轉(zhuǎn)自:https://blog.51cto.com/3381847248/2066599
一、ssh詳解
1、什么是ssh
簡單來說,ssh是一種網(wǎng)絡協(xié)議,用于計算機之間的加密登錄辽剧。
如果一個用戶從本地計算機,使用ssh協(xié)議登錄另一臺遠程計算機税产,我們就可以認為怕轿,這種登錄是安全的偷崩,即使被中途截獲,密碼也不會泄露撞羽。
需要指出的是阐斜,ssh只有一種協(xié)議,存在多種實現(xiàn)诀紊,既有商業(yè)實現(xiàn)谒出,也有開源實現(xiàn)。
2邻奠、基本用法
(1)笤喳、使用某個用戶(例如user)登錄遠程主機host
命令:ssh user@host
(2)、如果本地用戶名和遠程用戶名一致碌宴,則登錄時可以省略用戶名
命令:ssh host
(3)杀狡、ssh的默認端口是22,也就是說贰镣,你的登錄請求會送進遠程主機的22端口捣卤。使用-p參數(shù),可以修改這個端口
命令:ssh –p 端口號 user@host
3八孝、中間人攻擊
SSH之所以能夠保證安全,原因在于它采用了公鑰加密鸠项。整個過程如下:
(1)遠程主機收到用戶的登錄請求干跛,把自己的公鑰發(fā)給用戶。
(2)用戶使用這個公鑰祟绊,將登錄密碼加密后楼入,發(fā)送回來。
(3)遠程主機用自己的私鑰牧抽,解密登錄密碼嘉熊,如果密碼正確,就同意用戶登錄扬舒。
這個過程本身是安全的阐肤,但是實施的時候存在一個風險:如果有人截獲了登錄請求,然后冒充遠程主機讲坎,將偽造的公鑰發(fā)給用戶孕惜,那么用戶很難辨別真?zhèn)巍R驗椴幌駂ttps協(xié)議晨炕,SSH協(xié)議的公鑰是沒有證書中心(CA)公證的衫画,也就是說,都是自己簽發(fā)的瓮栗∠髡郑可以設想瞄勾,如果攻擊者插在用戶與遠程主機之間(比如在公共的wifi區(qū)域),用偽造的公鑰弥激,獲取用戶的登錄密碼进陡。再用這個密碼登錄遠程主機,那么SSH的安全機制就蕩然無存了秆撮。這種風險就是著名的"中間人攻擊"四濒。
4、ssh的安全驗證
SSH有自己的一套驗證方式职辨,可以阻攔大部分的攻擊盗蟆,當然如果有人想通過撞庫來嘗試密碼的話,就只有設置防火墻或者做其它的安全措施了舒裤。
從客戶端來看喳资,SSH提供兩種級別的安全驗證。
(1)腾供、第一種級別(基于口令的安全驗證)
只要你知道自己帳號和口令仆邓,就可以登錄到遠程主機。所有傳輸?shù)臄?shù)據(jù)都會被加密伴鳖,但是不能保證你正在連接的服務器就是你想連接的服務器节值。可能會有別的服務器在冒充真正的服務器榜聂,也就是受到“中間人”這種方式的攻擊搞疗。
(2)、第二種級別(基于密匙的安全驗證)
需要依靠密匙须肆,也就是你必須為自己創(chuàng)建一對密匙匿乃,并把公用密匙放在需要訪問的服務器上。如果你要連接到SSH服務器上豌汇,客戶端軟件就會向服務器發(fā)出請求幢炸,請求用你的密匙進行安全驗證。服務器收到請求之后拒贱,先在該服務器上你的主目錄下尋找你的公用密匙宛徊,然后把它和你發(fā)送過來的公用密匙進行比較。如果兩個密匙一致逻澳,服務器就用公用密匙加密“質(zhì)詢”(challenge)并把它發(fā)送給客戶端軟件岩调。客戶端軟件收到“質(zhì)詢”之后就可以用你的私人密匙解密再把它發(fā)送給服務器赡盘。
用這種方式号枕,你必須知道自己密匙的口令。但是陨享,與第一種級別相比葱淳,第二種級別不需要在網(wǎng)絡上傳送口令钝腺。第二種級別不僅加密所有傳送的數(shù)據(jù),而且“中間人”這種攻擊方式也是不可能的(因為他沒有你的私人密匙)赞厕。但是整個登錄的過程可能需要10秒艳狐。
5、口令登錄
(1)皿桑、如果是第一次登錄對方主機毫目,系統(tǒng)會出現(xiàn)如下圖的提示
這段話的意思是,無法確認host主機的真實性诲侮,只知道它的公鑰指紋镀虐,問你還想繼續(xù)連接嗎?
