如何进行ssh的使用与配置

共计 1693 个字符，预计需要花费 5 分钟才能阅读完成。

如何进行 ssh 的使用与配置，很多新手对此不是很清楚，为了帮助大家解决这个难题，下面丸趣 TV 小编将为大家详细讲解，有这方面需求的人可以来学习下，希望你能有所收获。

一、ssh 基本配置

开两台 centos 系统 7 -1（服务端）、7-2（客户端）
用 xshell 连接，证明 sshd 的 22 端口开放出来了

配置文件所在位置

进入服务端配置文件，进行一系列配置：端口 22 功能打开等等

为区分两个系统用户，我们分别将其用户名设为 test01、test02，接着进行远程登陆。

输入访问命令，即可连接并进行一系列操作

可在对方的 opt 下创建 abc 文本，进行远程操作

回到 7 - 1 的服务端，进 ssh 配置文件，更改不允许对方用 root 身份登陆，保存退出。即在客户端用 root 身份不可登陆，即使有密码也无法登陆。

但随之而来的问题，我们先用普通用户 lisi 登陆服务端，接着可切换到服务器的 root 用户，可实现跳板登陆

解决：进行 pam 模块验证，开启功能，即不在 wheel 组内成员不可用 su 命令切换用户。

在客户端用 lisi 登陆，并用 su 切换 root，被拒绝。并且切换同级别权限的 zhangsan，也不能切换。（pam 验证开启非常重要，加大系统安全）

结论：不在 wheel 组内平级用户也切换不了，zhangsan 在 wheel 组内，可切换为 lisi 用户，也可切换 root 用户。

开启最大验证次数功能，却发现默认验证 3 次。

要想验证次数变为 6，那么我们就要更改验证次数为 8，即验证最大次数从默认的 3 变为了 6。

回到服务器 7 -1，配置文件中插入白名单，即皆可登陆服务器的 zhangsan 和 wangwu 用户

此时我们还需在开一台 centos7-3，IP 为 129.168.195.130，登陆服务器 wangwu（配置文件中没设置 wangwu 允许登陆的 ip，可从任意终端登陆）

结论：白名单上为仅允许，名单上有的条目可以去执行，没有的一概不能执行；反之黑名单则为仅拒绝，即名单上的条目皆不可执行。（在企业环境中建议使用白名单）

二、密钥对进行身份验证

在配置文件中开启密钥对验证功能

用 7 - 2 客户端进行密钥生成，用户 caiwu 来验证。

在家目录下有公钥和私钥，推送公钥给服务端，指定服务端用户 zhangsan，输入对方登陆密码，家目录下生成一个 known_hosts（内有推送的服务端 ip、加密方式 ecdsa 等）。

再次回到服务端，家目录中已有公钥导入文件。

查看当前用户方法

只有用 caiwu 用户 ssh 远程访问服务器 zhangsan 用户要用密钥对验证（每次验证都要密钥对验证）。

防止每次都要进行密钥验证，我们来设置只需一次验证，之后可直接进入。

三、ssh 客户端

若服务器的端口改为 123，那么在客户端远程访问就要输入以下命令，先开启客户端可用 root 用户登陆的权限（复制操作要用到），删除之前建立的白名单。

Scp 远程复制文件到服务器端。

Scp 远程复制文件夹到服务器端。

将之前 opt 下文件全部删除，进行 ssh 安全下载文件。进行远程连接后，会回到对方服务器的家目录下

首先给文件改名 server，进行 ssh 安全上传文件 server 文件

可以直接切换用户目录，进行任意更改文件。为限制只可访问对方服务器的家目录，我们研究出了一套方法。
在配置文件中找到这一行注释，并打开此功能。

并输入一系列命令。

且权限必须为 755，文件属主、属组必须是 root。

四、TCP Wrappers

在配置之前，需要将黑白名单在 ssh 配置文件中删除，否则配置策略应用时会重复。在 /etc/hosts.allow 中进行配置

在 /etc/hosts.deny 中进行配置

测试 129 客户端能否访问服务器，发现可以

测试 130 客户端能否访问服务器，发现被直接拒绝（黑白名单是允许输入密码，不一样）

现在在两个中配置两个一样的内容：均为 129，发现允许访问。

结论：先检查 allow 中，找到匹配则允许访问。否则再检查 hosts.deny，找到则拒绝访问；若两个文件中都没有内容，则默认所有文件允许访问。

看完上述内容是否对您有帮助呢？如果还想对相关知识有进一步的了解或阅读更多相关文章，请关注丸趣 TV 行业资讯频道，感谢您对丸趣 TV 的支持。