----------------------概述-----------------------
SSH是一種安全通道協(xié)議����,主要是用來實現(xiàn)字符界面的遠程登陸,遠程復(fù)制等功能�。SSH協(xié)議對通信雙方的數(shù)據(jù)傳輸進行了加密處理,其中包括用戶登錄時輸入的用戶口令�。與早期的telnet(遠程登錄),rsh(Remote Shell�,遠程執(zhí)行命令)���,rcp(Remote File Copy,遠程文件復(fù)制)等應(yīng)用相比���,SSH協(xié)議提供了更好的安全性���。
·
創(chuàng)新互聯(lián)公司-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)����、高性價比滿城網(wǎng)站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫,直接使用�。一站式滿城網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們,業(yè)務(wù)覆蓋滿城地區(qū)�。費用合理售后完善,10多年實體公司更值得信賴��。
SH服務(wù):sshd 允許遠程登陸訪問的服務(wù) (密文傳輸)對應(yīng)端口號 TCP 22端口
--------------------系統(tǒng)環(huán)境---------------------
centOS7 一臺作為服務(wù)端(SSH服務(wù)器)��,一臺作為客戶端���,并分別將主機名修改為01和02
--------------------實驗過程-------------------
修改配置文件
1����、修改SSH主配置文件,SSH主配置文件:"/etc/ssh/ssh_config"(客戶端配置文件)����、"/etc/ssh/sshd_config"(服務(wù)端配置文件),將"#"刪除即可開啟服務(wù),記得不要忘了保存退出
vim /etc/ssh/sshd_config
Port 22 監(jiān)聽端口���,默認監(jiān)聽22端口
#AddressFamily any 可以選擇IPV4和IPV6協(xié)議�����,any表示都使用
#ListenAddress 0.0.0.0 指明監(jiān)聽的地址(IPV4)
#ListenAddress :: 指明監(jiān)聽的地址(IPV6)
#LoginGraceTime 2m————會話時間(默認時間為2分鐘)
#PermitRootLogin yes————是否允許root用戶遠程登錄(yes表示允許)
#StrictModes yes——————驗證訪問權(quán)限
#MaxAuthTries 6——————密碼驗證次數(shù)(默認為6次)
#MaxSessions 10——————訪問的最大連接數(shù)
·
2����、修改完配置文件之后需要重新啟動服務(wù)
systemctl restart sshd
·
3���、接下來用客戶端主機去遠程訪問服務(wù)器,當(dāng)前我們使用的時root用戶登錄
ssh root@192.168.100.128
·
4����、大家都知道root用戶是系統(tǒng)的管理員,所擁有的權(quán)限相對較高����,如果別人可以隨便遠程登錄的話會很不安全����,可以在配置文件中修改權(quán)限���,使得別人無法在遠程登陸時使用root用戶登錄���,修改完之后一定要重啟服務(wù)
·
5、這時候我們再使用root用戶遠程登錄��,輸入密碼后顯示權(quán)限拒絕�����,當(dāng)切換為普通用戶登陸時就可以訪問
·
6��、那么這時候我們可不可以使用普通用戶作為跳板切換為root用戶呢�?答案肯定是可以的
·
7、遇到上述的這種情況可以用到使用PAM安全認證��,將允許使用"su"的用戶添加到"wheel"組即可
vim /etc/pam.d/su
·
8����、 使用"id"命令可以看到"akg"用戶已經(jīng)添加在"wheel"組里,而"boss"用戶并沒有添加在"wheel"組里��,這時再使用"boss’用戶切換root用戶可以顯示,權(quán)限拒絕���,而添加在"wheel"組里的用戶依然可以切換
·
9��、之前我們在配置文件中的最大密碼嘗試次數(shù)為6次����,進入配置文件進行開啟���,現(xiàn)在測試一下��,我們也可以使用"-o NumberOfPasswordPrompts=8"進行測試(輸入8)
可以看到默認輸入嘗試輸入三次密碼就會退出�����,但是如果設(shè)定嘗試超過6次的話就能發(fā)現(xiàn)設(shè)置上限制值是6次
·
10��、還可以通過在配置文件中添加黑白名單來限制用戶登錄�,現(xiàn)在用戶boss只能在192.168.100.55中登錄���,lisi可以在任何主機上登錄,配置完重啟服務(wù)
11���、我們使用192.168.100.55的主機登錄時���,由于設(shè)置了白名單��,用戶"akg"并不能登錄�,只有"lisi"和"boss"可以登錄
文章標(biāo)題:CentOS——SSH遠程訪問控制(一)
轉(zhuǎn)載注明:
http://weahome.cn/article/ggedgo.html
重慶分公司
重慶分公司
