Linux就该这么学
Linux就该这么学
  1. 第0章 咱们先来谈谈学习方法和红帽系统。
    1. 0.1 本书作者简介
    2. 0.2 学习是件苦差
    3. 0.3 开源共享精神
    4. 0.4 为什么学习Linux系统?
    5. 0.5 常见的Linux系统版本
    6. 0.6 优秀的RHEL7系统
    7. 0.7 了解红帽认证
    8. 0.8 感谢你们相信并选择我
  2. 第1章 部署虚拟环境安装linux系统。
    1. 1.1 准备您的工具
    2. 1.2 安装配置VM虚拟机
    3. 1.3 安装您的Linux系统
    4. 1.4 重置root用户密码
    5. 1.5 RPM红帽软件包
    6. 1.6 Yum软件仓库
    7. 1.7 Systemd初始化进程
  3. 第2章 新手必须掌握的Linux命令。
    1. 2.1 强大好用的SHELL
    2. 2.2 执行查看帮助命令
    3. 2.3 常用系统工作命令
    4. 2.4 系统状态检测命令
    5. 2.5 工作目录切换命令
    6. 2.6 文本文件编辑命令
    7. 2.7 文件目录管理命令
    8. 2.8 打包压缩与搜索命令
  4. 第3章 管道符、重定向与环境变量。
    1. 3.1 输入输出重定向
    2. 3.2 管道命令符
    3. 3.3 命令行的通配符
    4. 3.4 常用的转义字符
    5. 3.5 重要的环境变量
  5. 第4章 Vim编辑器与Shell命令脚本。
    1. 4.1 Vim文本编辑器
    2. 4.1.1 编写简单文档
    3. 4.1.2 配置主机名称
    4. 4.1.3 配置网卡信息
    5. 4.1.4 配置Yum仓库
    6. 4.2.1 编写简单的脚本
    7. 4.2.2 接收用户的参数
    8. 4.2.3 判断用户的参数
    9. 4.3.1 if条件测试语句
    10. 4.3.2 for条件循环语句
    11. 4.3.3 while条件循环语句
    12. 4.3.4 case条件测试语句
    13. 4.4 计划任务服务程序
  6. 第5章 用户身份与文件权限。
    1. 5.1 用户身份与能力
    2. 5.2 文件权限与归属
    3. 5.3 文件的特殊权限
    4. 5.4 文件的隐藏属性
    5. 5.5 文件访问控制列表
    6. 5.6 su命令与sudo服务
  7. 第6章 存储结构与磁盘划分。
    1. 6.1 一切从“/”开始
    2. 6.2 物理设备的命名规则
    3. 6.3 文件系统与数据资料
    4. 6.4 挂载硬件设备
    5. 6.5 添加硬盘设备
    6. 6.6 添加交换分区
    7. 6.7 磁盘容量配额
    8. 6.8 软硬方式链接
  8. 第7章 使用RAID与LVM磁盘阵列技术。
    1. 7.1 RAID磁盘冗余阵列
    2. 7.1.1 部署磁盘阵列
    3. 7.1.2 损坏磁盘阵列及修复
    4. 7.1.3 磁盘阵列+备份盘
    5. 7.2 LVM逻辑卷管理器
    6. 7.2.1 部署逻辑卷
    7. 7.2.2 扩容逻辑卷
    8. 7.2.3 缩小逻辑卷
    9. 7.2.4 逻辑卷快照
    10. 7.2.5 删除逻辑卷
  9. 第8章 Iptables与Firewalld防火墙。
    1. 8.1 防火墙管理工具
    2. 8.2 Iptables
    3. 8.2.1 策略与规则链
    4. 8.2.2 基本的命令参数
    5. 8.3 Firewalld
    6. 8.3.1 终端管理工具
    7. 8.3.2 图形管理工具
    8. 8.4 服务的访问控制列表
  10. 第9章 使用ssh服务管理远程主机。
    1. 9.1.1 配置网卡参数
    2. 9.1.2 创建网络会话
    3. 9.1.3 绑定两块网卡
    4. 9.2.1 配置sshd服务
    5. 9.2.2 安全密钥验证
    6. 9.2.3 远程传输命令
