sshd 服务端配置_sshd 配置

sshd服务端配置文件：/etc/ssh/sshd_config

服务监听选项：

• 端口号、协议版本、监听IP地址
• 禁用反向解析

参数说明：

[root@localhost ~]# cat /etc/ssh/sshd_config
 --------------------
  17 #Port 22                   //端口号，生产环境建议修改端口号
  18 #AddressFamily any
  19 #ListenAddress 0.0.0.0
  20 #ListenAddress ::
 
  38 #LoginGraceTime 2m         //发起连接后多少时间内必须登录，超时断开连接
  39 #PermitRootLogin yes       //是否允许root用户登录，ubantu不允许root远程ssh登录
  40 #StrictModes yes           //检查.ssh/文件的所有者，权限等
  41 #MaxAuthTries 6            //最多允许输错几次密码（centos7默认3次，修改也无效）
  42 #MaxSessions 10            //同一时间最多允许10个远程连接
 
  65 #PermitEmptyPasswords no    //是否允许空密码用户登录
  66 PasswordAuthentication yes  //基于用户和密码验证
 
 116 #UseDNS no                //禁用反向解析，提高速度可设置为no
 
 
 #设置黑白名单
 #llowUsers jlx@192.168.19.20  lisi   //只允许yuji用户从192.168.19.20访问，允许lisi从所有地址访问
 #enyUsers jlx    //不允许使用liwu用户登录
 
 #白名单的优先级高于黑名单。如果一个用户同时加入了白名单和黑名单，那么该用户是可以访问的。
 #如果不设置白名单，则所有用户都可以登录访问。一旦设置了白名单，那么只有白名单内的用户可以访问。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

sshd客户端配置

客户端配置文件

客户端配置文件：/etc/ssh/ssh_config

客户端首次连接服务端时，系统询问是否交换公钥，进行安全确认。这是由客户端配置文件默认的，可以修改配置文件ssh_config取消询问。

取消35行的注释，并将ask改成改成no，则首次连接时，系统不会进行确认询问。

这种做法只在内网中使用，如果服务器暴露在外网中，不建议这样操作，非常危险。

客户端的使用方式

ssh scp sftp 都是默认使用ssh协议，端口为 tcp 22

远程登录

ssh [-p 端口]  [用户]@服务端IP
1

推送 上行复制

scp [-r 目录] 文件   [用户]@服务端IP:保存路径
1

拉取 下行复制

scp [-P] [用户]@服务端IP:保存路径   本地路径
1

sftp命令

SFTP是SSH File Transfer Protocol的缩写，安全文件传送协议。SFTP与FTP有着几乎一样的语法和功能。SFTP为SSH的其中一部分，是一种传输档案至 Blogger 伺服器的安全方式。其实在SSH软件包中，已经包含了一个叫作SFTP的安全文件信息传输子系统，SFTP本身没有单独的守护进程，它必须使用sshd守护进程(端口号默认是22)来完成相应的连接和答复操作，所以从某种意义上来说，SFTP并不像一个服务器程序，而更像是一个客户端程序。

sftp命令格式：

 sftp  [用户名@]IP地址
 sftp -oPort=220 [用户名@]IP地址     //修改了默认端口的情况下，需要指定端口号
 
 例：
 sftp 192.168.72.129
 sftp root@192.168.72.129
 
 #sftp连接后，进入的是当前登录用户的家目录。例如使用root登录，则sftp连接后进入的是/root/目录.
 #文件的上传和下载，不能使用绝对路径。文件必须位于当前目录下。
1
2
3
4
5
6
7
8
9

sftp连接后的常用命令：

 get        #下载文件
 get -r     #下载目录
 put        #上传文件
 put -r     #上传目录
 quit、exit、bye      #退出
1
2
3
4
5

sftp和ftp的区别：

• 连接方式：FTP使用TCP端口21上的控制连接建立连接。而，SFTP是在客户端和服务器之间通过SSH协议(TCP端口22)建立的安全连接来传输文件。
• 安全性：SFTP使用加密传输认证信息和传输的数据，所以使用SFTP相对于FTP是非常安全。
• 效率：SFTP这种传输方式使用了加密解密技术，所以传输效率比普通的FTP要低得多。

免密码登录

认证方式

• 用户账户
• 密码认证
• 密钥对认证

PasswordAuthentication yes
PubkeyAuthentication yes
1
2

设置免密码登录（创建密钥对验证）

实验思路：

1. 在客户端创建密钥对
2. 将公钥文件上传至服务器
3. 在服务器中导入公钥文本
4. 在客户端使用密钥对验证
5. 在客户机设置ssh代理功能，实现免交互登录

