一、SSH遠程管理
SSH是一種安全通道協議�����,主要用來實現字符界面的遠程登錄�、遠程復制等功能。SSH協議對通信雙方的數據傳輸進行了加密處理���,其中包括用戶登錄時輸入的用戶口令。與早期的Telent�����、RSH�、RCP、等應用相比���,SSH協議提供了更好的安全性�。
1�、配置OpenSSH服務端
在Centos 7.4系統中���,OpenSSH服務器由openssh�����、openssh-server等軟件包提供(默認已安裝),并已將sshd添加為標準的系統服務�。執行“systemctl start sshd”命令即可啟動sshd服務,包括root在內的大部分用戶都可以遠程登錄系統���。sshd服務的配置文件默認位于/etc/ssh/sshd_config目錄下���,正確調整相關配置項,可以進一步提高sshd遠程登錄的安全性�。
1)服務監聽選項
sshd服務使用的默認端口號為22,必要時建議修改此端口號�����,并指定監聽服務的具體IP地址�����,以提高在網絡中的隱蔽性���。V2版本要比V1版本的安全性要更好�,禁用DNS反向解析可以提高服務器的響應速度�。
[root@centos01 ~]# vim /etc/ssh/sshd_config <!--編輯sshd主配置文件-->17 Port 22 <!--監聽端口為22-->19 ListenAddress 192.168.100.10 <!--監聽地址為192.168.100.10-->21 Protocol 2 <!--使用SSH V2協議-->118 UseDNS no <!--禁用DNS反向解析-->...... <!--此處省略部分內容-->[root@centos01 ~]# systemctl restart sshd <!--重啟sshd服務-->
2)用戶登錄控制
sshd服務默認允許root用戶登錄�����,但在Internet中使用時是非常不安全的�。關于sshd服務的用戶登錄控制,通常應禁止root用戶或密碼為空的用戶登錄�����。另外�,可以限制登錄驗證的時間(默認為2分鐘)及最大重試次數,若超過限制后仍未能登錄則斷開連接���。
[root@centos01 ~]# vim /etc/ssh/sshd_config <!--編輯sshd主配置文件--> 37 LoginGraceTime 2m <!--登錄驗證時間為2分鐘--> 38 PermitRootLogin yes <!--禁止root用戶登錄--> 40 MaxAuthTries 6 <!--最大重試次數為6--> 67 PermitEmptyPasswords no <!--禁止空密碼用戶登錄--> ...... <!--此處省略部分內容-->[root@centos01 ~]# systemctl restart sshd <!--重啟sshd服務-->
2���、登錄驗證方式
對于服務器的遠程管理,除了用戶賬戶的安全控制以外�,登錄驗證的方式也非常重要�。sshd服務支持兩種驗證方式――密碼驗證、密鑰對驗證�,可以設置只使用其中一種方式,也可以兩種方式都啟用�����。
密碼驗證:對服務器中本地系統用戶的登錄名稱�、密碼進行驗證。這種方式使用最為簡便�,但從客戶端角度來看�,正在連接的服務器有可能被假冒;從服務器角度來看���,當遭遇密碼窮舉第三者時防御能力比較弱�����。
密鑰對驗證:要求提供相匹配的密鑰信息才能通過驗證�����。通常先在客戶端中創建一對密鑰文件(公鑰���、私鑰)���,然后將公鑰文件放到服務器中的指定位置。遠程登錄時���,系統將使用公鑰���,私鑰進行加密/解密關聯驗證���,大大增強了遠程管理的安全性。該方式不易被假冒�,且可以免交互登錄,在Shell中被廣泛使用���。
當密碼驗證,密鑰對驗證都啟用時�,服務器將優先使用密鑰對驗證。對于安全性要求較高的服務器�,建議將密碼驗證方式禁用,只允許啟用密鑰對驗證方式�����;若沒有特殊要求�,則兩種方式都可以啟用。
[root@centos01 ~]# vim /etc/ssh/sshd_config <!--編輯sshd主配置文件--> 43 PubkeyAuthentication yes <!--啟用密鑰對驗證--> 47 AuthorizedKeysFile .ssh/authorized_keys <!--指定公鑰庫文件--> 66 PasswordAuthentication yes <!--啟用密碼驗證-->...... <!--此處省略部分內容-->[root@centos01 ~]# systemctl restart sshd <!--重啟sshd服務-->
