ssh访问设置
㈠ ssh配置config快捷登录服务器
1.1 如果在你本机电脑主目录内 不存在 隐藏文件夹 .ssh 的情况下输入命令: ssh-keygen -t rsa 不需要输入任何内容,连续三下回车确认。
1.2 进入 .ssh 文件夹 , 输入 ls -l 可以看到 id_rsa 和 id_rsa.pub 两个文件
1.3 创建config文件,输入: touch config
1.4 配置公钥免登陆 , 先通过密码的方式登录到你的服务器主机上。然后将你本机文件 ~.ssh/id_rsa.pub 里面的内容复制 并粘贴到 目标服务器主机的 ~.ssh/authorized_keys 文件内 , 如果没有 authorized_keys 可以使用 touch authorized_keys 创建一个。至此准备阶段完毕~~
2.1 配置文件参数
Host : 可以看作是一个你要识别的名称,对识别的名称,进行配置对应的的主机名和ssh文件
HostName : 要登录主机的IP地址、或者域名
User : 登录名
port : 端口
IdentityFile : 指明上面User对应的identityFile路径 也就是 私钥的路径
ProxyCommand : 代理命令(不常用) , 通俗解释: 就是当你连接上目标服务器后,首先执行的命令
** 2.2 用例参考 **
# aliyun 独行浪子
Host rifuwuqi # 设置名称为 xinglangzi
HostName 39.104.110.110 配置目标主机IP 也可以是域名
User root
port 22
IdentityFile ~/.ssh/id_rsa 私钥的路径
ProxyCommand tail -f /backend/logs/info.log 表示登录目标主机后,执行此命令查看日志
在终端(terminal) 输入 : ssh rifuwuqi
㈡ 虚拟机网络设置以及开启ssh连接
1、安装虚拟机后,因为在虚拟机操作有很多不方便所以需要开启sshd服务
2、查看网络连接情况
查看IP和网关等信息,发现网关与主机不一致,虽然可以上网。
3、将网络连接设置由nat网络地址转换改为桥接模式
4、关闭防火墙或者开启22端口
5、查看sshd服务是否正常运行
6、使用远程连接软件xshell等连接
7、发现无法使用yum命令,那是dns没有配置
8、运行脚本出错,因为是在windows系统写的,上传到linux系统
9、未找到netstat命令
㈢ centos7配置ssh连接
1.确保已经开启静态IP
2.安装 openssh-server
yum install -y openssl openssh-server
3.修改配置文件
vim /etc/ssh/sshd_config
打开22端口(此处可以自定义,默认22)
允许root账户登录
启动ssh服务
systemctl start sshd.service
重启网络
service network restart
设置开机启动ssh服务
systemctl enable sshd.service
㈣ SSH登陆方式,基本配置
SSH只是一种协议,存在多种实现,既有商业实现,也有开源实现。本文主要介绍OpenSSH免费开源实现在Ubuntu中的应用,如果要在Windows中使用SSH,需要使用另一个软件PuTTY。
SSH之所以能够保证安全,原因在于它采用了非对称加密技术(RSA)加密了所有传输的数据。
传统的网络服务程序,如ftp、Pop和Telnet其本质上都是不安全的;因为它们在网络上用明文传送数据、用户帐号和用户口令,很容易受到中间人(man-in-the-middle)攻击方式的攻击。就是存在另一个人或者一台机器冒充真正的服务器接收用户传给服务器的数据,然后再冒充用户把数据传给真正的服务器。
