ssh訪問設置
㈠ ssh配置config快捷登錄伺服器
1.1 如果在你本機電腦主目錄內 不存在 隱藏文件夾 .ssh 的情況下輸入命令: ssh-keygen -t rsa 不需要輸入任何內容,連續三下回車確認。
1.2 進入 .ssh 文件夾 , 輸入 ls -l 可以看到 id_rsa 和 id_rsa.pub 兩個文件
1.3 創建config文件,輸入: touch config
1.4 配置公鑰免登陸 , 先通過密碼的方式登錄到你的伺服器主機上。然後將你本機文件 ~.ssh/id_rsa.pub 裡面的內容復制 並粘貼到 目標伺服器主機的 ~.ssh/authorized_keys 文件內 , 如果沒有 authorized_keys 可以使用 touch authorized_keys 創建一個。至此准備階段完畢~~
2.1 配置文件參數
Host : 可以看作是一個你要識別的名稱,對識別的名稱,進行配置對應的的主機名和ssh文件
HostName : 要登錄主機的IP地址、或者域名
User : 登錄名
port : 埠
IdentityFile : 指明上面User對應的identityFile路徑 也就是 私鑰的路徑
ProxyCommand : 代理命令(不常用) , 通俗解釋: 就是當你連接上目標伺服器後,首先執行的命令
** 2.2 用例參考 **
# aliyun 獨行浪子
Host rifuwuqi # 設置名稱為 xinglangzi
HostName 39.104.110.110 配置目標主機IP 也可以是域名
User root
port 22
IdentityFile ~/.ssh/id_rsa 私鑰的路徑
ProxyCommand tail -f /backend/logs/info.log 表示登錄目標主機後,執行此命令查看日誌
在終端(terminal) 輸入 : ssh rifuwuqi
㈡ 虛擬機網路設置以及開啟ssh連接
1、安裝虛擬機後,因為在虛擬機操作有很多不方便所以需要開啟sshd服務
2、查看網路連接情況
查看IP和網關等信息,發現網關與主機不一致,雖然可以上網。
3、將網路連接設置由nat網路地址轉換改為橋接模式
4、關閉防火牆或者開啟22埠
5、查看sshd服務是否正常運行
6、使用遠程連接軟體xshell等連接
7、發現無法使用yum命令,那是dns沒有配置
8、運行腳本出錯,因為是在windows系統寫的,上傳到linux系統
9、未找到netstat命令
㈢ centos7配置ssh連接
1.確保已經開啟靜態IP
2.安裝 openssh-server
yum install -y openssl openssh-server
3.修改配置文件
vim /etc/ssh/sshd_config
打開22埠(此處可以自定義,默認22)
允許root賬戶登錄
啟動ssh服務
systemctl start sshd.service
重啟網路
service network restart
設置開機啟動ssh服務
systemctl enable sshd.service
㈣ SSH登陸方式,基本配置
SSH只是一種協議,存在多種實現,既有商業實現,也有開源實現。本文主要介紹OpenSSH免費開源實現在Ubuntu中的應用,如果要在Windows中使用SSH,需要使用另一個軟體PuTTY。
SSH之所以能夠保證安全,原因在於它採用了非對稱加密技術(RSA)加密了所有傳輸的數據。
傳統的網路服務程序,如ftp、Pop和Telnet其本質上都是不安全的;因為它們在網路上用明文傳送數據、用戶帳號和用戶口令,很容易受到中間人(man-in-the-middle)攻擊方式的攻擊。就是存在另一個人或者一台機器冒充真正的伺服器接收用戶傳給伺服器的數據,然後再冒充用戶把數據傳給真正的伺服器。
