《Linux操作系统》课件-任务17 配置SSH服务

任务15配置网络环境任务16使用虚拟化系统任务17配置SSH服务任务18配置NFS共享服务任务19配置Samba文件共享任务20配置DHCP服务任务21配置DNS域名解析服务任务22配置FTP服务任务23用Apache部署静态网站任务24部署LAMP环境2能力目标01能够了解SSH服务器02能够用基本的基于口令的方式配置SSH服务器03能够通过设置安全秘钥的方式，配置SSH服务器3任务描述1．用基本的基于口令的方式配置SSH服务器，禁止root用户访问，访问的端口为2222；2．通过设置安全秘钥的方式，配置SSH服务器。4SSH服务介绍基于口令的验证：是用账户和密码来验证登录；基于密钥的验证：需要在本地生成密钥对，然后把密钥对中的公钥上传至服务器，并与服务器中的公钥进行比较，该方式相对来说更安全。5SSH服务介绍SSH加密技术就是将人类可以看得懂的数据，通过一些特殊的加密程序算法，把这些数据变成杂乱的乱码信息，然后，通过网络进行传输，当数据传送到目的地后，再通过对应的解密算法，把传过来的加密数据信息解密成加密前的可读的正常数据。因此，当数据在互联网上传输时，即使被黑客监听窃取了，也很难获取到真正需要的数据。SSH配置SSH服务的配置信息保存在/etc/ssh/sshd_config文件中，SSH服务配置文件中包含的重要参数如表所示。目录结构两台虚拟机上安装好RedHatEnterpriseLinux8系统，可以把原有的虚拟机进行克隆，一台作为服务器命名为Server，另一台作为客户机，命名为Client。虚拟机的克隆要在关机状态下进行。选择“虚拟机”、选择“管理”、选择“克隆”，-----在克隆虚拟机向导，------选择克隆虚拟机当前状态------选择创建链接克隆，-------单击“完成”即可。1.基于口令基本配置准备好两台主机，一台作为Server，一台为Client，修改好主机名，配置好网络并能够互通，接下来的操作在两台机器上进行，请留意主机名的区别，并根据主机名确定操作的主机。[root@Server~]#ipa|grepens160#查看服务器的IP地址（1）默认ssh连接配置完成在RedHatEnterpriseLinux8系统中，已经默认安装并启用了sshd服务程序。可以通过netstat命令查看一下网络状态，ssh默认服务的网络22号端口是否开启，接下来使用ssh命令进行远程连接，其格式为“ssh[参数]主机IP地址”，要退出登录则执行exit命令。[root@Server~]#netstat-antp|grep:22#查看22号端口是否在侦听[root@Server~]#任务解决基于口令基本配置（2）修改服务端口设置改root不能登陆修改登陆的端口号可以修改第17行#Port22，参数前的井号“#”去掉，改为需要的端口号，如果禁止以root管理员的身份远程登录到服务器，则可以大大降低被黑客暴力破解密码的几率。打开sshd服务的主配置文件，然后把第46行#PermitRootLoginyes参数前的井号（#）去掉，并把参数值yes改成no，这样就不再允许root管理员远程登录了。基于口令基本配置通常服务程序并不会在配置文件修改之后立即获得最新的参数，如果想让新配置文件生效，则需要重启相应的服务程序，最好也将这个服务程序加入到开机启动项中，这样系统在下一次启动时，该服务程序便会自动运行，继续为用户提供服务，这里要特别注意，要把selinux关闭以后才能重启服务，同时需要关闭防火墙。[root@Server~]#getenforce#查看selinux状态Enforcing[root@Server~]#setenforce0#关闭selinux状态[root@Server~]#getenforcePermissive[root@Server~]#systemctlstopfirewalld#关闭selinux状态[root@Server~]#