所謂"公鑰指紋"沟绪,是指公鑰長度較長(這里采用RSA算法刮便,長達1024位),很難比對绽慈,所以對其進行MD5計算恨旱,將它變成一個128位的指紋。上例中是20:42:b3:d6:79:dc:79:ec:26:1a:54:8c:72:b7:a7:e3坝疼,再進行比較搜贤,就容易多了。
很自然的一個問題就是钝凶,用戶怎么知道遠程主機的公鑰指紋應該是多少入客?回答是沒有好辦法,遠程主機必須在自己的網(wǎng)站上貼出公鑰指紋腿椎,以便用戶自行核對窥摄。
(2)霎冯、假設經(jīng)過風險衡量后,用戶決定接受這個遠程主機的公鑰
(3)加派、系統(tǒng)會出現(xiàn)一句提示卓舵,表示192.168.10.13主機已經(jīng)得到認可
(4)南用、輸入密碼(如果密碼正確,就可以登錄了)
說明:
當遠程主機的公鑰被接受以后掏湾,它就會被保存在文件$HOME/.ssh/known_hosts之中裹虫。下次再連接這臺主機,系統(tǒng)就會認出它的公鑰已經(jīng)保存在本地了融击,從而跳過警告部分筑公,直接提示輸入密碼。
每個SSH用戶都有自己的known_hosts文件尊浪,此外系統(tǒng)也有一個這樣的文件匣屡,通常是/etc/ssh/ssh_known_hosts封救,保存一些對所有用戶都可信賴的遠程主機的公鑰。
6捣作、公鑰登錄
使用密碼登錄誉结,每次都必須輸入密碼,非常麻煩券躁。好在SSH還提供了公鑰登錄惩坑,可以省去輸入密碼的步驟。
所謂"公鑰登錄"也拜,原理很簡單以舒,就是用戶將自己的公鑰儲存在遠程主機上。登錄的時候搪泳,遠程主機會向用戶發(fā)送一段隨機字符串稀轨,用戶用自己的私鑰加密后,再發(fā)回來岸军。遠程主機用事先儲存的公鑰進行解密奋刽,如果成功,就證明用戶是可信的艰赞,直接允許登錄shell佣谐,不再要求密碼。
(1)方妖、這種方法要求用戶必須提供自己的公鑰狭魂。如果沒有現(xiàn)成的,可以直接用ssh-keygen生成一個党觅,如下圖所示
說明:
運行上面的命令以后雌澄,系統(tǒng)會出現(xiàn)一系列提示,可以一路回車杯瞻。其中有一個問題是镐牺,要不要對私鑰設置口令(passphrase),如果擔心私鑰的安全魁莉,這里可以設置一個睬涧。
運行結(jié)束以后,在$HOME/.ssh/目錄下旗唁,會新生成兩個文件:id_rsa.pub和id_rsa畦浓。id_rsa.pub是公鑰,id_rsa是私鑰检疫。
(2)讶请、這時再輸入下面的命令,將公鑰傳送到遠程主機host上面
命令:ssh-copy-id 192.168.10.12
說明:
第一次是需要輸入密碼的屎媳,但之后ssh就不需要輸密碼了秽梅。
如果ssh-copy-id不行的話抹蚀,就打開遠程主機的/etc/ssh/sshd_config這個文件,檢查下面幾行前面"#"注釋是否取掉企垦。
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
然后环壤,重啟遠程主機的ssh服務。
7钞诡、authorized_keys文件
