2021-10-28

################## Linux中的远程登陆服务 ################# 一.网桥配置

westos-network common ##删除配置的br0
 ifconfig查看配置中br0 消失了

 enp2s0 是默认网卡配置

虚拟机的网卡选项

 cd /etc/sysconfig/network-scripts/

 vim ifcfg-enp2s0   网卡文件

 vim ifcfg-br0  网桥文件

 nmcli connection reload
 nmcli connection up br0
 nmcli connection up enp2s0 加载完后出现br0

 然后bridge link
         systemctl restart libvirtd.service

 ####二.Openssh的功能 ####

实验环境配置

重置一下虚拟机，设置网络两台主机都重新配置一下网络

执行rm -fr /root/.ssh 删除系统原来配置

#1.sshd服务的用途#
#作用:
#可以实现通过网络在远程主机中开启安全shell的操作
Secure SHell                        ===>ssh             ##客户端
Secure SHell    daemon     ===>sshd           ##服务端
2.安装包#
openssh-server
#3.主配置文件#
/etc/ssh/sshd_config

#4.默认端口#
22

扫描端口号 netstat -antulpe

#5.客户端命令#
ssh

#### 三.ssh ####

#1.基本用法#
ssh [-l 远程主机用户]  

ssh -l root 172.25.254.100           ##通过ssh命令在100主机中以root身份开启远程shell

 第一次在客户端200登录时身份证明生成过程确认
当输入后
100主机会向当前主机发送身份公钥,并保存此公钥到root/.ssh/know_hosts
100主机持有私钥当客户主机再次连接时会对客户主机进行身份验证出现

在服务端100手动使密钥发生变化时，那么之前在连接服务端主机时客户端所接收的key就会和当前生成的key冲突了

删除之后，重启一下sshd服务，形成新的密钥

 在客户端200上操作

 报错中显示此文件中第二行和服务端的key有冲突

 #当连接因为认证问题被拒绝时解决方案#
vim  root/.ssh/know_hosts           ##在此文件中删除报错提示相应的行即可

#ssh 常用参数#
-l       #指定登陆用户

-i           #指定私钥

-X          #开启图形

ssh -Xl root 172.25.254.100

ssh -Xl root 172.25.254.100 gedit  ##直接打开主机100的gedit

ssh -Xl root 172.25.254.100 gedit & ##打开后在后台挂起

-f            #后台运行

 ssh -Xfl root 172.25.254.100 gedit ##指定远程执行程序在当前界面的后台运行

-o           #指定连接参数

ssh -l root@172.25.254.100 -o "StrictHostKeyChecking=no"  ##连接时无需身份验证

-t                #指定连接跳板     

 ssh -l root 172.25.254.200  -t  ssh -l root 172.25.254.100 ##主机通过200来连接100

 #### 三.sshd key认证 ####

#1.认证类型#
1)对称加密
加密和解密是同一串字符

容易泄漏
可暴力破解
容易遗忘

2)非对称加密
加密用公钥,解密用私钥
不会被盗用
攻击者无法通过无密钥方式登陆服务器

拼音输入法出现问题执行ibus-daemon -drx

                                             kill -9 ibus-daemon

#2.生成非对称加密密钥#
#方法1
ssh-keygen  交互式

Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):    ##输入保存密钥文件（一般默认）
Enter passphrase (empty for no passphrase):                ##密钥密码（设置密码必须大于四位）
Enter same passphrase again:                                       ##确认密码
Your identification has been saved in /root/.ssh/id_rsa.    ##私钥的位置（解锁）
Your public key has been saved in /root/.ssh/id_rsa.pub.  ##公钥的位置（加锁）

执行完之后在/root/.ssh/中生成密钥文件

#方法二 直接型
ssh-keygen -f /root/.ssh/id_rsa -P ""##生成密钥密码为空； -f为指定加密字符的文件，-P是密码

#3.对服务器加密#
上锁：   ssh-copy-id -i /root/.ssh/id_rsa.pub     root@172.25.254.100

                ##对于100这台主机的root用户进行KEY加密

上锁完成之后会出现一个认证

 然后复制100主机的私钥到200主机中

#测试#

直接连接，无需密码

 如果有很多私钥，在登录时要指定， -i 表示指定私钥

#### 四.sshd 安全优化参数详解 ####

实验前

setenforce 0 ##关闭防止影响实验结果
 systemctl disable --now firewalld  关闭火墙

 打开配置文件    Port 2222           #设定端口为2222

 之后重启服务，连接主机时会出现默认22端口连接不上；-p 指定端口号即可

 PasswordAuthentication yes|no       #是否开启原始密码认证方式

vim /etc/ssh/sshd_config 默认为yes,改为no

 重启服务systemctl restart sshd ，连接时会出现

PermitRootLogin yes|no             #对超级用户登陆是否禁止,如果为no 则超级用户登录不了

AllowUsers lee                    #用户白名单

vim /etc/ssh/sshd_config 文件中添加 AllowUsers westos 之后

systemctl restart sshd

 表明只有此用户可以有连接的权限，其他用户没有

DenyUsers lee                  #用户黑名单(如果有多个用户之间用空格隔开)

vim /etc/ssh/sshd_config 文件中添加 DenyUsers lee   之后

systemctl restart sshd