但並不是說SSH就是絕對安全的,因為它本身提供兩種級別的驗證方法:
口令登錄非常簡單,只需要一條命令
還要說明的是,SSH服務的默認埠是22,也就是說,如果你不設置埠的話登錄請求會自動送到遠程主機的22埠。我們可以使用 -p 選項來修改埠號,比如:
首先使用ssh-keygen命令生成密鑰對
然後根據提示一步步的按enter鍵即可,執行結束以後會在 /home/當前用戶 目錄下生成一個 .ssh 文件夾,其中包含私鑰文件 id_rsa 和公鑰文件 id_rsa.pub 。
(其中有一個提示是要求設置私鑰口令passphrase,不設置則為空,如果為了免密登陸可以不設置。)
使用 ssh--id 命令將公鑰復制到遠程主機
ssh--id會將公鑰寫到遠程主機的 /root/ .ssh/authorized_key 文件中
使用ssh--id命令登陸哪個用戶就會存放在哪個用戶的home目錄下。
也可以手動復制到authorized_key文件當中。
第一次登錄時,會提示用戶
意思是無法驗證用戶的公鑰,是否正確,詢問用戶是否要繼續。
ECDSA key給出了遠程主機公鑰的SHA256編碼過的值,一般在遠程主機的網站會告示公鑰的值,
用戶可以將這個公鑰和網站上的公鑰進行比對,正確則表明是遠程主機。
輸入yes之後,系統會將公鑰加入到已知的主機列表,如下所示,已知列表中的主機,下次不會再詢問。
SSH的配置文件通常在 /etc/ssh/sshd_config
配置文件中有非常詳盡的注釋,一般在工作中主要用到的幾個配置
㈤ SSH連接時發送/設置環境變數
SSH連接時有時需要自動設置特定的環境變數,如LANG等。如果您使用專用的圖形化SSH終端,如XShell之類的工具,可以直接在相應軟體的連接配置文件里設置。這里記錄的是直接在 終端使用SSH命令連接 的情況下,發送環境變數的兩種方法(SendEnv和SetEnv)。
SendEnv需要提供一個或多個本地已存在的環境變數名,將本地環境變數發送到遠程主機上去;SetEnv可以直接指定一個新的環境變數名和值設置到遠程主機上。
1. 如果你在使用ssh config配置文件(~/.ssh/config),格式如下:
2. 如果你想在命令行場景下中使用,格式如下[1]:
3. 也可以通過添加K=V格式的環境變數到~/.ssh/environment文件來設置對所有SSH主機都要應用的環境變數,但是這些環境變數仍然受到伺服器sshd設置中AcceptEnv的限制。
1. SetEnv是OpenSSH 7.8新增加的特性,發布於2018年。而SendEnv早就已經普遍支持。
2. 有些極特殊的環境變數如(TERM)暫時還不能通過SetEnv/SendEnv設置,見文章[2]。
3. 你想要設置的變數,必須在服務端/etc/ssh/sshd_config里用AcceptEnv明確允許接收。如果要設置的變數不在其中,需要在sshd配置里加入,或者利用PermitUserEnvironment配置項詳細配置,或者看下面一條注意事項中的間接繞過方法。
實測默認允許接收的變數如下:
CentOS 8
Ubuntu 16.04 / MacOS 11.3
4. 另一種發送環境變數的思路是設置連接後自動執行的命令去export變數(類似於文章[1]中提到的workaround)。也可以考慮利用RemoteCommand配置項,但可能有其他問題,如運行ssh hostname command格式的(非互動式shell)命令時可能會報錯。見文章[3]提到的問題。
[1] When ssh'ing, how can I set an environment variable on the server that changes from session to session?