遠程主機將用戶的公鑰郑现,保存在登錄后的用戶主目錄的$HOME/.ssh/authorized_keys文件中。公鑰就是一段字符串荧降,只要把它追加在authorized_keys文件的末尾就行了接箫。
(1)、這里不使用上面的ssh-copy-id命令朵诫,改用下面的命令辛友,解釋公鑰的保存過程: ssh user@host 'mkdir -p .ssh && cat >> .ssh/authorized_keys' < ~/.ssh/id_rsa.pub
說明:
1)、"$ ssh user@host"剪返,表示登錄遠程主機废累;
2)、單引號中的mkdir .ssh && cat >> .ssh/authorized_keys脱盲,表示登錄后在遠程shell上執(zhí)行的命令邑滨;
3)、"$ mkdir -p .ssh"的作用是钱反,如果用戶主目錄中的.ssh目錄不存在掖看,就創(chuàng)建一個;
4)面哥、'cat >> .ssh/authorized_keys' < /.ssh/id_rsa.pub的作用是哎壳,將本地的公鑰文件/.ssh/id_rsa.pub,重定向追加到遠程文件authorized_keys的末尾尚卫。
5)归榕、寫入authorized_keys文件后,公鑰登錄的設置就完成了焕毫。
(2)、通過安裝lrzsz服務實現(xiàn)
1)驶乾、安裝lrzsz服務后邑飒,使用sz +公鑰路徑下載下來
2)、通過rz命令將下載下來的公鑰上傳到遠程主機上级乐,將公鑰重定向追加到文件authorized_keys的末尾
3)疙咸、寫入authorized_keys文件后,公鑰登錄的設置就完成了风科。
二撒轮、ssh自定義安全設置
1乞旦、為了ssh登陸的時候加一層保護,可以修改默認端口题山。修改ssh服務配置文件/etc/ssh/sshd_config
port 2222
這樣遠程連接時加上端口
ssh 192.168.10.13 -p 2222
2兰粉、ssh使用時加-l后面跟用戶名,表示登陸到對方的這個用戶下面顶瞳。
ssh -l user 192.168.10.13 -p 2222
等同于
ssh user@192.168.10.13 -p 2222
3玖姑、限制ssh登陸的來源ip,白名單設置(hosts.allow優(yōu)先級最高)
1)慨菱、通過iptables設置ssh端口的白名單,如下設置只允許192.168.1.0/24網(wǎng)段的客戶機可以遠程連接本機
Iptables -A INPUT -s 192.168.1.0/24 -p tcp -m state --state NEW -m tcp --dport 2222 -j ACCEPT
或者
vim /etc/sysconfig/iptables
-A INPUT -s 192.168.1.0/24 -p tcp -m state --state NEW -m tcp --dport 2222 -j ACCEPT
2)焰络、通過/etc/hosts.allow里面進行限制(如下),/etc/hosts.deny文件不要任何內(nèi)容編輯符喝,保持默認闪彼!
