Red Hat Certified Engineer 8 备考第十天 SSH杂谈
时间:2019年7月27日缓存
地点:家里安全
内容:配置网络服务、远程控制服务、不间断会话服务器
配置网路服务
1.更改配置文件。文件路径: /etc/sysconfig/network-scripts/
2.nmtui界面配置
Edit a connection:编辑链接
Activate a connection:激活链接
Set system hostname:设置主机名
选择Set system hostname回车,先来设置主机名吧。输入主机名称,而后按Tab键切换到<ok>上回车。此时会弹出一个确认框,OK便可。cookie
而后选择Edit a connection,来配置网络参数吧。网络
3.使用nmcli命令配置
4.双网卡绑定
mode0(平衡负载模式):平时两块网卡均工做,且自动备援,但须要在与服务器本地网卡相连的交换机设备上进行端口聚合来支持绑定技术。session
mode1(自动备援模式):平时只有一块网卡工做,在它故障后自动替换为另外的网卡。ssh
mode6(平衡负载模式):平时两块网卡均工做,且自动备援,无须交换机设备提供辅助支持。tcp
操做:维护“/etc/modprobe.d/”目录ide
远程控制服务
1.SSH SSH(Secure Shell)是一种可以以安全的方式提供远程登陆的协议,也是目前远程管理Linux系统的首选方式。
验证方法有:1.基于口令的验证—用帐户和密码来验证登陆;工具
2.基于密钥的验证—须要在本地生成密钥对,而后把密钥对中的公钥上传至服务器,并与服务器中的公钥进行比较;该方式相较来讲更安全。
配置文件路径:/etc/ssh/sshd_config文件
文件详解
#############1. 关于 SSH Server 的总体设定##############
#Port 22
##port用来设置sshd监听的端口,为了安全起见,建议更改默认的22端口为5位以上陌生端口
#Protocol 2,1
Protocol 2
##设置协议版本为SSH1或SSH2,SSH1存在漏洞与缺陷,选择SSH2
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress用来设置sshd服务器绑定的IP地址
##监听的主机适配卡,举个例子来讲,若是您有两个 IP, 分别是 192.168.0.11 及 192.168.2.20 ,那么只想要
###开放 192.168.0.11 时,就能够设置为:ListenAddress 192.168.0.11
####表示只监听来自 192.168.0.11 这个 IP 的SSH联机。若是不使用设定的话,则预设全部接口均接受 SSH
#############2. 说明主机的 Private Key 放置的档案##########
#ListenAddress ::
##HostKey用来设置服务器秘钥文件的路径
# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
##设置SSH version 1 使用的私钥
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
##设置SSH version 2 使用的 RSA 私钥
#HostKey /etc/ssh/ssh_host_dsa_key
##设置SSH version 2 使用的 DSA 私钥
#Compression yes
##设置是否可使用压缩指令
# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
##KeyRegenerationInterval用来设置多长时间后系统自动从新生成服务器的秘钥,
###(若是使用密钥)。从新生成秘钥是为了防止利用盗用的密钥解密被截获的信息。
#ServerKeyBits 768
##ServerKeyBits用来定义服务器密钥的长度
###指定临时服务器密钥的长度。仅用于SSH-1。默认值是 768(位)。最小值是 512 。
# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
##SyslogFacility用来设定在记录来自sshd的消息的时候,是否给出“facility code”
#LogLevel INFO
##LogLevel用来设定sshd日志消息的级别
#################3.安全认证方面的设定################
#############3.一、有关安全登陆的设定###############
# Authentication:
##限制用户必须在指定的时限内认证成功,0 表示无限制。默认值是 120 秒。
#LoginGraceTime 2m
##LoginGraceTime用来设定若是用户登陆失败,在切断链接前服务器须要等待的时间,单位为妙
#PermitRootLogin yes
##PermitRootLogin用来设置能不能直接以超级用户ssh登陆,root远程登陆Linux很危险,建议注销或设置为no
#StrictModes yes
##StrictModes用来设置ssh在接收登陆请求以前是否检查用户根目录和rhosts文件的权限和全部权,建议开启
###建议使用默认值"yes"来预防可能出现的低级错误。
#RSAAuthentication yes
