CentOS之SSH安装与配置

时间 2019-12-01

标签 centos ssh 安装配置栏目 CentOS 繁體版

原文原文链接

    sshlinux
    SSH 为 Secure Shell 的缩写，由 IETF 的网络工做小组（Network Working Group）所制定；SSH 为创建在应用层和传输层基础上的安全协议。

    传统的网络服务程序，如FTP、POP和Telnet其本质上都是不安全的；由于它们在网络上用明文传送数据、用户账号和用户口令，很容易受到中间人（man-in-the-middle）攻击方式的攻击。就是存在另外一我的或者一台机器冒充真正的服务器接收用户传给服务器的数据，而后再冒充用户把数据传给真正的服务器。

    而 SSH 是目前较可靠，专为远程登陆会话和其余网络服务提供安全性的协议。利用 SSH 协议能够有效防止远程管理过程当中的信息泄露问题。透过 SSH 能够对全部传输的数据进行加密，也可以防止 DNS 欺骗和 IP 欺骗。

    系统及版本：CentOS release 5.3 (Final)

    安装SSH

linux

    yum install ssh

启动SSH

shell

    service sshd start

设置开机运行

centos

    chkconfig sshd on

    SSH相关配置文件的修改

    　　首先修改SSH的配置文件。以下：

安全

    [root@sample ~]# vi /etc/ssh/sshd_config

　 ← 用vi打开SSH的配置文件


    #Protocol 2,1　← 找到此行将行头“#”删除，再将行末的“,1”删除，只容许SSH2方式的链接
    　↓
    Protocol 2　← 修改后变为此状态，仅使用SSH2

    #ServerKeyBits 768　← 找到这一行，将行首的“#”去掉，并将768改成1024
    　↓
    ServerKeyBits 1024　← 修改后变为此状态，将ServerKey强度改成1024比特

    #PermitRootLogin yes 　← 找到这一行，将行首的“#”去掉，并将yes改成no
    　↓
    PermitRootLogin no 　← 修改后变为此状态，不容许用root进行登陆

    #PasswordAuthentication yes　← 找到这一行，将yes改成no
    　↓
    PasswordAuthentication no　← 修改后变为此状态，不容许密码方式的登陆

    #PermitEmptyPasswords no　 ← 找到此行将行头的“#”删除，不容许空密码登陆
    　↓
    PermitEmptyPasswords no　 ← 修改后变为此状态，禁止空密码进行登陆

    　　而后保存并退出。（vi保存退出的命令为ZZ）

    　　由于咱们只想让SSH服务为管理系统提供方便，因此在不经过外网远程管理系统的状况下，只容许内网客户端经过SSH登陆到服务器，以最大限度减小不安全因素。设置方法以下：

服务器

    [root@sample ~]# vi /etc/hosts.deny

　 ← 修改屏蔽规则，在文尾添加相应行


    #
    # hosts.deny This file describes the names of the hosts which are
    # *not* allowed to use the local INET services, as decided
    # by the ‘/usr/sbin/tcpd’ server.
    #
    # The portmap line is redundant, but it is left to remind you that
    # the new secure portmap uses hosts.deny and hosts.allow. In particular
    # you should know that NFS uses portmap!
    sshd: ALL　 ← 添加这一行，屏蔽来自全部的SSH链接请求

网络

    [root@sample ~]# vi /etc/hosts.allow

　 ← 修改容许规则，在文尾添加相应行

    #
    # hosts.allow This file describes the names of the hosts which are
    # allowed to use the local INET services, as decided
    # by the ‘/usr/sbin/tcpd’ server.
    #

    sshd: 192.168.0.　 ← 添加这一行，只容许来自内网的SSH链接请求



    重启动SSH启动
    　　在修改完SSH的配置文件后，须要从新启动SSH服务才能使新的设置生效。

ssh

    [root@sample ~]# /etc/rc.d/init.d/sshd restart

　 ← 从新启动SSH服务器


    Stopping sshd:　　　　　　　　　　　　 [ OK ]
    Starting sshd:　　　　　　　　　　　　 [ OK ]　 ← SSH服务器从新启动成功

    　　这时，在远程终端（自用PC等等）上，用SSH客户端软件以正常的密码的方式是没法登陆服务器的。为了在客户可以登陆到服务器，咱们接下来创建SSH用的公钥与私钥，以用于客户端以“钥匙”的方式登陆SSH服务器。

    SSH2的公钥与私钥的创建
    　　登陆为一个通常用户，基于这个用户创建公钥与私钥。（这里以centospub用户为例）

tcp

    [root@sample ~]# su – centospub

　← 登陆为通常用户centospub


    [centospub@sample ~]$ ssh-keygen -t rsa 　← 创建公钥与私钥
    Generating public/private rsa key pair.
    Enter file in which to save the key (/home/kaz/.ssh/id_rsa): 　← 钥匙的文件名，这里保持默认直接回车
    Created directory ‘/home/kaz/.ssh’
    Enter passphrase (empty for no passphrase): 　← 输入口令
    Enter same passphrase again: 　 ← 再次输入口令
    Your identification has been saved in /home/kaz/.ssh/id_rsa.
    Your public key has been saved in /home/kaz/.ssh/id_rsa.pub.
    The key fingerprint is:
    tf:rs:e3:7s:28:59:5s:93:fe:33:84:01:cj:65:3b:8e centospub@sample.centospub.com

    　　而后确认一下公钥与密钥的创建，以及对应于客户端的一些处理。

ide

    [centospub@sample ~]$ cd ~/.ssh

　 ← 进入用户SSH配置文件的目录

加密

    [centospub@sample .ssh]$ ls -l

　 ← 列出文件
    total 16
    -rw——- 1 centospub centospub 951 Sep 4 19:22 id_rsa　 ← 确认私钥已被创建
    -rw-r–r– 1 centospub centospub 241 Sep 4 19:22 id_rsa.pub　 ← 确认公钥已被创建

    [centospub@sample .ssh]$ cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys

　 ← 公钥内容输出到相应文件中

     
    [centospub@sample .ssh]$ rm -f ~/.ssh/id_rsa.pub

　 ← 删除原来的公钥文件

    [centospub@sample .ssh]$ chmod 400 ~/.ssh/authorized_keys

← 将新创建的公钥文件属性设置为400

    　　而后，将私钥经过安全的方式转移到欲经过SSH链接到服务器的PC上。这里，以经过3.5寸磁盘为介质为例：

   centospub@sample .ssh]$ exit

← 退出通常用户的登陆（返回root的登陆）

    [root@sample ~]# mount /mnt/floppy/

　 ← 加载软盘驱动器

   [root@sample ~]# mv /home/centospub/.ssh/id_rsa /mnt/floppy/

　← 将刚刚创建的私钥移动到软盘

    [root@sample ~]# umount /mnt/floppy/

　← 卸载软盘驱动器