1、主機的連接方式
連接其他主機的命令是"ssh 遠程主機用戶@遠程主機ip",例如下圖,連接"root@172.25.254.102"的主機。
如果是首次連接,將會出現下圖輸入,是因為連接陌生主機時需要建立認證關系,輸入"yes"后輸入遠程主機用戶密碼即可完成連接。
上述命令是在對方主機上打開一個安全的shell,但是並不能打開圖形工具,如果需要打開圖形工具,則需要在上述命令后加"-x",即連接有圖形的主機命令為"ssh 遠程主機用戶@遠程主機ip -x"。
"ssh 遠程主機用戶@遠程主機ip command"可以直接在遠程主機運行某條命令,例如,輸入"ssh root@172.25.254.102 touch /root/Desktop/file{1..10}",即表示在ip為172.25.254.102的主機root用戶桌面下建立10個文件。
2、sshkey加密方式
為了主機的安全也為了特定主機連接的方便,通常使用sshkey加密方式,如下圖,輸入命令"ssh-keygen",按三下回車后即可生成一對公鑰和私鑰。新出現的文件"/root/.ssh/id_rsa"稱作私鑰,"/root/.ssh/id_rsa.pub"稱作公鑰。公鑰相當於是鎖,私鑰相當於是鑰匙。
在生成鑰匙之后,輸入命令"ssh-copy-id -i /root/.ssh/id_rsa.pub root@172.25.254.102"對ip為172.25.254.102的主機上鎖。可以對其他主機進行上鎖,輸入正確的密碼即可。
用命令"scp /root/.ssh/id_rsa kiosk@172.25.254.2:/home/kiosk/.ssh/"將私鑰發送給其他主機,並進行登陸驗證。
3、提升ssh服務的安全級別
3.1、修改配置文件
輸入命令"vim /etc/ssh/sshd_config"即可修改ssh的配置文件,其中,"PasswordAuthentication yes|no"表示是否開啟密碼認證,yes為支持,no為關閉,如果是no的情況,並且無私鑰,則不能連接本台主機。
"PermitRootLogin yes|no"表示是否允許超級用戶登陸。"AllowUsers username"表示用戶白名單,只有在名單里的用戶可以使用sshd建立shell。"DenyUsers username"表示用戶黑名單,名單中的用戶不能通過sshd建立shell。值得注意的是,如果黑名單和白名單中有用一個用戶,則黑名單生效。
3.2、控制ssh客戶端訪問
如下圖所示,輸入命令"vim /etc/hosts.deny"並在其中輸入"sshd:ALL"可以拒絕所有人連接sshd服務。
輸入命令"vim /etc/hosts.allow"並且輸入"sshd:172.25.254.2",則代表只允許ip為172.25.254.2的主機連接。也可以輸入"sshd:ALL EXCEPT 172.25.254.2"表示只不允許ip為172.25.254.2的主機連接。
3.3、修改ssh登陸提示
輸入命令"vim /etc/motd",在文件中輸入需要作為提示的信息如下圖所示,則在ssh連接成功時會自動顯示出來。
以上就是主機間互相連接的服務openssh-serve的連接方式及其安全保護。