資源描述:
《centos之ssh安裝與配置》由會員上傳分享�,免費在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫�。
1、CentOS之SSH安裝與配置SSH為SecureShell的縮寫��,由IETF的網(wǎng)絡(luò)工作小組(NetworkWorkingGroup)所制定;SSH為建立在應(yīng)用層和傳輸層基礎(chǔ)上的安全協(xié)議�。傳統(tǒng)的網(wǎng)絡(luò)服務(wù)程序,如FTP���、POP和Telnet其本質(zhì)上都是不安全的��;因為它們在網(wǎng)絡(luò)上用明文傳送數(shù)據(jù)����、用戶帳號和用戶口令�,很容易受到中間人(man-in-the-middle)攻擊方式的攻擊。就是存在另一個人或者一臺機器冒充真正的服務(wù)器接收用戶傳給服務(wù)器的數(shù)據(jù)��,然后再冒充用戶把數(shù)據(jù)傳給真正的服務(wù)器���。而SSH是目前較可靠
2�、���,專為遠程登錄會話和其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議��。利用SSH協(xié)議可以有效防止遠程管理過程中的信息泄露問題�����。透過SSH可以對所有傳輸?shù)臄?shù)據(jù)進行加密��,也能夠防止DNS欺騙和IP欺騙��。系統(tǒng)及版本:CentOSrelease5.3(Final)安裝SSHyuminstallssh啟動SSHservicesshdstart設(shè)置開機運行chkconfigsshdonSSH相關(guān)配置文件的修改首先修改SSH的配置文件�。如下:[root@sample~]#?vi/etc/ssh/sshd_config ?←用vi打開SSH
3、的配置文件#Protocol2,1 ←找到此行將行頭“#”刪除�����,再將行末的“,1”刪除����,只允許SSH2方式的連接 ↓Protocol2 ←修改后變?yōu)榇藸顟B(tài),僅使用SSH2#ServerKeyBits768 ←找到這一行��,將行首的“#”去掉�����,并將768改為1024 ↓ServerKeyBits1024 ←修改后變?yōu)榇藸顟B(tài)�,將ServerKey強度改為1024比特#PermitRootLoginyes? ←找到這一行��,將行首的“#”去掉��,并將yes改為no ↓PermitRootLoginno? ←修改后變?yōu)?/p>
4、此狀態(tài)���,不允許用root進行登錄#PasswordAuthenticationyes ←找到這一行����,將yes改為no ↓PasswordAuthenticationno ←修改后變?yōu)榇藸顟B(tài)�����,不允許密碼方式的登錄#PermitEmptyPasswordsno ?←找到此行將行頭的“#”刪除�,不允許空密碼登錄 ↓PermitEmptyPasswordsno ?←修改后變?yōu)榇藸顟B(tài),禁止空密碼進行登錄 然后保存并退出��?��! ∫驗槲覀冎幌胱孲SH服務(wù)為管理系統(tǒng)提供方便�����,所以在不通過外網(wǎng)遠程管理系統(tǒng)的情況下�,只允許內(nèi)網(wǎng)
5���、客戶端通過SSH登錄到服務(wù)器�����,以最大限度減少不安全因素��。設(shè)置方法如下:[root@sample~]#?vi/etc/hosts.deny ?←修改屏蔽規(guī)則���,在文尾添加相應(yīng)行##hosts.denyThisfiledescribesthenamesofthehostswhichare#*not*allowedtousethelocalINETservices,asdecided#bythe‘/usr/sbin/tcpd’server.##Theportmaplineisredundant,butitisle
6����、fttoremindyouthat#thenewsecureportmapuseshosts.denyandhosts.allow.Inparticular#youshouldknowthatNFSusesportmap!sshd:ALL ?←添加這一行���,屏蔽來自所有的SSH連接請求[root@sample~]#?vi/etc/hosts.allow ?←修改允許規(guī)則��,在文尾添加相應(yīng)行##hosts.allowThisfiledescribesthenamesofthehostswhichare#allo
7���、wedtousethelocalINETservices,asdecided#bythe‘/usr/sbin/tcpd’server.#sshd:192.168.0. ?←添加這一行,只允許來自內(nèi)網(wǎng)的SSH連接請求?重啟動SSH啟動 在修改完SSH的配置文件后���,需要重新啟動SSH服務(wù)才能使新的設(shè)置生效。[root@sample~]#?/etc/rc.d/init.d/sshdrestart ?←重新啟動SSH服務(wù)器Stoppingsshd: [?OK?]Startingsshd:
8��、 [?OK?] ?←SSH服務(wù)器重新啟動成功 這時�����,在遠程終端(自用PC等等)上,用SSH客戶端軟件以正常的密碼的方式是無法登錄服務(wù)器的��。為了在客戶能夠登錄到服務(wù)器�,我們接下來建立SSH用的公鑰與私鑰,以用于客戶端以“鑰匙”的方式登錄SSH服務(wù)器����。SSH2的公鑰與私鑰的建立 登錄為一個一般用戶,基于這個用戶建立公鑰與私鑰����。(這里以centospub用戶為例)[root@sample~]#?su–cent
