95992828九五至尊2

免密码登录与当地多

三月 31st, 2019  |  九五至尊1老品牌值得

本地八个 SSH KEY 的治本

常常办公中常遇见本地须求变更多少个 ssh key 的场所,使用 ssh-keygen
生成的会覆盖原有的,导致原先的秘钥不能够选取。在地点 ~/.ssh/
文件夹下建立 config 文件可对两样的长途服务器连接举行管制,比如有三个github 账户,可能五个 git 服务器等等。

Host vps(这里是自定义的host简称,以后连接远程服务器就可以用命令ssh vps)
  User 这里填用户名(如:root)
  HostName 这里填服务器地址也可以是域名(如:server.xxoo.com)
  Port 这里填服务器 open-ssh 端口(默认:22)
  IdentityFile 这里是刚刚生成的私钥文件地址(如 ~/.ssh/id_rsa)

设置命令

免密码登录

  1. 地目生成秘钥 ssh-keygen -t rsa -C "your@email.com",其中 pub
    为公钥
    会提示生成的秘钥文件名,能够写上团结的秘钥文件,然后通过上边的保管章程举行保管
    Generating public/private rsa key pair.
    Enter file in which to save the key
    (/home/vagrant/.ssh/id_rsa):~/.ssh/id_rsa_test
    接下来不用输入 passphrase,会生成:
    Enter passphrase (empty for no passphrase):
    Enter same passphrase again:
    Your identification has been saved in id_rsa_test.
    Your public key has been saved in id_rsa_test.pub.
    The key fingerprint is:
    f6:90:bb:03:13:3c:08:41:22:a2:73:71:a1:61:c5:a7
    your@email.com
    The key’s randomart image is:
    +–[ RSA 2048]—-+
    |+.*++. |
    |+o.=. . |
    |o o. = |
    | o E + . |
    | oS |
    | o. + |
    | o. . |
    | .. |
    | .. |
    +—————–+
    再依据上述管理办法配置 config 文件
  2. server 端变更配置 sshd_config
    $ sudo vim /etc/ssh/sshd_config
    PermitRootLogin no # 禁止 root 登录
    RSAAuthentication yes #RSA认证
    PubkeyAuthentication yes #敞开公钥验证
    AuthorizedKeysFile %h/.ssh/authorized_keys #注解文件路径
    PasswordAuthentication no #明确命令禁止密码验证
    PermitEmptyPasswords no #取缔空密码
  3. 在 server 端用户目录下成立文件夹 ~/.ssh/ 并转移权限为
    700,创制文件 ~/.ssh/.authorized_keys 并转移权限为 644
  4. 把地方的公钥内容 id_rsa_test.pub 的始末复制粘贴到 server 端的
    ~/.ssh/authorized_keys 文件中
  5. 重启 server 端 SSH 服务
    $ sudo service ssh restart
    # 或者
    $ sudo /etc/init.d/ssh restart

          RedHat,CentOS(PRM版本):    yum install openssh-server
openssh-client

总结

剥夺 root 登录能够有效拉长系统的安全性,当然还有其余的部分方法:

  • /etc/hosts.allow 及 /etc/hosts.deny 添加
    $ sudo vim /etc/hosts.allow
    sshd: 127.0.0.1 192.168.1.0/255.255.255.0
    192.168.100.0/255.255.255.0
    $ sudo vim /etc/hosts.deny
    sshd : ALL
  • iptables 封包过滤防火墙
    $ sudo vim /usr/local/virus/iptables/iptables.allow
    iptables -A INPUT -i $EXTIF -s 192.168.1.0/24 -p tcp –dport 22 -j
    ACCEPT
    iptables -A INPUT -i $EXTIF -s 192.168.100.0/24 -p tcp –dport 22 -j
    ACCEPT
  • 尽或然不要开放 ssh 登录权限给外网用户

          Debian,Ubuntu(DEB版本):     apt-get openssh-server
openssh-client

         SSH常用配置选项

九五至尊1老品牌值得 1

九五至尊1老品牌值得 2

SSH配置

1.基于口令的证实情势: ssh options username@hostname ‘command’

2.基于密钥的表达方法:

a) ssh-keygen命令生成公钥和私钥. 

b) 将公钥文件参加主机的证实文件中 

    cat id_rsa.pub >> ~/.ssh/authorized_keys

九五至尊1老品牌值得,    chmod 600 authorized_keys

    拷贝id_rsa.pub到客户端

    如果是windows客户端,需要用putty工具对key文件        转换城.ppk格式

注意.ssh目录权限为700,authorized_keys文件为600

3.走访策略 限制用户连接SSH

/etc/ssh/sshd_config

a) DenyUsers test

b)AllowUsers test

c)DenyGroups test

d) AllowGroups test

新建用户: useradd test,passwd test

显示test用户登陆:vim /etc/ssh/sshd_config,service,添加Denyusres test

重启sshd:service sshd restart

4.做客策略,限制IP连接SSH

a) 只依据端口的限定 iptables -A INPUT -p tcp –dport 22 -s
192.168.0.10/32 -j ACCEPT

  iptables -A INPUT -p tcp –dport 22 -j DROP

b) TCP Wrapper

vim /etc/hosts.allow       sshd:192.168.0.10/255.255.255.255

vim /etc/hosts.deny    sshd:ALL EXCEPT 192.168.0.10

相关文章

Your Comments

近期评论

    功能


    网站地图xml地图