但并不是说SSH就是绝对安全的,因为它本身提供两种级别的验证方法:
口令登录非常简单,只需要一条命令
还要说明的是,SSH服务的默认端口是22,也就是说,如果你不设置端口的话登录请求会自动送到远程主机的22端口。我们可以使用 -p 选项来修改端口号,比如:
首先使用ssh-keygen命令生成密钥对
然后根据提示一步步的按enter键即可,执行结束以后会在 /home/当前用户 目录下生成一个 .ssh 文件夹,其中包含私钥文件 id_rsa 和公钥文件 id_rsa.pub 。
(其中有一个提示是要求设置私钥口令passphrase,不设置则为空,如果为了免密登陆可以不设置。)
使用 ssh--id 命令将公钥复制到远程主机
ssh--id会将公钥写到远程主机的 /root/ .ssh/authorized_key 文件中
使用ssh--id命令登陆哪个用户就会存放在哪个用户的home目录下。
也可以手动复制到authorized_key文件当中。
第一次登录时,会提示用户
意思是无法验证用户的公钥,是否正确,询问用户是否要继续。
ECDSA key给出了远程主机公钥的SHA256编码过的值,一般在远程主机的网站会告示公钥的值,
用户可以将这个公钥和网站上的公钥进行比对,正确则表明是远程主机。
输入yes之后,系统会将公钥加入到已知的主机列表,如下所示,已知列表中的主机,下次不会再询问。
SSH的配置文件通常在 /etc/ssh/sshd_config
配置文件中有非常详尽的注释,一般在工作中主要用到的几个配置
㈤ SSH连接时发送/设置环境变量
SSH连接时有时需要自动设置特定的环境变量,如LANG等。如果您使用专用的图形化SSH终端,如XShell之类的工具,可以直接在相应软件的连接配置文件里设置。这里记录的是直接在 终端使用SSH命令连接 的情况下,发送环境变量的两种方法(SendEnv和SetEnv)。
SendEnv需要提供一个或多个本地已存在的环境变量名,将本地环境变量发送到远程主机上去;SetEnv可以直接指定一个新的环境变量名和值设置到远程主机上。
1. 如果你在使用ssh config配置文件(~/.ssh/config),格式如下:
2. 如果你想在命令行场景下中使用,格式如下[1]:
3. 也可以通过添加K=V格式的环境变量到~/.ssh/environment文件来设置对所有SSH主机都要应用的环境变量,但是这些环境变量仍然受到服务器sshd设置中AcceptEnv的限制。
1. SetEnv是OpenSSH 7.8新增加的特性,发布于2018年。而SendEnv早就已经普遍支持。
2. 有些极特殊的环境变量如(TERM)暂时还不能通过SetEnv/SendEnv设置,见文章[2]。
3. 你想要设置的变量,必须在服务端/etc/ssh/sshd_config里用AcceptEnv明确允许接收。如果要设置的变量不在其中,需要在sshd配置里加入,或者利用PermitUserEnvironment配置项详细配置,或者看下面一条注意事项中的间接绕过方法。
实测默认允许接收的变量如下:
CentOS 8
Ubuntu 16.04 / MacOS 11.3
4. 另一种发送环境变量的思路是设置连接后自动执行的命令去export变量(类似于文章[1]中提到的workaround)。也可以考虑利用RemoteCommand配置项,但可能有其他问题,如运行ssh hostname command格式的(非交互式shell)命令时可能会报错。见文章[3]提到的问题。
[1] When ssh'ing, how can I set an environment variable on the server that changes from session to session?