实验步骤：

步骤一：

在客户端创建密钥对

[root@localhost ~]# ssh-keygen -t ecdsa
Generating public/private ecdsa key pair.
Enter file in which to save the key (/root/.ssh/id_ecdsa): 123456         Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in 123456.
Your public key has been saved in 123456.pub.
The key fingerprint is:
SHA256:/nDEZ9z0YX1bA5MaAsNRZ5eQO4OAI8JelD8paKi4Ndo root@localhost.localdomain
The key's randomart image is:
+---[ECDSA 256]---+
|. ... o++. +o+o  |
| o + o o..oo.oo .|
|o + o o . o + .++|
|.+ . +   o * o..*|
|+   . . S o * ...|
|o o    . . o     |
| = .    o .      |
|o E      +       |
|          .      |
+----[SHA256]-----+
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

步骤二：

将公钥文件上传至服务器

[root@localhost ~]# scp ~/.ssh/id_ecdsa.pub root@192.168.68.103
cp: 无法获取"/root/.ssh/id_ecdsa.pub" 的文件状态(stat): 没有那个文件或目录
[root@localhost ~]# scp ~/.ssh/id_ecdsa.pub root@192.168.68.103:/opt
ssh: connect to host 192.168.68.103 port 22: No route to host
lost connection
[root@localhost ~]# scp ~/.ssh/id_ecdsa.pub root@192.168.68.103:/opt
The authenticity of host '192.168.68.103 (192.168.68.103)' can't be established.
ECDSA key fingerprint is SHA256:c/vT25iGBsM5bT0AqPkAXIYENkTV7KskP2y6i7tZpVQ.
ECDSA key fingerprint is MD5:ab:67:31:42:18:a0:6e:66:3b:ec:48:0d:af:31:36:9c.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.68.103' (ECDSA) to the list of known hosts.
root@192.168.68.103's password: 
/root/.ssh/id_ecdsa.pub: No such file or directory
1
2
3
4
5
6
7
8
9
10
11
12
13

步骤三：

在服务器中导入公钥文本

[root@localhost ~]# scp ~/.ssh/id_ecdsa.pub root@192.168.19.10:/opt
The authenticity of host '192.168.19.10 (192.168.19.10)' can't be established.
ECDSA key fingerprint is SHA256:hWBYEEW/YrLPAB8JwD8k9BzaRAqeJAU/xBFUFLBU+cE.
ECDSA key fingerprint is MD5:95:fa:43:3c:e5:3b:8f:a5:7d:b0:43:d9:5a:90:d9:d1.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.19.10' (ECDSA) to the list of known hosts.
root@192.168.19.10's password: 
id_ecdsa.pub                      
1
2
3
4
5
6
7
8

步骤四：

在客户端使用密钥对验证

步骤五：

在客户机设置ssh代理功能，实现免交互登录

[root@localhost ~]# ssh-agent bash
[root@localhost ~]# ssh-add
Enter passphrase for /root/.ssh/id_ecdsa:           //输入私钥密码
Identity added: /root/.ssh/id_ecdsa (/root/.ssh/id_ecdsa)
[root@localhost ~]# ssh jlx@192.168.19.10       //此时远程连接无需密码
Last login: Thu Aug 18 15:33:45 2022 from 192.168.19.20
[jlx@localhost ~]$ 
1
2
3
4
5
6
7

TCP Wrappers 访问控制

TCP_Wrappers是一个工作在第四层（传输层）的的安全工具，对有状态连接的特定服务进行安全检测并实现访问控制，凡是包含有libwrap.so库文件的的程序就可以受TCP_Wrappers的安全控制。它的主要功能就是控制谁可以访问，常见的程序有 rpcbind、vsftpd、sshd、telnet。

有些进程不受tcp_wrappers管理，例如 httpd、smb、squid等。

格式

<服务程序列表>:<客户端地址列表>
1

工作原理

TCP_Wrappers有一个TCP的守护进程叫作tcpd。以ssh为例，每当有ssh的连接请求时，tcpd即会截获请求，先读取系统管理员所设置的访问控制文件，符合要求，则会把这次连接原封不动的转给真正的ssh进程，由ssh完成后续工作；如果这次连接发起的ip不符合访问控制文件中的设置，则会中断连接请求，拒绝提供ssh服务。

基本原则

• 首先检查/etc/host.allow文件，如果找到相匹配的策略，则允许访问；
• 否则继续检查/etc/hosts.deny文件，如果找到相匹配的策略，则拒绝访问；
• 如果检查上述两个文件都找不到相匹配的策略，则允许访问。

拓展：

允许个别，拒绝所有

除了在/etc/hosts.allow中添加允许策略之外，还需要在/etc/hosts.deny文件中设置“ALL:ALL"的拒绝策略。

实例：

若只希望从IP地址为12.0.0.1的主机或者位于192.168.19.0/24网段的主机访问sshd服务，其他地址被拒绝。

[root@localhost ~]# vim /etc/hosts.allow 

sshd:12.0.0.1,192.168.19.*

[root@localhost ~]# vim /etc/hosts.deny 

sshd:ALL
1
2
3
4
5
6
7

总结：

• 认证方式
  • 用户账户
  • 密码认证
  • 密钥对认证
• 设置密钥的方式 —ssh-keygen