[2] SSH: Behavior of SetEnv for TERM variable
[3] Remote command in ssh config file
㈥ SSH 連接過程設置環境變數
在使用 SSH 連接的過程中,可能需要設置一些環境變數,用於初始化,或者在連接過程中作為終端標記。
在這個過程中,會使用到以下兩個 Option:
需要在 sshd_config 中指定允許客戶端進行設置的變數名。
文件位置:
設置方法:通過 AcceptEnv 關鍵字來指定,可以使用通配符,如 LC_* 。
注意:設置之後需要重啟 SSD 服務。
在客戶端使用 SSH 連接伺服器時,通過以下方式指定參數。
(完)
㈦ 如何設置ssh安全只允許用戶從指定的IP登陸
設置ssh安全只允許用戶從指定的IP登陸設置:
1.假設 固定IP是 183.21.89.249
2.連接上我們自己進行管理的伺服器。
3.然後編輯ssh的配置文件默認 /etc/ssh/sshd_config
4.在文件最後面另起一行添加 AllowUsers [email protected]
5.然後保存並退出,再重啟一下ssh服務。
6.重啟之後配置就會生效,但我們不要關閉當前的連接窗口。我們另外啟動一個窗口進行連接測試是否正常允許指定的IP登陸了,使用其他的IP進行測試下或者請朋友幫忙ssh看下。使用其它IP是登陸不了的,即使輸入正確的密碼。
7.這樣子設置就使用ssh更加安全可靠了,如果公司或者自己家裡不是固定IP的,我們可以使用動態域名花生殼之類的進行設置改為AllowUsers root@你的花生殼域名。
要注意:設置的要與您自己本地的IP相符合才行。
㈧ 以CentOS為例總結如何配置SSH安全訪問
而為了節省成本或提高性能,不少人的獨機和 VPS,都是基於 unmanaged 的裸機,一切都要自己 DIY。這時候,安全策略的實施,就猶為重要。下面這篇文章,我以 CentOS 為例,簡單地總結一下如何配置 SSH 安全訪問。 Linux SSH 安全策略一:關閉無關埠 網路上被攻陷的大多數主機,是黑客用掃描工具大范圍進行掃描而被瞄準上的。所以,為了避免被掃描到,除了必要的埠,例如 Web、FTP、SSH 等,其他的都應關閉。值得一提的是,我強烈建議關閉 icmp 埠,並設置規則,丟棄 icmp 包。這樣別人 Ping 不到你的伺服器,威脅就自然減小大半了。丟棄 icmp 包可在 iptables 中, 加入下面這樣一條: -A INPUT -p icmp -j DROP Linux SSH 安全策略二:更改 SSH 埠 默認的 SSH 埠是 22。強烈建議改成 10000 以上。這樣別人掃描到埠的機率也大大下降。修改方法: # 編輯 /etc/ssh/ssh_config vi /etc/ssh/ssh_config # 在 Host * 下 ,加入新的 Port 值。以 18439 為例(下同): Port 22 Port 18439 # 編輯 /etc/ssh/sshd_config vi /etc/ssh/sshd_config #加入新的 Port 值 Port 22 Port 18439 # 保存後,重啟 SSH 服務: service sshd restart 這里我設置了兩個埠,主要是為了防止修改出錯導致 SSH 再也登不上。更改你的 SSH 客戶端(例如:Putty)的連接埠,測試連接,如果新埠能連接成功,則再編輯上面兩個文件,刪除 Port 22 的配置。如果連接失敗,而用 Port 22 連接後再重新配置。 埠設置成功後,注意同時應該從 iptables 中, 刪除22埠,添加新配置的 18439,並重啟 iptables。 如果SSH 登錄密碼是弱密碼,應該設置一個復雜的密碼。Google Blog 上有一篇強調密碼安全的文章:Does your password pass the test? Linux SSH 安全策略三:限制 IP 登錄 如果你能以固定 IP 方式連接你的伺服器,那麼,你可以設置只允許某個特定的 IP 登錄伺服器。例如我是通過自己的 VPN 登錄到伺服器。設置如下: # 編輯 /etc/hosts.allow vi /etc/hosts.allow # 例如只允許 123.45.67.89 登錄 sshd:123.45.67.89 Linux SSH 安全策略四: 使用證書登錄 SSH 相對於使用密碼登錄來說,使用證書更為安全。自來水沖咖啡有寫過一篇詳細的教程,徵得其同意,轉載如下: 為CentOS配置SSH證書登錄驗證 幫公司網管遠程檢測一下郵件伺服器,一台CentOS 5.1,使用OpenSSH遠程管理。檢查安全日誌時,發現這幾天幾乎每天都有一堆IP過來猜密碼。看來得修改一下登錄驗證方式,改為證書驗證為好。 為防萬一,臨時啟了個VNC,免得沒配置完,一高興順手重啟了sshd就麻煩了。