    7. 9.3 不间断会话服务
    8. 9.3.1 管理远程会话
    9. 9.3.2 会话共享功能
  11. 第10章 使用Apache服务部署静态网站。
    1. 10.1 网站服务程序
    2. 10.2 配置服务文件参数
    3. 10.3 SELinux安全子系统
    4. 10.4 个人用户主页功能
    5. 10.5 虚拟网站主机功能
    6. 10.5.1 基于IP地址
    7. 10.5.2 基于主机域名
    8. 10.5.3 基于端口号
    9. 10.6 Apache的访问控制
  12. 第11章 使用Vsftpd服务传输文件。
    1. 11.1 文件传输协议
    2. 11.2 Vsftpd服务程序
    3. 11.2.1 匿名访问模式
    4. 11.2.2 本地用户模式
    5. 11.2.3 虚拟用户模式
    6. 11.3 TFTP简单文件传输协议
  13. 第12章 使用Samba或NFS实现文件共享。
    1. 12.1 SAMBA文件共享服务
    2. 12.1.1 配置共享资源
    3. 12.1.2 Windows挂载共享
    4. 12.1.3 Linux挂载共享
    5. 12.2 NFS网络文件系统
    6. 12.3 AutoFs自动挂载服务
  14. 第13章 使用Bind提供域名解析服务。
    1. 13.1 DNS域名解析服务
    2. 13.2 安装Bind服务程序
    3. 13.2.1 正向解析实验
    4. 13.2.2 反向解析实验
    5. 13.3 部署从服务器
    6. 13.4 安全的加密传输
    7. 13.5 部署缓存服务器
    8. 13.6 分离解析技术
  15. 第14章 使用DHCP动态管理主机地址。
    1. 14.1 动态主机地址管理协议
    2. 14.2 部署dhcpd服务程序
    3. 14.3 自动管理IP地址
    4. 14.4 分配固定IP地址
  16. 第15章 使用Postfix与Dovecot部署邮件系统。
    1. 15.1 电子邮件系统
    2. 15.2.1 配置Postfix服务程序
    3. 15.2.2 配置Dovecot服务程序
    4. 15.3 设置用户别名邮箱
  17. 第16章 使用Squid部署代理缓存服务。
    1. 16.1 代理缓存服务
    2. 16.2 配置Squid服务程序
    3. 16.3.1 标准正向代理
    4. 16.3.2 ACL访问控制
    5. 16.3.3 透明正向代理
    6. 16.4 反向代理
  18. 第17章 使用iSCSI服务部署网络存储。
    1. 17.1 iSCSI技术介绍
    2. 17.2 创建RAID磁盘阵列
    3. 17.3 配置iSCSI服务端
    4. 17.4 配置Linux客户端
  19. 第18章 使用MariaDB数据库管理系统。
    1. 18.1 数据库管理系统
    2. 18.2 初始化mariaDB服务
    3. 18.3 管理用户以及授权
    4. 18.4 创建数据库与表单
    5. 18.5 管理表单及数据
    6. 18.6 数据库的备份及恢复
  20. 第19章 使用PXE+Kickstart无人值守安装服务。
    1. 19.1 无人值守系统
    2. 19.2.1 配置DHCP服务程序
    3. 19.2.2 配置TFTP服务程序
    4. 19.2.3 配置SYSLinux服务程序
    5. 19.2.4 配置VSFtpd服务程序
    6. 19.2.5 创建KickStart应答文件
    7. 19.3 自动部署客户机
  21. 第20章 使用LNMP架构部署动态网站环境。
    1. 20.1 源码包程序
    2. 20.2 LNMP动态网站架构
    3. 20.2.1 配置Mysql服务
    4. 20.2.2 配置Nginx服务
    5. 20.2.3 配置php服务
    6. 20.3 搭建Discuz论坛
    7. 20.4 选购服务器主机
阅读(3.9k) 书签 (0) 我要纠错

