Linux系统之ssh命令

ssh命令用于远程登录上Linux主机。

常用格式:ssh [-l login_name] [-p port] [[email protected]]hostname
更详细的可以用ssh -h查看。

不指定用户:

ssh 192.168.0.11

指定用户:

ssh -l root 192.168.0.11

ssh [email protected]

如果修改过ssh登录端口的可以:

ssh -p 12333 192.168.0.11

ssh -l root -p 12333 216.230.230.114

ssh -p 12333 [email protected]

另外修改配置文件/etc/ssh/sshd_config,可以改ssh登录端口和禁止root登录。改端口可以防止被端口扫描。

编辑配置文件:

vim /etc/ssh/sshd_config

找到#Port 22,去掉注释,修改成一个五位的端口:

Port 12333

找到#PermitRootLogin yes,去掉注释,修改为:

PermitRootLogin no

重启sshd服务:

service sshd restart

默认配置文件和SSH端口

/etc/ssh/sshd_config:OpenSSH服务器配置文件;

/etc/ssh/ssh_config:OpenSSH客户端配置文件;

~/.ssh/:用户SSH配置目录;

~/.ssh/authorized_keys:用户公钥(RSA或DSA);

/etc/nologin:如果存在这个文件,sshd会拒绝除root用户外的其它用户登录;

/etc/hosts.allow和/etc/hosts.deny:定义tcp-wrapper执行的访问控制列表;

SSH默认端口:22

1、禁用OpenSSH服务器

工作站和笔记本电脑可以不用OpenSSH服务器,如果你不需要提供SSH远程登录和文件传输功能,可以禁用并删除SSHD服务器,CentOS / RHEL / Fedora Linux用户可以使用下面的yum命令禁用和删除openssh-server:

# chkconfig sshd off

# yum erase openssh-server

Debian / Ubuntu Linux用户可以使用下面的apt-get命令禁用和删除openssh-server:

# apt-get remove openssh-server

你可能需要更新你的iptables脚本,移除ssh例外规则,在CentOS / RHEL /
Fedora下,打开etc/sysconfig/iptables和/etc/sysconfig/ip6tables文件,删掉与ssh相关的例外规则,然后使用下面的命令重启iptables:

# service iptables restart

# service ip6tables restart

2、只使用SSH v2

打开sshd_config配置文件,如果没有就增加下面这一行设置:Protocol 2

3、限制用户的SSH访问

假设我们只要root,vivek和jerry用户能通过SSH使用系统,向sshd_config配置文件中添加:AllowUsers root vivek jerry

另外,你还可以允许所有用户通过SSH登录,但拒绝一部分用户,这时就需要向sshd_config配置文件中添加:DenyUsers saroj anjali foo

4、配置空闲超时退出时间间隔

sshd_config配置文件,确保有如下的配置项:

ClientAliveInterval 300

ClientAliveCountMax 0

上面的例子设置的空闲超时时间间隔是300秒,即5分钟,过了这个时间后,空闲用户将被自动踢出出去(可以理解为退出登录/注销)。

5、禁用.rhosts文件

不要读取用户的~/.rhosts和~/.shosts文件,使用下面的设置更新sshd_config配置文件:

IgnoreRhosts yes

6、禁用基于主机的身份验证

HostbasedAuthentication no

7、禁用root通过SSH登录

PermitRootLogin no

8、启用警告横幅

Banner /etc/issue

8、防火墙SSH端口:22

更新/etc/sysconfig/iptables(Red Hat及基于Red Hat的系统)文件,只接受来自192.168.1.0/24和202.54.1.5/29的连接,配置如下:

-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 22 -j ACCEPT

-A RH-Firewall-1-INPUT -s 202.54.1.5/29 -m state --state NEW -p tcp --dport 22 -

9、使用TCP Wrapper

TCP Wrapper是一个基于主机的网络ACL系统,用于过滤到互联网的网络访问,OpenSSH支持TCP
Wrapper,只需要更新你的/etc/hosts.allow文件,下面的例子表示仅允许来自192.168.1.2
和172.16.23.12的ssh访问:

192.168.1.2 172.16.23.12

关于如何在Linux / Mac OS X 和UNIX类操作系统上安装和配置TCP Wrapper,请访问http://www.cyberciti.biz/faq/tcp-wrappers-hosts-allow-deny-tutorial/

10、禁用空密码

你需要明确禁止密码为空的用户远程登录,使用下面的设置更新sshd_config配置文件:


PermitEmptyPasswords no

11、使用日志分析器

使用logwatch或logcheck读取你的日志,这些工具让你更容易阅读日志内容,它们可以遍历给定时间范围内的日志,并生成明了的报告,请确保sshd_config配置文件中将LogLevel设置为INFO或DEBUG了。

LogLevel INFO

Other

#  开启特权隔离

UsePrivilegeSeparation yes

# 防止使用不安全的home目录和密钥权限

StrictModes yes

# 开启反向名称检查

VerifyReverseMapping yes

# 设置是否需要端口转发

AllowTcpForwarding no

X11Forwarding no

#  指定是否允许密码验证,默认是yes

PasswordAuthentication no

最后警告大家,在重启或重新载入修改之前,先使用下面的命令验证一下sshd_config配置文件是否无误:

