SSH相關配置文件的修改

首先修改SSH的配置文件。以下: [root@sample ~]# vi /etc/ssh/sshd_config  ← 用vi打開SSH的配置文件 #Protocol 2,1 ← 找到此行將行頭「#」刪除,再將行末的「,1」刪除,只容許SSH2方式的鏈接  ↓ Protocol 2 ← 修改後變爲此狀態,僅使用SSH2 #ServerKeyBits 768 ← 找到這一行,將行首的「#」去掉,並將768改成1024  ↓ ServerKeyBits 1024 ← 修改後變爲此狀態,將ServerKey強度改成1024比特 #PermitRootLogin yes  ← 找到這一行,將行首的「#」去掉,並將yes改成no  ↓ PermitRootLogin no  ← 修改後變爲此狀態,不容許用root進行登陸 #PasswordAuthentication yes ← 找到這一行,將yes改成no  ↓ PasswordAuthentication no ← 修改後變爲此狀態,不容許密碼方式的登陸 #PermitEmptyPasswords no  ← 找到此行將行頭的「#」刪除,不容許空密碼登陸  ↓ PermitEmptyPasswords no  ← 修改後變爲此狀態,禁止空密碼進行登陸   而後保存並退出。(vi保存退出的命令爲ZZ)   由於咱們只想讓SSH服務爲管理系統提供方便,因此在不經過外網遠程管理系統的狀況下,只容許內網客戶端經過SSH登陸到服務器,以最大限度減小不安全因素。設置方法以下: [root@sample ~]# vi /etc/hosts.deny  ← 修改屏蔽規則,在文尾添加相應行 # # hosts.deny This file describes the names of the hosts which are # *not* allowed to use the local INET services, as decided # by the '/usr/sbin/tcpd' server. # # The portmap line is redundant, but it is left to remind you that # the new secure portmap uses hosts.deny and hosts.allow. In particular # you should know that NFS uses portmap! sshd: ALL  ← 添加這一行,屏蔽來自全部的SSH鏈接請求 [root@sample ~]# vi /etc/hosts.allow  ← 修改容許規則,在文尾添加相應行 # # hosts.allow This file describes the names of the hosts which are # allowed to use the local INET services, as decided # by the '/usr/sbin/tcpd' server. # sshd: 192.168.0.  ← 添加這一行,只容許來自內網的SSH鏈接請求 從新啓動SSH服務   在修改完SSH的配置文件後,須要從新啓動SSH服務才能使新的設置生效。 [root@sample ~]# /etc/rc.d/init.d/sshd restart  ← 從新啓動SSH服務器 Stopping sshd:             [ OK ] Starting sshd:             [ OK ]  ← SSH服務器從新啓動成功   這時,在遠程終端(自用PC等等)上,用SSH客戶端軟件以正常的密碼的方式是沒法登陸服務器的。爲了在客戶可以登陸到服務器,咱們接下來創建SSH用的公鑰與私鑰,以用於客戶端以「鑰匙」的方式登陸SSH服務器。 SSH2的公鑰與私鑰的創建   登陸爲一個通常用戶,基於這個用戶創建公鑰與私鑰。(這裏以centospub用戶爲例) [root@sample ~]# su - centospub ← 登陸爲通常用戶centospub [centospub@sample ~]$ ssh-keygen -t rsa  ← 創建公鑰與私鑰 Generating public/private rsa key pair. Enter file in which to save the key (/home/kaz/.ssh/id_rsa):  ← 鑰匙的文件名,這裏保持默認直接回車 Created directory '/home/kaz/.ssh' Enter passphrase (empty for no passphrase):  ← 輸入口令 Enter same passphrase again:   ← 再次輸入口令 Your identification has been saved in /home/kaz/.ssh/id_rsa. Your public key has been saved in /home/kaz/.ssh/id_rsa.pub. The key fingerprint is: tf:rs:e3:7s:28:59:5s:93:fe:33:84:01:cj:65:3b:8e [email]centospub@sample.centospub.com[/email]   而後確認一下公鑰與密鑰的創建,以及對應於客戶端的一些處理。 [centospub@sample ~]$ cd ~/.ssh  ← 進入用戶SSH配置文件的目錄 [centospub@sample .ssh]$ ls -l  ← 列出文件 total 16 -rw------- 1 centospub centospub 951 Sep 4 19:22 id_rsa  ← 確認私鑰已被創建 -rw-r--r-- 1 centospub centospub 241 Sep 4 19:22 id_rsa.pub  ← 確認公鑰已被創建 [centospub@sample .ssh]$ cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys  ← 公鑰內容輸出到相應文件中 [centospub@sample .ssh]$ rm -f ~/.ssh/id_rsa.pub  ← 刪除原來的公鑰文件 [centospub@sample .ssh]$ chmod 400 ~/.ssh/authorized_keys  ← 將新創建的公鑰文件屬性設置爲400   而後,將私鑰經過安全的方式轉移到欲經過SSH鏈接到服務器的PC上。這裏,以經過3.5寸磁盤爲介質爲例: centospub@sample .ssh]$ exit   ← 退出通常用戶的登陸(返回root的登陸) [root@sample ~]# mount /mnt/floppy/  ← 加載軟盤驅動器 [root@sample ~]# mv /home/centospub/.ssh/id_rsa /mnt/floppy/  ← 將剛剛創建的私鑰移動到軟盤 [root@sample ~]# umount /mnt/floppy/  ← 卸載軟盤驅動器
相關文章
相關標籤/搜索