无法通过无密钥方式登陆服务器
在服务端(139主机) cd /root/.ssh/ rm -fr /root/.ssh/ ssh-keyen -f /root/.ssh/id_rsa -P "" ##命令获得锁,-f保存密钥的文件 /root/.ssh/id_rsa -P密码为空 ssh-copy-id -i /root/.ssh/id_rsa.pub root@172.25.254.110 ##对服务器加密 scp /root/.ssh/id_rsa root@172.25.254.210:/root/.ssh/ ##将钥匙传给nodeb 在客户端(239主机)中免密登陆: ssh -l root 172.25.254.110 ##默认从 /root/.ssh/读取密钥
方法一:ssh-keygen
方法二:ssh-keygen -f /root/.ssh/id_rsa -P ""
3.对服务器加密ssh-copy-id -i /root/.ssh/id_rsa.pub username@serverip
ssh-copy-id -i /root/.ssh/id_rsa.pub root@172.25.254.139
#测试#ssh -l root@172.25.254.139 ##登陆root用户不需要输入密码
四.sshd 安全优化参数详解setenforce 0 systemctl disable --now firewalld Port 2222 ##设定端口为2222 PermitRootLogin yes|no ##对超级用户登陆是否禁止 PasswordAuthentication yes|no ##是否开启原始密码认证方式 AllowUsers lee ##用户白名单 DenyUsers lee ##用户黑名单
1. PasswordAuthentication no ##不开启原始密码认证方式
测试:其他客户端不能通过密码认证方式远程登陆:
2. PermitRootLogin no ##对超级用户登陆禁止
测试: 超级用户禁止登陆,普通用户可以登陆:
3.DenyUsers westos ##用户黑名单
测试: westos用户无法登陆,其他用户可以远程登陆
4.AllowUsers lee ##用户白名单
测试: 除了白名单中的用户可以登陆,其他用户不可以远程登陆,root用户也不可以
5.Port 2222 ##设定端口为2222
测试:需要指定端口才可以远程登陆(默认port是22)
五.网桥的搭建 实验环境:在172.25.254.39主机中,首先关闭所有虚拟机,执行以下命令: westos-network common ##将主机中的之前设置的网络配置清除 ifconfig ##查看
1.在虚拟机nodeb中,删除之前的网卡,重新添加一个网卡(NAT)
2. 进入nodeb中:
nmcli connection add con-name westos ifname ens3 ipv4.method auto type ethernet nmcli connection reload nmcli connection show
3.在主机中搭建网桥:
cd /etc/sysconfig/network-scripts/ ls vim ifcfg-enp2s0 cat ifcfg-enp2s0 vim ifcfg-br0 cat ifcfg-br0 nmcli connection reload nmcli connection up br0 nmcli connection up enp2s0 bridge link systemctl restart libvirtd
4. 测试:查看nodeb网卡(不仅有NAT还有Bridage网桥)