[2] SSH: Behavior of SetEnv for TERM variable
[3] Remote command in ssh config file
㈥ SSH 连接过程设置环境变量
在使用 SSH 连接的过程中,可能需要设置一些环境变量,用于初始化,或者在连接过程中作为终端标记。
在这个过程中,会使用到以下两个 Option:
需要在 sshd_config 中指定允许客户端进行设置的变量名。
文件位置:
设置方法:通过 AcceptEnv 关键字来指定,可以使用通配符,如 LC_* 。
注意:设置之后需要重启 SSD 服务。
在客户端使用 SSH 连接服务器时,通过以下方式指定参数。
(完)
㈦ 如何设置ssh安全只允许用户从指定的IP登陆
设置ssh安全只允许用户从指定的IP登陆设置:
1.假设 固定IP是 183.21.89.249
2.连接上我们自己进行管理的服务器。
3.然后编辑ssh的配置文件默认 /etc/ssh/sshd_config
4.在文件最后面另起一行添加 AllowUsers [email protected]
5.然后保存并退出,再重启一下ssh服务。
6.重启之后配置就会生效,但我们不要关闭当前的连接窗口。我们另外启动一个窗口进行连接测试是否正常允许指定的IP登陆了,使用其他的IP进行测试下或者请朋友帮忙ssh看下。使用其它IP是登陆不了的,即使输入正确的密码。
7.这样子设置就使用ssh更加安全可靠了,如果公司或者自己家里不是固定IP的,我们可以使用动态域名花生壳之类的进行设置改为AllowUsers root@你的花生壳域名。
要注意:设置的要与您自己本地的IP相符合才行。
㈧ 以CentOS为例总结如何配置SSH安全访问
而为了节省成本或提高性能,不少人的独机和 VPS,都是基于 unmanaged 的裸机,一切都要自己 DIY。这时候,安全策略的实施,就犹为重要。下面这篇文章,我以 CentOS 为例,简单地总结一下如何配置 SSH 安全访问。 Linux SSH 安全策略一:关闭无关端口 网络上被攻陷的大多数主机,是黑客用扫描工具大范围进行扫描而被瞄准上的。所以,为了避免被扫描到,除了必要的端口,例如 Web、FTP、SSH 等,其他的都应关闭。值得一提的是,我强烈建议关闭 icmp 端口,并设置规则,丢弃 icmp 包。这样别人 Ping 不到你的服务器,威胁就自然减小大半了。丢弃 icmp 包可在 iptables 中, 加入下面这样一条: -A INPUT -p icmp -j DROP Linux SSH 安全策略二:更改 SSH 端口 默认的 SSH 端口是 22。强烈建议改成 10000 以上。这样别人扫描到端口的机率也大大下降。修改方法: # 编辑 /etc/ssh/ssh_config vi /etc/ssh/ssh_config # 在 Host * 下 ,加入新的 Port 值。以 18439 为例(下同): Port 22 Port 18439 # 编辑 /etc/ssh/sshd_config vi /etc/ssh/sshd_config #加入新的 Port 值 Port 22 Port 18439 # 保存后,重启 SSH 服务: service sshd restart 这里我设置了两个端口,主要是为了防止修改出错导致 SSH 再也登不上。更改你的 SSH 客户端(例如:Putty)的连接端口,测试连接,如果新端口能连接成功,则再编辑上面两个文件,删除 Port 22 的配置。如果连接失败,而用 Port 22 连接后再重新配置。 端口设置成功后,注意同时应该从 iptables 中, 删除22端口,添加新配置的 18439,并重启 iptables。 如果SSH 登录密码是弱密码,应该设置一个复杂的密码。Google Blog 上有一篇强调密码安全的文章:Does your password pass the test? Linux SSH 安全策略三:限制 IP 登录 如果你能以固定 IP 方式连接你的服务器,那么,你可以设置只允许某个特定的 IP 登录服务器。例如我是通过自己的 VPN 登录到服务器。设置如下: # 编辑 /etc/hosts.allow vi /etc/hosts.allow # 例如只允许 123.45.67.89 登录 sshd:123.45.67.89 Linux SSH 安全策略四: 使用证书登录 SSH 相对于使用密码登录来说,使用证书更为安全。自来水冲咖啡有写过一篇详细的教程,征得其同意,转载如下: 为CentOS配置SSH证书登录验证 帮公司网管远程检测一下邮件服务器,一台CentOS 5.1,使用OpenSSH远程管理。检查安全日志时,发现这几天几乎每天都有一堆IP过来猜密码。看来得修改一下登录验证方式,改为证书验证为好。 为防万一,临时启了个VNC,免得没配置完,一高兴顺手重启了sshd就麻烦了。