9.2.1 配置sshd服务

2022-05-31 11:19 更新

SSH(Secure Shell)是一种能够以安全的方式提供远程登录的协议,也是目前远程管理Linux系统的首选方式。在此之前,一般使用FTP或Telnet来进行远程登录。但是因为它们以明文的形式在网络中传输账户密码和数据信息,因此很不安全,很容易受到黑客发起的中间人攻击,这轻则篡改传输的数据信息,重则直接抓取服务器的账户密码。

想要使用SSH协议来远程管理Linux系统,则需要部署配置sshd服务程序。sshd是基于SSH协议开发的一款远程管理服务程序,不仅使用起来方便快捷,而且能够提供两种安全验证的方法:

基于口令的验证—用账户和密码来验证登录;

基于密钥的验证—需要在本地生成密钥对,然后把密钥对中的公钥上传至服务器,并与服务器中的公钥进行比较;该方式相较来说更安全。

前文曾多次强调“Linux系统中的一切都是文件”,因此在Linux系统中修改服务程序的运行参数,实际上就是在修改程序配置文件的过程。sshd服务的配置信息保存在/etc/ssh/sshd_config文件中。运维人员一般会把保存着最主要配置信息的文件称为主配置文件,而配置文件中有许多以井号开头的注释行,要想让这些配置参数生效,需要在修改参数后再去掉前面的井号。sshd服务配置文件中包含的重要参数如表9-1所示。

表9-1 sshd服务配置文件中包含的参数以及作用

参数 作用
Port 22 默认的sshd服务端口
ListenAddress 0.0.0.0 设定sshd服务器监听的IP地址
Protocol 2 SSH协议的版本号
HostKey /tc/ssh/ssh_host_key SSH协议版本为1时,DES私钥存放的位置
HostKey /etc/ssh/ssh_host_rsa_key SSH协议版本为2时,RSA私钥存放的位置
HostKey /etc/ssh/ssh_host_dsa_key SSH协议版本为2时,DSA私钥存放的位置
PermitRootLogin yes 设定是否允许root管理员直接登录
StrictModes yes 当远程用户的私钥改变时直接拒绝连接
MaxAuthTries 6 最大密码尝试次数
MaxSessions 10 最大终端数
PasswordAuthentication yes 是否允许密码验证
PermitEmptyPasswords no 是否允许空密码登录(很不安全)

在RHEL 7系统中,已经默认安装并启用了sshd服务程序。接下来使用ssh命令进行远程连接,其格式为“ssh [参数] 主机IP地址”。要退出登录则执行exit命令。

    [root@linuxprobe ~]# ssh 192.168.10.10
    The authenticity of host '192.168.10.10 (192.168.10.10)' can't be established.
    ECDSA key fingerprint is 4f:a7:91:9e:8d:6f:b9:48:02:32:61:95:48:ed:1e:3f.
    Are you sure you want to continue connecting (yes/no)? yes
    Warning: Permanently added '192.168.10.10' (ECDSA) to the list of known hosts.
    root@192.168.10.10's password:此处输入远程主机root管理员的密码
    Last login: Wed Apr 15 15:54:21 2017 from 192.168.10.10
    [root@linuxprobe ~]# 
    [root@linuxprobe ~]# exit
    logout
    Connection to 192.168.10.10 closed.

如果禁止以root管理员的身份远程登录到服务器,则可以大大降低被黑客暴力破解密码的几率。下面进行相应配置。首先使用Vim文本编辑器打开sshd服务的主配置文件,然后把第48行#PermitRootLogin yes参数前的井号(#)去掉,并把参数值yes改成no,这样就不再允许root管理员远程登录了。记得最后保存文件并退出。

    [root@linuxprobe ~]# vim /etc/ssh/sshd_config 
     ………………省略部分输出信息………………
     46 
     47 #LoginGraceTime 2m
     48 PermitRootLogin no
     49 #StrictModes yes
     50 #MaxAuthTries 6
     51 #MaxSessions 10
     52
     ………………省略部分输出信息………………

再次提醒的是,一般的服务程序并不会在配置文件修改之后立即获得最新的参数。如果想让新配置文件生效,则需要手动重启相应的服务程序。最好也将这个服务程序加入到开机启动项中,这样系统在下一次启动时,该服务程序便会自动运行,继续为用户提供服务。

    [root@linuxprobe ~]# systemctl restart sshd
    [root@linuxprobe ~]# systemctl enable sshd

这样一来,当root管理员再来尝试访问sshd服务程序时,系统会提示不可访问的错误信息。虽然sshd服务程序的参数相对比较简单,但这就是在Linux系统中配置服务程序的正确方法。大家要做的是举一反三、活学活用,这样即便以后遇到了陌生的服务,也一样可以搞定了。

    [root@linuxprobe ~]# ssh 192.168.10.10
    root@192.168.10.10's password:此处输入远程主机root用户的密码
    Permission denied, please try again.
以上内容是否对您有帮助:
9.1.3 绑定两块网卡
9.2.2 安全密钥验证

推荐文章

推荐教程

推荐课程

在线笔记
App下载
App下载

扫描二维码

下载编程狮App

公众号
微信公众号

编程狮公众号