vim /etc/hosts.allow
sshd:192.168.1.,192.168.9.,124.65.197.154,61.148.60.42,103.10.86.7:allow
sshd:all:deny
4、僅允許特定的用戶通過SSH登陸
如不允許root用戶登錄协饲;
只允許幾個指定的用戶登錄(比如wangshibo畏腕、guohuihui、liuxing用戶)
禁止某些指定的用戶登錄(比如zhangda囱稽,liqin用戶)
但是要注意:設置的這幾個用戶必須同時存在于本機和對方機器上
修改ssh服務配置文件/etc/ssh/sshd_config
PermitRootLogin no //將yes修改為no
AllowUsers wangshibo guohuihui liuxing //這個參數(shù)AllowUsers如果不存在郊尝,需要手動創(chuàng)建,用戶之間空格隔開战惊;
DenyUsers zhagnda liqin //這個參數(shù)DenyUsers如果不存在流昏,需要手動創(chuàng)建,用戶之間空格隔開吞获;
也可以設置僅允許某個組的成員通過ssh訪問主機况凉。
AllowGroups wheel ops
5、取消密碼驗證各拷,只用密鑰對驗證
修改ssh服務配置文件/etc/ssh/sshd_config
PasswordAuthentication no
PubkeyAuthentication yes
6刁绒、給賬號設置復雜的密碼:將密碼保存到文本進行復制和粘帖就可以了
rpm -ivh expect-5.43.0-5.1.i386.rpm| yum -y install expect
mkpasswd -l 128 -d 8 -C 15 -s 10 //將下面密碼保存到文本進行復制、粘貼即可
lVj.jg&sKrf0cvtgmydqo7qPotxzxen9mefy?ej!kcaX2gQrcu2ndftkeamllznx>iHikTagiVz0$cMtqOcIypkpd,vvD*kJhs3q@sb:CiCqgtqdqvse5lssfmranbtx
參數(shù)說明:
-l 密碼長度
-d 多少個數(shù)字
-C 大寫字母個數(shù)
-s 特殊符號的個數(shù)
7烤黍、只允許通過指定的網(wǎng)絡接口來訪問SSH服務知市,(如果本服務器有多個IP的時候)
仍然是修改/etc/ssh/sshd_config,如下:
ListenAddress 192.168.1.15 //默認監(jiān)聽的是0.0.0.0
這樣速蕊,就只允許遠程機器通過ssh連接本機的192.168.1.15內(nèi)網(wǎng)ip來進行登陸了嫂丙。
8、禁止空密碼登錄
如果本機系統(tǒng)有些賬號沒有設置密碼规哲,而ssh配置文件里又沒做限制跟啤,那么遠程通過這個空密碼賬號就可以登陸了,這是及其不安全的,所以一定要禁止空密碼登陸隅肥。修改/etc/ssh/sshd_config竿奏,如下:
PermitEmptyPasswords no //這一項,默認就是禁用空密碼登陸
9腥放、 ssh_config和sshd_config
ssh_config和sshd_config都是ssh服務器的配置文件泛啸,二者區(qū)別在于,前者是針對客戶端的配置文件捉片,后者則是針對服務端的配置文件平痰。兩個配置文件都允許你通過設置不同的選項來改變客戶端程序的運行方式。
三伍纫、ssh配置文件詳解
1宗雇、/etc/ssh/ssh_config配置文件
選項參數(shù) 說明
Host * 選項“Host”只對能夠匹配后面字串的計算機有效∮ü妫“*”表示所有的計算機赔蒲。
ForwardAgent no 設置連接是否經(jīng)過驗證代理(如果存在)轉(zhuǎn)發(fā)給遠程計算機。
ForwardX11 no 設置X11連接是否被自動重定向到安全的通道和顯示集(DISPLAY set)
RhostsAuthentication no 設置是否使用基于rhosts的安全驗證
RhostsRSAAuthentication no 設置是否使用用RSA算法的基于rhosts的安全驗證
RSAAuthentication yes 設置是否使用RSA算法進行安全驗證
PasswordAuthentication yes 設置是否使用口令驗證
FallBackToRsh no 設置如果用ssh連接出現(xiàn)錯誤是否自動使用rsh
UseRsh no 設置是否在這臺計算機上使用“rlogin/rsh”
BatchMode no 如果設為“yes”良漱,passphrase/password(交互式輸入口令)的提示將被禁止舞虱。當不能交互式輸入口令的時候,這個選項對腳本文件和批處理任務十分有用
CheckHostIP yes 設置ssh是否查看連接到服務器的主機的IP地址以防止DNS欺騙母市。建議設置為“yes”
StrictHostKeyChecking no 如果設置成“yes”矾兜,ssh就不會自動把計算機的密匙加入“$HOME/.ssh/known_hosts”文件,并且一旦計算機的密匙發(fā)生了變化患久,就拒絕連接
IdentityFile ~/.ssh/identity 設置從哪個文件讀取用戶的RSA安全驗證標識
Port 22 設置連接到遠程主機的端口
Cipher blowfish 設置加密用的密碼
EscapeChar ~ 設置escape字符
2椅寺、/etc/ssh/sshd_config配置文件
參數(shù)選項 說明
Port 22 SSH 預設使用 22 這個 port,您也可以使用多的 port 蒋失!