(后来发现是多余的,只要事先开个putty别关闭就行了) 以下是简单的操作步骤: 1)先添加一个维护账号:msa2)然后su - msa3)ssh-keygen -t rsa指定密钥路径和输入口令之后,即在/home/msa/.ssh/中生成公钥和私钥:id_rsa id_rsa.pub4)cat id_rsa.pub >> authorized_keys至于为什么要生成这个文件,因为sshd_config里面写的就是这个。然后chmod 400 authorized_keys,稍微保护一下。5)用psftp把把id_rsa拉回本地,然后把服务器上的id_rsa和id_rsa.pub干掉6)配置/etc/ssh/sshd_configProtocol 2ServerKeyBits 1024PermitRootLogin no #禁止root登录而已,与本文无关,加上安全些#以下三行没什么要改的,把默认的#注释去掉就行了RSAAuthentication yesPubkeyAuthentication yesAuthorizedKeysFile .ssh/authorized_keysPasswordAuthentication noPermitEmptyPasswords no7)重启sshd/sbin/service sshd restart8)转换证书格式,迁就一下putty运行puttygen,转换id_rsa为putty的ppk证书文件9)配置putty登录在connection--SSH--Auth中,点击Browse,选择刚刚转换好的证书。然后在connection-Data填写一下auto login username,例如我的是msa在session中填写服务器的IP地址,高兴的话可以save一下10)解决一点小麻烦做到这一步的时候,很可能会空欢喜一场,此时就兴冲冲的登录,没准登不进去:No supported authentication methods available这时可以修改一下sshd_config,把PasswordAuthentication no临时改为:PasswordAuthentication yes 并重启sshd这样可以登录成功,退出登录后,再重新把PasswordAuthentication的值改为no,重启sshd。以后登录就会正常的询问你密钥文件的密码了,答对了就能高高兴兴的登进去。至于psftp命令,加上个-i参数,指定证书文件路径就行了。 如果你是远程操作服务器修改上述配置,切记每一步都应慎重,不可出错。如果配置错误,导致 SSH 连接不上,那就杯具了。 基本上,按上述四点配置好后,Linux 下的 SSH 访问,是比较安全的了。
㈨ linux中的ssh配置
简单,设置ssh的的配置文件是/etc/ssh/sshd_config
禁止root登录 是PermitRootLogin no 这个原来好像是yes改成no就行了
然后在装上sudo
sudo的配置文件是/etc/sudoers
在里面加上相应的用户就行了比如
username ALL=(ALL) ALL
这样这个用户就能使用root权限,也可以具体配置让用户可以使用那些命令或者工具的时候才拥有root权限。。。你搜一下sudo设置吧。
用的时候就像一楼 sudo rm /etc/passwd 这样就行了, 小心哈哈
㈩ 怎么用SSH登陆OpenWrt,服务端和客户端的设置方法
公司有一台2017年的新路由3退役了,下放到我的手上,我又多了个新玩具。
这货被攻城狮同事刷成了OpenWrt固件,不懂还想折腾就得去找教程。一看网上的教程大多都是以命令行操作的,命令行在哪里呢?
原来,OpenWrt的内核是Linux,原生版本是没有图形界面的,我手上这台路由器因为安装了LuCI所以才有图形界面。通过SSH登陆OpenWrt就能看得到命令行了。
记录一下怎么用SSH登陆OpenWrt,对服务端和客户端分别进行设置。
路由器刷好OpenWrt固件并安装LuCI
通畅的局域网
一台Mac或Windows电脑
OpenWrt版本:OpenWrt 19.07-SNAPSHOT / LuCI 18.06 Lienol (git-ed5893a)
电脑系统:Windows 10
路由器IP为默认,即192.168.1.1
用Wifi或网线接入路由器,打开网页浏览器访问路由器的IP。
登陆到路由器后台页面,在 系统 下拉菜单中点击 管理权 。
在管理权页面中进行以下设置:
PS:如果需要更高的安全性,建议设置密钥。用SSH客户端软件生成一对公钥和私钥,把公钥粘贴到下面的文本框里就行了。
最后点击 保存并应用 。
任意SSH客户端软件都可以,我用的是Xshell 6。
运行软件后点击 新建 ,在弹出窗口中填写:
名称随意,协议SSH,主机填路器IP地址,端口号填前面记下来那个。然后填写登陆用户名和密码:
照图填写,密码用路由器管理员密码即可。
PS:采用密钥验证的要在“方法”中选择Public key,“用户密钥”处选择之前生成的密钥对,“密码”填生成密钥时设置的密码。
设置完后点击连接。
出现LOGO和命令提示符,说明SSH登陆OpenWrt成功。