資源描述:
《centos之ssh安裝與配置》由會員上傳分享,免費在線閱讀,更多相關內(nèi)容在行業(yè)資料-天天文庫。
1、CentOS之SSH安裝與配置SSH為SecureShell的縮寫,由IETF的網(wǎng)絡工作小組(NetworkWorkingGroup)所制定;SSH為建立在應用層和傳輸層基礎上的安全協(xié)議。傳統(tǒng)的網(wǎng)絡服務程序,如FTP、POP和Telnet其本質(zhì)上都是不安全的;因為它們在網(wǎng)絡上用明文傳送數(shù)據(jù)、用戶帳號和用戶口令,很容易受到中間人(man-in-the-middle)攻擊方式的攻擊。就是存在另一個人或者一臺機器冒充真正的服務器接收用戶傳給服務器的數(shù)據(jù),然后再冒充用戶把數(shù)據(jù)傳給真正的服務器。而SSH是目前較可靠
2、,專為遠程登錄會話和其他網(wǎng)絡服務提供安全性的協(xié)議。利用SSH協(xié)議可以有效防止遠程管理過程中的信息泄露問題。透過SSH可以對所有傳輸?shù)臄?shù)據(jù)進行加密,也能夠防止DNS欺騙和IP欺騙。系統(tǒng)及版本:CentOSrelease5.3(Final)安裝SSHyuminstallssh啟動SSHservicesshdstart設置開機運行chkconfigsshdonSSH相關配置文件的修改首先修改SSH的配置文件。如下:[root@sample~]#?vi/etc/ssh/sshd_config ?←用vi打開SSH
3、的配置文件#Protocol2,1 ←找到此行將行頭“#”刪除,再將行末的“,1”刪除,只允許SSH2方式的連接 ↓Protocol2 ←修改后變?yōu)榇藸顟B(tài),僅使用SSH2#ServerKeyBits768 ←找到這一行,將行首的“#”去掉,并將768改為1024 ↓ServerKeyBits1024 ←修改后變?yōu)榇藸顟B(tài),將ServerKey強度改為1024比特#PermitRootLoginyes? ←找到這一行,將行首的“#”去掉,并將yes改為no ↓PermitRootLoginno? ←修改后變?yōu)?/p>
4、此狀態(tài),不允許用root進行登錄#PasswordAuthenticationyes ←找到這一行,將yes改為no ↓PasswordAuthenticationno ←修改后變?yōu)榇藸顟B(tài),不允許密碼方式的登錄#PermitEmptyPasswordsno ?←找到此行將行頭的“#”刪除,不允許空密碼登錄 ↓PermitEmptyPasswordsno ?←修改后變?yōu)榇藸顟B(tài),禁止空密碼進行登錄 然后保存并退出?! ∫驗槲覀冎幌胱孲SH服務為管理系統(tǒng)提供方便,所以在不通過外網(wǎng)遠程管理系統(tǒng)的情況下,只允許內(nèi)網(wǎng)
5、客戶端通過SSH登錄到服務器,以最大限度減少不安全因素。設置方法如下:[root@sample~]#?vi/etc/hosts.deny ?←修改屏蔽規(guī)則,在文尾添加相應行##hosts.denyThisfiledescribesthenamesofthehostswhichare#*not*allowedtousethelocalINETservices,asdecided#bythe‘/usr/sbin/tcpd’server.##Theportmaplineisredundant,butitisle
6、fttoremindyouthat#thenewsecureportmapuseshosts.denyandhosts.allow.Inparticular#youshouldknowthatNFSusesportmap!sshd:ALL ?←添加這一行,屏蔽來自所有的SSH連接請求[root@sample~]#?vi/etc/hosts.allow ?←修改允許規(guī)則,在文尾添加相應行##hosts.allowThisfiledescribesthenamesofthehostswhichare#allo
7、wedtousethelocalINETservices,asdecided#bythe‘/usr/sbin/tcpd’server.#sshd:192.168.0. ?←添加這一行,只允許來自內(nèi)網(wǎng)的SSH連接請求?重啟動SSH啟動 在修改完SSH的配置文件后,需要重新啟動SSH服務才能使新的設置生效。[root@sample~]#?/etc/rc.d/init.d/sshdrestart ?←重新啟動SSH服務器Stoppingsshd: [?OK?]Startingsshd:
8、 [?OK?] ?←SSH服務器重新啟動成功 這時,在遠程終端(自用PC等等)上,用SSH客戶端軟件以正常的密碼的方式是無法登錄服務器的。為了在客戶能夠登錄到服務器,我們接下來建立SSH用的公鑰與私鑰,以用于客戶端以“鑰匙”的方式登錄SSH服務器。SSH2的公鑰與私鑰的建立 登錄為一個一般用戶,基于這個用戶建立公鑰與私鑰。(這里以centospub用戶為例)[root@sample~]#?su–cent