(後來發現是多餘的,只要事先開個putty別關閉就行了) 以下是簡單的操作步驟: 1)先添加一個維護賬號:msa2)然後su - msa3)ssh-keygen -t rsa指定密鑰路徑和輸入口令之後,即在/home/msa/.ssh/中生成公鑰和私鑰:id_rsa id_rsa.pub4)cat id_rsa.pub >> authorized_keys至於為什麼要生成這個文件,因為sshd_config裡面寫的就是這個。然後chmod 400 authorized_keys,稍微保護一下。5)用psftp把把id_rsa拉回本地,然後把伺服器上的id_rsa和id_rsa.pub幹掉6)配置/etc/ssh/sshd_configProtocol 2ServerKeyBits 1024PermitRootLogin no #禁止root登錄而已,與本文無關,加上安全些#以下三行沒什麼要改的,把默認的#注釋去掉就行了RSAAuthentication yesPubkeyAuthentication yesAuthorizedKeysFile .ssh/authorized_keysPasswordAuthentication noPermitEmptyPasswords no7)重啟sshd/sbin/service sshd restart8)轉換證書格式,遷就一下putty運行puttygen,轉換id_rsa為putty的ppk證書文件9)配置putty登錄在connection--SSH--Auth中,點擊Browse,選擇剛剛轉換好的證書。然後在connection-Data填寫一下auto login username,例如我的是msa在session中填寫伺服器的IP地址,高興的話可以save一下10)解決一點小麻煩做到這一步的時候,很可能會空歡喜一場,此時就興沖沖的登錄,沒准登不進去:No supported authentication methods available這時可以修改一下sshd_config,把PasswordAuthentication no臨時改為:PasswordAuthentication yes 並重啟sshd這樣可以登錄成功,退出登錄後,再重新把PasswordAuthentication的值改為no,重啟sshd。以後登錄就會正常的詢問你密鑰文件的密碼了,答對了就能高高興興的登進去。至於psftp命令,加上個-i參數,指定證書文件路徑就行了。 如果你是遠程操作伺服器修改上述配置,切記每一步都應慎重,不可出錯。如果配置錯誤,導致 SSH 連接不上,那就杯具了。 基本上,按上述四點配置好後,Linux 下的 SSH 訪問,是比較安全的了。
㈨ linux中的ssh配置
簡單,設置ssh的的配置文件是/etc/ssh/sshd_config
禁止root登錄 是PermitRootLogin no 這個原來好像是yes改成no就行了
然後在裝上sudo
sudo的配置文件是/etc/sudoers
在裡面加上相應的用戶就行了比如
username ALL=(ALL) ALL
這樣這個用戶就能使用root許可權,也可以具體配置讓用戶可以使用那些命令或者工具的時候才擁有root許可權。。。你搜一下sudo設置吧。
用的時候就像一樓 sudo rm /etc/passwd 這樣就行了, 小心哈哈
㈩ 怎麼用SSH登陸OpenWrt,服務端和客戶端的設置方法
公司有一台2017年的新路由3退役了,下放到我的手上,我又多了個新玩具。
這貨被攻城獅同事刷成了OpenWrt固件,不懂還想折騰就得去找教程。一看網上的教程大多都是以命令行操作的,命令行在哪裡呢?
原來,OpenWrt的內核是Linux,原生版本是沒有圖形界面的,我手上這台路由器因為安裝了LuCI所以才有圖形界面。通過SSH登陸OpenWrt就能看得到命令行了。
記錄一下怎麼用SSH登陸OpenWrt,對服務端和客戶端分別進行設置。
路由器刷好OpenWrt固件並安裝LuCI
通暢的區域網
一台Mac或Windows電腦
OpenWrt版本:OpenWrt 19.07-SNAPSHOT / LuCI 18.06 Lienol (git-ed5893a)
電腦系統:Windows 10
路由器IP為默認,即192.168.1.1
用Wifi或網線接入路由器,打開網頁瀏覽器訪問路由器的IP。
登陸到路由器後台頁面,在 系統 下拉菜單中點擊 管理權 。
在管理權頁面中進行以下設置:
PS:如果需要更高的安全性,建議設置密鑰。用SSH客戶端軟體生成一對公鑰和私鑰,把公鑰粘貼到下面的文本框里就行了。
最後點擊 保存並應用 。
任意SSH客戶端軟體都可以,我用的是Xshell 6。
運行軟體後點擊 新建 ,在彈出窗口中填寫:
名稱隨意,協議SSH,主機填路器IP地址,埠號填前面記下來那個。然後填寫登陸用戶名和密碼:
照圖填寫,密碼用路由器管理員密碼即可。
PS:採用密鑰驗證的要在「方法」中選擇Public key,「用戶密鑰」處選擇之前生成的密鑰對,「密碼」填生成密鑰時設置的密碼。
設置完後點擊連接。
出現LOGO和命令提示符,說明SSH登陸OpenWrt成功。