##RSAAuthentication用来设置是否开启RSA密钥验证,只针对SSH1
#PubkeyAuthentication yes
##PubkeyAuthentication用来设置是否开启公钥验证,若是使用公钥验证的方式登陆时,则设置为yes
#AuthorizedKeysFile .ssh/authorized_keys
##AuthorizedKeysFile用来设置公钥验证文件的路径,与PubkeyAuthentication配合使用,默认值是".ssh/authorized_keys"。
###该指令中可使用下列根据链接时的实际状况进行展开的符号: %% 表示'%'、%h 表示用户的主目录、%u 表示该用户的用户名
####通过扩展以后的值必需要么是绝对路径,要么是相对于用户主目录的相对路径。
#############3.二、安全验证的设定###############
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
##是否使用强可信主机认证(经过检查远程主机名和关联的用户名进行认证)。仅用于SSH-1。
###这是经过在RSA认证成功后再检查 ~/.rhosts 或 /etc/hosts.equiv 进行认证的。出于安全考虑,建议使用默认值"no"。
# similar for protocol version 2
#HostbasedAuthentication no
##这个指令与 RhostsRSAAuthentication 相似,可是仅能够用于SSH-2。
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
##IgnoreUserKnownHosts用来设置ssh在进行RhostsRSAAuthentication安全验证时是否忽略用户的“/$HOME/.ssh/known_hosts”文件
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
##IgnoreRhosts用来设置验证的时候是否使用“~/.rhosts”和“~/.shosts”文件
# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
##PasswordAuthentication用来设置是否开启密码验证机制,若是用密码登陆系统,则设置yes
#PermitEmptyPasswords no
#PermitEmptyPasswords用来设置是否容许用口令为空的帐号登陆系统,设置no
#PasswordAuthentication yes
##是否容许使用基于密码的认证。默认为"yes"。
PasswordAuthentication yes
# Change to no to disable s/key passwords
##设置禁用s/key密码
#ChallengeResponseAuthentication yes
##ChallengeResponseAuthentication 是否容许质疑-应答(challenge-response)认证
ChallengeResponseAuthentication no
########3.三、与 Kerberos 有关的参数设定,指定是否容许基于Kerberos的用户认证########
#Kerberos options
#KerberosAuthentication no
##是否要求用户为PasswdAuthentication提供的密码必须经过Kerberos KDC认证,要使用Kerberos认证,
###服务器必须提供一个能够校验KDC identity的Kerberos servtab。默认值为no
#KerberosOrLocalPasswd yes
##若是Kerberos密码认证失败,那么该密码还将要经过其余的的认证机制,如/etc/passwd
###在启用此项后,若是没法经过Kerberos验证,则密码的正确性将由本地的机制来决定,如/etc/passwd,默认为yes
#KerberosTicketCleanup yes
##设置是否在用户退出登陆是自动销毁用户的ticket
#KerberosGetAFSToken no
##若是使用AFS而且该用户有一个Kerberos 5 TGT,那么开启该指令后,
###将会在访问用户的家目录前尝试获取一个AFS token,并尝试传送 AFS token 给 Server 端,默认为no
####3.四、与 GSSAPI 有关的参数设定,指定是否容许基于GSSAPI的用户认证,仅适用于SSH2####
##GSSAPI 是一套相似 Kerberos 5 的通用网络安全系统接口。
###若是你拥有一套 GSSAPI库,就能够经过 tcp 链接直接创建 cvs 链接,由 GSSAPI 进行安全鉴别。
# GSSAPI options
#GSSAPIAuthentication no
##GSSAPIAuthentication 指定是否容许基于GSSAPI的用户认证,默认为no
GSSAPIAuthentication yes
#GSSAPICleanupCredentials yes
##GSSAPICleanupCredentials 设置是否在用户退出登陆是自动销毁用户的凭证缓存
GSSAPICleanupCredentials yes
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication mechanism.