Protocol 2,1 選擇的 SSH 協(xié)議版本返帕,可以是 1 也可以是 2 ,如果要同時支持兩者篙挽,就必須要使用 2,1 這個分隔了荆萤!
ListenAddress 0.0.0.0 監(jiān)聽的主機適配卡!舉個例子來說铣卡,如果您有兩個 IP链韭,分別是 192.168.0.100 及 192.168.2.20 ,那么只想要開放 192.168.0.100 時煮落,就可以寫如同下面的樣式:
ListenAddress 192.168.0.100 只監(jiān)聽來自 192.168.0.100 這個 IP 的SSH聯(lián)機敞峭。如果不使用設定的話,則預設所有接口均接受 SSH
PidFile /var/run/sshd.pid 可以放置 SSHD 這個 PID 的檔案州邢!左列為默認值
LoginGraceTime 600 當使用者連上 SSH server 之后儡陨,會出現(xiàn)輸入密碼的畫面,在該畫面中量淌,在多久時間內(nèi)沒有成功連上 SSH server 骗村,就斷線!時間為秒呀枢!
Compression yes 是否可以使用壓縮指令胚股?
HostKey /etc/ssh/ssh_host_key SSH version 1 使用的私鑰
HostKey /etc/ssh/ssh_host_rsa_key SSH version 2 使用的 RSA 私鑰
HostKey /etc/ssh/ssh_host_dsa_key SSH version 2 使用的 DSA 私鑰
KeyRegenerationInterval 3600 由前面聯(lián)機的說明可以知道, version 1 會使用 server 的 Public Key 裙秋,每隔一段時間來重新建立一次琅拌!時間為秒!
ServerKeyBits 768 Server key 的長度摘刑!
SyslogFacility AUTH 當有人使用 SSH 登入系統(tǒng)的時候进宝,SSH會記錄信息
LogLevel INFO 登錄記錄的等級---》全部
PermitRootLogin no 是否允許 root 登入!預設是允許的枷恕,但是建議設定成 no党晋!
UserLogin no 在 SSH 底下本來就不接受 login 這個程序的登入!
StrictModes yes 當使用者的 host key 改變之后徐块,Server 就不接受聯(lián)機
RSAAuthentication yes 是否使用純的 RSA 認證N床!?僅針對 version 1 胡控!
PubkeyAuthentication yes 是否允許 Public Key 扳剿?只有 version 2
AuthorizedKeysFile .ssh/authorized_keys 設定若要使用不需要密碼登入的賬號時,那么那個賬號的存放檔案所在檔名昼激!
RhostsAuthentication no 本機系統(tǒng)不使用 .rhosts 庇绽, .rhosts 不安全!
IgnoreRhosts yes 是否取消使用 ~/.ssh/.rhosts 來做為認證癣猾!
RhostsRSAAuthentication no 針對 version 1 敛劝,使用 rhosts 檔案在/etc/hosts.equiv配合 RSA 演算方式來進行認證!
HostbasedAuthentication no 這個項目與上面的項目類似纷宇,不過是給 version 2 使用的夸盟!
IgnoreUserKnownHosts no 是否忽略家目錄內(nèi)的 ~/.ssh/known_hosts 這個檔案所記錄的主機內(nèi)容
PasswordAuthentication yes 密碼驗證當然是需要的!