# /usr/sbin/sshd -t

原文地址:https://www.cnblogs.com/moying-wq/p/10795437.html

时间: 2024-10-14 17:21:10

Linux系统之ssh命令的相关文章

Linux系统没有ssh命令

问题:在使用ssh时,系统提示找不到该命令.查看ssh的安装情况,发现少了openssh-clients包:ssh命令输入客户端命令,系统默认不会安装openssh-clients包 [[email protected] tmp]# rpm -qa | grep ssh openssh-5.3p1-84.1.el6.x86_64 openssh-server-5.3p1-84.1.el6.x86_64 libssh2-1.4.2-1.el6.x86_64 通过yum安装即可 [[email pr

Linux系统下RPM命令和yum的使用

Linux系统下RPM命令和yum的使用 RPM:Redhat Packages Manager (红帽系列软件包的管理),主要用于安装.卸载.升级和管理软件. 一个包由下面几个部分构成: 例如:httpd-tools-2.4.6-17.e17.x86_64.rpm  这是一个软件包. httpd-tools  软件包的名称 2.4.6    原厂发布的版本号 17.e17  红帽给的版本号 x86_64  安装平台(还有i386.i686等平台). 查看包的详细信息:#rpm –qi 包名 #

使用kernel编译+busybox定制Linux系统--实现ssh远程登录+web服务的迷你主机

在运维工作中很多时候我们需要裁剪Linux系统,减少系统性能的消耗,提升系统服务的性能,以往通过光盘安装的Linux都是比较臃肿的,但出现这样的需求后,我可以对Linux进行重新编译再busybox工具移植即可实现,接下来我们一步一步实现kernel编译+busybox定制Linux系统--实现ssh远程登录+web服务: 实现过程如下: 一.规划子主机的磁盘存储规划 1.添加一个大小为10G的硬盘 2.查询系统硬件信息参数: # lspci  00:00.0 Host bridge: Inte

linux系统网络服务命令(一)

一.linux系统联网设置 我们在装完linux系统后,首先就是要先配置网络服务,毕竟如果计算机不联网那其就是个计算器.配置网络功能时,刚开始比较简单快捷的是用dhclient命令(使用动态主机配置协议动态的配置网络接口的网络参数),下面介绍使用配置文件来定义静态网络地址并链接互联网. 1.配置网卡文件: [[email protected] ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0  DEVICE=eth0 //此配置关联至的设备.设备

Ubuntu Linux系统下apt-get命令详解

Ubuntu Linux系统下apt-get命令详解(via|via) 常用的APT命令参数: apt-cache search package 搜索包 apt-cache show package 获取包的相关信息,如说明.大小.版本等 sudo apt-get install package 安装包 sudo apt-get install package - - reinstall 重新安装包 sudo apt-get -f install 修复安装"-f = ——fix-missing&

Linux系统下ssh登陆很慢的解决办法

Linux系统下ssh登陆很慢怎么办?很多的Linux用户发现连接上Linux服务器在输入用户名之后还要再等一下才能输入密码,时间过长了,现在小编与大家分享一下如何解决ssh登陆问题的问题,需要的朋友可以参考下 很多的Linux用户发现连接上Linux服务器在输入用户名之后还要再等一下才能输入密码,时间过长了,现在小编与大家分享一下如何解决ssh登陆问题的问题,希望对您有所帮助 . 1.我们平时登陆Linux服务器的时候,都需要在输入用户名之后再等待一下,这个时间因不同而等的时间不一样. 2.其

Linux系统 rm 删除命令 “危险”!!!

Linux系统 rm 删除命令(危险) 简述:在linux系统运维工作中rm删除命令,十分危险,因为权限实在太大了,一个不小心就会把整个服务器的数据瞬间删除掉,所以我们要怎么样巧妙的使用rm命令删除文件,并且杜绝误删的情况发生呢? 方法一: 说明:我们可以通过find查找命令,将需要删除的文件查找到后在进行准确无误的删除. 命令行操作: [[email protected] oldboy]# find ./ -type f -name "oldboy" -execrm -f {} \;

Linux系统中last命令的用法

1.作用 linux系统中last命令的作用是显示近期用户或终端的登录情况,它的使用权限是所有用户.通过last命令查看该程序的log,管理员可以获知谁曾经或企图连接系统. 2.格式 last [—R] [—n][-f file][-t tty] [—h 节点][-I —IP][—1][-y][ID] 3.主要参数 - R: 省略 hostname 的栏位 -n:指定输出记录的条数. -f file:指定用文件file作为查询用的log文件. -t tty:只显示指定的虚拟控制台上登录情况. -

Linux系统巡检常用命令

# uname -a # 查看内核/操作系统/CPU信息 # head -n 1 /etc/issue # 查看操作系统版本 # cat /proc/cpuinfo # 查看CPU信息 # hostname # 查看计算机名 # lspci -tv # 列出所有PCI设备 # lsusb -tv # 列出所有USB设备 # lsmod # 列出加载的内核模块 # env # 查看环境变量 # free -m # 查看内存使用量和交换区使用量 # df -h # 查看各分区使用情况 # du -s