# Depending on your PAM configuration, this may bypass the setting of
# PasswordAuthentication, PermitEmptyPasswords, and
# "PermitRootLogin without-password". If you just want the PAM account and
# session checks to run without PAM authentication, then enable this but set
# ChallengeResponseAuthentication=no
#UsePAM no
##设置是否经过PAM验证
UsePAM yes
# Accept locale-related environment variables
##AcceptEnv 指定客户端发送的哪些环境变量将会被传递到会话环境中。
###[注意]只有SSH-2协议支持环境变量的传递。指令的值是空格分隔的变量名列表(其中可使用'*'和'?'做为通配符)。
####也可使用多个 AcceptEnv 达到一样的目的。须要注意的是,有些环境变量可能会被用于绕过禁止用户使用的环境变量。
#####因为这个缘由,该指令应当当心使用。默认是不传递任何环境变量。
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
AllowTcpForwarding yes
##AllowTcpForwarding设置是否容许容许tcp端口转发,保护其余的tcp链接
#GatewayPorts no
##GatewayPorts 设置是否容许远程客户端使用本地主机的端口转发功能,出于安全考虑,建议禁止
#############3.五、X-Window下使用的相关设定###############
#X11Forwarding no
##X11Forwarding 用来设置是否容许X11转发
X11Forwarding yes
#X11DisplayOffset 10
##指定X11 转发的第一个可用的显示区(display)数字。默认值是 10 。
###能够用于防止 sshd 占用了真实的 X11 服务器显示区,从而发生混淆。
X11DisplayOffset 10
#X11UseLocalhost yes
#################3.六、登入后的相关设定#################
#PrintMotd yes
##PrintMotd用来设置sshd是否在用户登陆时显示“/etc/motd”中的信息,能够选在在“/etc/motd”中加入警告的信息
#PrintLastLog yes
#PrintLastLog 是否显示上次登陆信息
#TCPKeepAlive yes
##TCPKeepAlive 是否持续链接,设置yes能够防止死链接
###通常而言,若是设定这项目的话,那么 SSH Server 会传送 KeepAlive 的讯息给 Client 端,以确保二者的联机正常!
####这种消息能够检测到死链接、链接不当关闭、客户端崩溃等异常。在这个状况下,任何一端死掉后, SSH 能够马上知道,而不会有僵尸程序的发生!
#UseLogin no
##UseLogin 设置是否在交互式会话的登陆过程当中使用。默认值是"no"。
###若是开启此指令,那么X11Forwarding 将会被禁止,由于login不知道如何处理 xauth cookies 。
####须要注意的是,在SSH底下原本就不接受 login 这个程序的登入,若是指UsePrivilegeSeparation ,那么它将在认证完成后被禁用。
UserLogin no
#UsePrivilegeSeparation yes
##UsePrivilegeSeparation 设置使用者的权限
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#ShowPatchLevel no
#UseDNS yes
##UseDNS是否使用dns反向解析
#PidFile /var/run/sshd.pid
#MaxStartups 10
##MaxStartups 设置同时容许几个还没有登入的联机,当用户连上ssh但并未输入密码即为所谓的联机,
###在这个联机中,为了保护主机,因此须要设置最大值,预设为10个,而已经创建联机的不计算入内,
####因此通常5个便可,这个设置能够防止恶意对服务器进行链接
#MaxAuthTries 6
##MaxAuthTries 用来设置最大失败尝试登录次数为6,合理设置辞职,能够防止攻击者穷举登陆服务器
#PermitTunnel no
############3.七、开放禁止用户设定############
#AllowUsers<用户名1> <用户名2> <用户名3> ...
##指定容许经过远程访问的用户,多个用户以空格隔开
#AllowGroups<组名1> <组名2> <组名3> ...
##指定容许经过远程访问的组,多个组以空格隔开。当多个用户须要经过ssh登陆系统时,可将全部用户加入一个组中。
#DenyUsers<用户名1> <用户名2> <用户名3> ...
##指定禁止经过远程访问的用户,多个用户以空格隔开
#DenyGroups<组名1> <组名2> <组名3> ...
##指定禁止经过远程访问的组,多个组以空格隔开。
# no default banner path
#Banner /some/path
# override default of no subsystems
原文出处
SSH ssh命令是openssh套件中的客户端链接工具,能够给予ssh加密协议实现安全的远程登陆服务器,实现对服务器的远程管理。 格式“ ssh [选项] 目的IP ”
scp scp(secure copy)是一个基于SSH协议在网络之间进行安全传输的命令,其格式为“ scp [参数] 本地文件 远程账户@远程IP地址:远程目录 ”。
使用scp命令把远程主机上的文件下载到本地主机,其命令格式为“ scp [参数] 远程用户@远程IP地址:远程文件 本地目录 ”。
不间断会话
screen screen是一款可以实现多窗口远程控制的开源服务程序, 格式为:“ screen [参数] ”。
书面笔记