PermitEmptyPasswords no 上面那一項如果設定為 yes 的話像捶,這一項就最好設定為 no 上陕,這個項目在是否允許以空的密碼登入!
ChallengeResponseAuthentication yes 挑戰(zhàn)任何的密碼認證拓春!所以释簿,任何 login.conf 規(guī)定的認證方式,均可適用硼莽!
PAMAuthenticationViaKbdInt yes 是否啟用其它的 PAM 模塊庶溶!啟用這個模塊將會導致 PasswordAuthentication 設定失效!
與Kerberos 有關(guān)的參數(shù)設定!底下不用設定
KerberosAuthentication no
KerberosOrLocalPasswd yes
KerberosTicketCleanup yes
KerberosTgtPassing no
有關(guān)在 X-Window 底下使用的相關(guān)設定
X11Forwarding yes
X11DisplayOffset 10
X11UseLocalhost yes
PrintMotd no 登入后是否顯示出一些信息呢偏螺?例如上次登入的時間行疏、地點等,預設是 yes 套像,但是酿联,如果為了安全,可以考慮改為 no 夺巩!
PrintLastLog yes 顯示上次登入的信息贞让!預設也是 yes
KeepAlive yes 一般而言,如果設定這項目的話柳譬,那么 SSH Server 會傳送KeepAlive 的訊息給 Client 端喳张,以確保兩者的聯(lián)機正常!在這個情況下美澳,任何一端死掉后蹲姐, SSH 可以立刻知道!而不會有僵尸程序的發(fā)生人柿!
UsePrivilegeSeparation yes 使用者的權(quán)限設定項目磁餐!
MaxStartups 10 同時允許幾個尚未登入的聯(lián)機畫面
DenyUsers * 設定受抵擋的使用者名稱
AllowUsers * 設定允許的使用者名稱
四丐一、ssh練習
1涉馁、配置ssh只能使用key登錄
(1)返咱、遠程主機的配置過程(主機192.168.10.13)
1、修改主機192.168.10.13的配置文件哥放,使其支持使用ssh私鑰登錄
Vim /etc/ssh/sshd_config
取消下面三行的注釋歼指,如圖1所示
RSAAuthentication yes ##設置是否使用RSA算法進行安全驗證
PubkeyAuthentication yes ##是否允許 Public Key ?只有 version 2
AuthorizedKeysFile .ssh/authorized_keys ##設定若要使用不需要密碼登入的賬號時甥雕,那么那個賬號的存放檔案所在檔名踩身!
圖1、取消相關(guān)注釋
重啟sshd服務即可
2社露、關(guān)閉root用戶使用密碼登錄
修改主機192.168.10.13的配置文件/etc/ssh/sshd_config挟阻,將PasswordAuthentication 后面的yes改為no,如圖2所示
PasswordAuthentication no ##設置是否使用口令驗證
圖2峭弟、把yes改為no
重啟sshd服務即可
(2)本機的配置過程(主機192.168.10.11)
1附鸽、使用ssh-keygen生成公鑰和私鑰,如圖3所示
圖3瞒瘸、ssh-keygen生成公鑰和私鑰
2坷备、直接使用ssh口令登錄來驗證剛剛的配置是否成功
在主機192.168.10.11上,ssh 192.168.10.13我們可以發(fā)現(xiàn)ssh不進去了情臭,如圖4所示
圖4省撑、驗證使用口令是否ssh成功
3赌蔑、將主機192.168.10.11的公鑰上傳到主機192.168.10.13上
(1)、安裝lrzsz服務
Yum install –y lrzsz
(2)竟秫、使用sz命令下載公鑰惯雳,如圖5所示
圖5、下載公鑰
(3)鸿摇、將公鑰上傳要主機192.168.10.13上,如圖6所示
圖6劈猿、上傳公鑰