systemctl

restart

sshd#重启sshd服务[root@Server~]#

systemctl

enable

sshd#开机自动加载sshd服务11基于口令基本配置在Windows主机上使用远程登录软件Xshell可以进行测试。登录后就可以访问Linux服务器了。Linux客户机测试结果如下：[root@Client~]#ssh31-p2222#用root用户访问2222端口被拒绝[root@Client~]#ssh31-luser-p2222#用user用户访问2222端口2.安全密钥验证加密是对信息进行编码和解码的技术，它通过一定的算法（密钥）将原本可以直接阅读的明文信息转换成密文形式。密钥即是密文的钥匙，有私钥和公钥之分。在传输数据时，如果担心被他人监听或截获，就可以在传输前先使用公钥对数据加密处理，然后再进行传送。这样，只有掌握私钥的用户才能解密这段数据，除此之外的其他人即便截获了数据，一般也很难将其破译为明文信息。安全密钥验证安全密钥验证在生产环境中使用密码进行口令验证终归存在着被暴力破解或嗅探截获的风险，如果正确配置了密钥验证方式，那么sshd服务程序将更加安全。具体的配置步骤如下。（1）在客户端主机中生成“密钥对”配置文件改为原来的默认值[root@Client~]#ssh-keygen（2）把客户端主机中生成的公钥文件传送至远程主机：[root@Client~]#ssh-copy-id313.对服务器进行设置，使其只允许密钥验证，拒绝传统的口令验证方式。72PermitEmptyPasswordsn4.在客户端尝试登录到服务器，要你输入生成秘钥对的密码[root@Client~]#ssh31安全密钥验证5.（1）无须输入密码登录ssh-agent是一种控制用来保存公钥身份验证所使用的私钥的程序，其实ssh-agent就是一个密钥管理器，运行ssh-agent以后，使用ssh-add将私钥交给ssh-agent保管，其他程序需要身份验证的时候可以将验证申请交给ssh-agent来完成整个认证过程。eval会对后面的命令行进行两遍扫描，如果在第一遍扫面后cmdLine是一个普通命令，则执行此命令；如果命令行中含有变量的间接引用，则保证简介引用的语义[root@Client~]#eval`ssh-agent`Agentpid5277[root@Client~]#ssh-add[root@Server~]#（2）远程传输命令scp（securecopy）是一个基于SSH协议在网络之间进行安全传输的命令，其格式为“scp[参数]本地文件远程帐户@远程IP地址:远程目录”。与cp命令不同，cp命令只能在本地硬盘中进行文件复制，而scp不仅能够通过网络传送数据，而且所有的数据都将进行加密处理。例如，如果想把一些文件通过网络从一台主机传递到其他主机，这两台主机又恰巧是Linux系统，这时使用scp命令就可以轻松完成文件的传递了，scp命令的参数及作用如表17-2所示。表17-2

scp命令中可用的参数及作用安全密钥验证（6）远程传输命令

在使用scp命令把文件从本地复制到远程主机时，首先需要以绝对路径的形式写清本地文件的存放位置。如果要传送整个文件夹内的所有数据，还需要额外添加参数-r进行递归操作。然后写上要传送到的远程主机的IP地址，远程服务器便会要求进行身份验证了。当前用户名称为root，而密码则为远程服务器的密码。如果想使用指定用户的身份进行验证，可使用用户名@主机地址的参数格式。最后需要在远程主机的IP地址后面添加冒号，并在后面写上要传送到远程主机的哪个文件夹中。只要参数正确并且成功验证了用户身份，即可开始传送工作。由于scp命令是基于SSH协议进行文件传送的，如果设置好了密钥验证，因此当前在传输文件时，并不需要账户和密码。以下操作实现客户机和服务器的互相访问：1)在服务器端创建一个文件[root@server~]#echo"Welcometoserver">readme.txt[root@server~]#2)在客户机无密码拷贝下载[root@Client~]#scp31:/root/readme.txt/homereadme.txt100%183.2KB/s00:00[root@Client~]#ls/homereadme.txtuser3)在客户端端创建一个文件并无密码上传到服务器。[root@Client~]#echo"Welcometoclient">test.txt[root@Client~]#scp/root/test.txt31:/hometest.txt100%18