全面分析RHCE7（紅帽認證工程師）考試題目之 ----SSH篇

管理SSH服務（遠程鏈接服務）

一，ssh服務經常使用配置參數 /etc/ssh/sshd_config

注意：修改端口時要確保SELinux 不是 Enforcing

[root@test13 ~]# vim /etc/ssh/sshd_config 

17 Port 2233

19 ListenAddress 192.168.4.13

[root@test13 ~]# systemctl restart sshd

[root@test13 ~]# netstat -pantu | grep sshd

tcp    0    0 192.168.4.13:2233    0.0.0.0:*          LISTEN      4257/sshd  

[root@test13 ~]# vim /etc/ssh/sshd_config 

19 #ListenAddress 192.168.4.13

[root@test13 ~]# systemctl restart sshd

[root@test13 ~]# netstat -pantu | grep sshd

tcp    0    0 0.0.0.0:2233        0.0.0.0:*           LISTEN      4487/sshd  

[root@test13 ~]# vim /etc/ssh/sshd_config 

48 #LoginGraceTime 2m//登陸限時

51 #MaxAuthTries 6//每次鏈接最多認證次數

#運程登陸輸入密碼錯誤6次 兩分鐘不容許登陸

129 #UseDNS yes//解析客戶機地址

二，黑白名單

白名單(在白名單列表裏的用戶能夠鏈接)

AllowUsers 用戶名@客戶端地址 用戶名

AllowGroups 用戶名組名1 用戶名組名2

黑名單(只有在黑名單列表的用戶不能夠鏈接)

DenyUsers 用戶名@客戶端地址 用戶名

DenyGroups 用戶名組名1 用戶名組名2

三，修改用戶登陸認證方式：

口令認證登陸（密碼登陸）

檢查登陸用戶的口令是否一致

密鑰認證登陸（公鑰加密 私鑰解密）

client:

1,建立密鑰對

2，把公鑰傳給ssh服務器

[root@room1pc32 桌面]# ssh-keygen 

Generating public/private rsa key pair.

Enter file in which to save the key (/root/.ssh/id_rsa): 

Created directory '/root/.ssh'.

Enter passphrase (empty for no passphrase): 

Enter same passphrase again: 

Your identification has been saved in /root/.ssh/id_rsa.

Your public key has been saved in /root/.ssh/id_rsa.pub.

The key fingerprint is:

6f:b4:75:af:e5:60:79:d6:cd:36:c8:c8:7b:17:8c:e2 root@room1pc32.tedu.cn

The key's randomart image is:

+--[ RSA 2048]----------+

|                                      |

|                                      |

|                                      |

|                                      |

|        S . . +                    |

|         o.+oo.*o              |

|          =o.o+.@             |

|         . E.o X.                |

|           .. o .                    |

+------------------------------+

sshd:

包ssh服務認證方式修改成密鑰認證方式

[root@room1pc32 桌面]# ls ~/.ssh/

id_rsa  id_rsa.pub

[root@test12 ~]# ls ~/.ssh/

ls: 沒法訪問/root/.ssh/: 沒有那個文件或目錄

[root@room1pc32 桌面]# ssh-copy-id root@192.168.4.12

[root@test12 ~]# ls ~/.ssh/

authorized_keys

[root@room1pc32 桌面]# ssh-add 

Identity added: /root/.ssh/id_rsa (/root/.ssh/id_rsa)

[root@room1pc32 桌面]# ssh -X root@192.168.4.12

Last login: Tue Jan  2 21:30:50 2018 from 192.168.4.254

關閉口令登陸

[root@test12 ~]# vim /etc/ssh/sshd_config 

79 PasswordAuthentication no

[root@test12 ~]# systemctl restart sshd

關閉口令登陸後 若是其餘主機想要訪問的話 能夠將本機的私鑰訪問

[root@room1pc32 桌面]# scp ~/.ssh/id_rsa 192.168.4.13:/root/.ssh/

[root@room1pc32 桌面]# ssh -X root@192.168.4.13

[root@test13 ~]# ls ~/.ssh/

id_rsa  known_hosts

[root@test13 ~]# ssh -X root@192.168.4.12

Last login: Tue Jan  2 21:46:08 2018 from 192.168.4.13

[root@test12 ~]# exit

四，客戶端鏈接ssh服務

ssh ssh服務器地址   訪問21端口 root用戶

ssh 用戶名@ssh服務器地址訪問21端口

ssh -X -p 端口號 用戶名@ssh服務器地址

*在RHCE的考試過程必定不要一直在虛擬機界面操做 必定是使用ssh遠程鏈接兩臺虛擬來完成考試

在RHCE的考試中有一道考試題目是：

配置SSH訪問

按如下要求配置 SSH 訪問：

• 用戶可以從域 example.com（這個域名考試會改變） 內的客戶端 SSH 遠程訪問您的兩個虛擬機系統

• 在域 my133t.org （這個域名考試會改變） 內的客戶端不能訪問您的兩個虛擬機系統

        咱們須要作的是在倆臺虛擬機上配置黑白名單 具體操做以下

        # vim /etc/ssh/sshd_config                         #鍵盤上按Shift+g 跳轉到最後一行 在最後一行上添加

        .. ..

        DenyUsers *@*.my133t.org                        # 這個域名考試時會進行改變   

        #會也能夠經過考試提供的注意事項  找道此域名對應網段   例如 my133t.org 對應的網段爲 172.34.0.0

        DenyUsers   *@*172.34.0.*

        # systemctl restart sshd                                #重啓ssh服務

        另外這道題也能夠經過配置防火牆策略 將這個網段放入block區域

        具體操做請訪問 http://www.javashuo.com/article/p-mhgxuvem-m.html