(3)拙吉、將公鑰追加到文件authorized_keys里
[root@localhost ~]# cat id_rsa.pub >> /root/.ssh/authorized_keys
(4)、在主機192.168.10.11上驗證是否能夠成功ssh到主機192.168.10.13上揪荣,如圖7所示
圖7筷黔、成功ssh到主機192.168.10.13
2、指定可以登錄的主機和不可以登錄的主機
(1)方法一仗颈、修改文件/etc/hosts.allow和/etc/hosts.deny
1佛舱、修改主機192.168.10.13的文件/etc/hosts.allow和/etc/hosts.deny
在文件/etc/hosts.allow添加一條允許主機192.168.10.11 ssh的記錄,如圖8所示
圖8挨决、允許主機192.168.10.11 ssh
在文件/etc/hosts.deny添加一條拒絕主機192.168.10.12 ssh的記錄请祖,如圖9所示
圖9、拒絕主機192.168.10.12 ssh
2脖祈、驗證
在主機192.168.10.11上驗證成功ssh到主機192.168.10.13上肆捕,如圖10所示
圖10、主機192.168.10.11成功ssh到主機192.168.10.13
在主機192.168.10.12上驗證不能ssh到主機192.168.10.13上盖高,如圖11所示
圖11慎陵、主機192.168.10.12不能ssh到主機192.168.10.13
(2)方法二、修改文件/etc/ssh/sshd_config
1喻奥、修改文件/etc/ssh/sshd_config席纽,在最后面添加如圖12所示的兩行,然后重啟sshd服務
圖12撞蚕、添加的內(nèi)容
說明:
AllowUsers root@192.168.10.11 ##允許主機192.168.10.11 ssh登錄
DenyUsers root@192.168.10.12 ##禁止主機192.168.10.12 ssh登錄
2润梯、驗證
在主機192.168.10.11上驗證成功ssh到主機192.168.10.13上,如圖13所示
圖13甥厦、主機192.168.10.11成功ssh到主機192.168.10.13
在主機192.168.10.12上驗證不能ssh到主機192.168.10.13上仆救,如圖14所示
圖14、主機192.168.10.12不能ssh到主機192.168.10.13
3矫渔、查看Linux日志中有關(guān)ssh登錄成功和登錄失敗的日志
ssh的日志存放在文件/var/log/ secure里
例如:
查看ssh登錄失敗的日志彤蔽,如圖15所示
圖15、ssh登錄失敗日志
查看通過RSA成功ssh的日志庙洼,如圖16所示
圖16顿痪、通過RSA成功ssh的日志
五镊辕、在SecureCRT上配置公鑰的方法
在SecureCRT上配置公鑰的方法:
1、首先生成公鑰蚁袭。
打開SecureCRT程序征懈,點擊菜單欄的“工具”-》“創(chuàng)建公鑰”。按照步驟執(zhí)行揩悄。其中一步比較重要就是選擇公鑰的格式卖哎。建議選擇“OpenSSH”,否則在服務器端使用時需要轉(zhuǎn)換為OpenSSH格式。如果選錯了删性。重新生成一次就可以了亏娜。然后選擇公鑰私鑰存放的地方。默認Identity是私鑰蹬挺,Identity.pub是公鑰维贺。
2、把Identity.pub文件上傳到你要登陸的Linux服務器上巴帮。方法有很多溯泣,比如ssh(先不要配置為公鑰登陸),ftp等榕茧。上傳時選擇ASCII方式垃沦。
3、在SecureCRT創(chuàng)建服務器連接用押。協(xié)議使用ssh栏尚。在“鑒權(quán)”方法中,取消勾選“密碼”只恨。選擇“公鑰”译仗,然后點擊右邊的屬性按鈕,在對話框中官觅。
使用全局公鑰設置:表示所有連接都使用該公鑰連接服務器纵菌。
使用會話公鑰設置:可以分別為每個連接指定不同的公鑰。
下面的路徑就是指明私鑰的具體路徑休涤。注意了咱圆,這里要指明私鑰的路徑。
保存連接就可以了功氨。
