虚拟机console基础环境配置——sshd安全登陆

1. 概述
2. xshell远程登陆
3. 配置sshd服务
3.1 修改配置文件
3.2 重启sshd服务
4. 配置密钥登陆
4.1 生成密钥对
4.2 上传(下载)公密钥
4.3 公钥写入console的/root/.ssh/authorized_keys
4.4 创建连接测试密钥登陆
4.5 配置sshd

1. 概述

在上一篇博客中,主要介绍了通过VMware workstation为虚拟机console安装最小化系统。本篇博客将介绍如何安全登陆console。

登陆Linux主机的方式有很多种,可归类为本地登陆或者远程登陆。

对于VMware workstation创建的虚拟机,本地登陆很简单,这里不做介绍。主要是介绍通过ssh协议进行远程登陆。

有关ssh协议详解参照博客《ssh协议详解》

2. xshell远程登陆

登陆Linux系统,有多种方式,比如本地,远程登陆;也有多种协议选择:比如telnet,ssh,vnc等;同时对于用户来说,根据自己PC的OS类型,也有很方式,比如采用终端,或者终端模拟工具等。

xshell是Windows系统下,包含了多种协议的终端工具,可以用来创建ssh连接,登陆远程主机。

xshelle登陆远程主机,参见博客《xshell登陆远程Linux主机.md

3. 配置sshd服务

远程登陆主机,最重要的是保证主机安全。通过配置sshd服务,修改默认参数,能够从一定程度上保存主机安全。

3.1 修改配置文件

编辑sshd服务端配置文件:vi /etc/ssh/sshd_config

有关sshd服务的详细配置,参照博客《sshd服务配置详解》

修改内容如下:

Port 2222
ListenAddress 192.168.80.8
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeyFile .ssh/authorized_keys
PasswordAuthencation yes
PermitEmptyPasswords no
UseDNS no

初步配置如上述内容。这样的配置表示,console的sshd服务监听在192.168.80.8:2222端口。这是安全登陆的第一步。更加详细的配置以后配置。

3.2 重启sshd服务

执行命令service sshd restart,重启sshd服务即可。

至此,已经修改了ssh的登陆端口。但依然是采用密码认证方式,密码容易遗忘,且很容易被窃取。因此需要配置密钥登陆方式。

运维工作中,ssh是远程管理的基础网络协议。ssh密码交互模式是远程管理的最大障碍。因此配置免交互的方式之一就是配置ssh密钥认证。

4. 配置密钥登陆

4.1 生成密钥对

生产公密钥对的方式有两种:

  1. 通过ssh客户端工具生成,如xshell,然后上传公钥至服务器

    xshell密钥对生成,参见博客《xshell生成密钥对.md

  2. 通过ssh服务端生成,下载私钥,导入到xshell中

    Linux生成密钥对,参见博客《Linux主机生成密钥对.md

两种方式均可,采用第1种方式较为安全,博客两种都有涉及。

采用第一种方式时,需要将公钥上传至服务器,并写入认证文件种;采用第二种方式,需要下载密钥,并导入到xshell等终端工具中。

4.2 上传(下载)公密钥

本篇博客中,因为console是最小化安装,并且暂未安装vsftpd服务器实现FTP传输,也未安装VMware Tools配置文件共享,因此可以使用sftp进行公密钥传输。

4.3 公钥写入console的/root/.ssh/authorized_keys

这里需要注意三个问题:

  • /root/.ssh目录若没有,可以手动创建,并且保证权限属性为700
  • /root/.ssh/authorized_keys文件没有,可以手动创建,并且保证文件权限属性为600
  • 写入公钥到认证文件时,注意不要覆盖,而是追加

4.4 创建连接测试密钥登陆

在测试登陆时,一定要确保防火墙和SElinux处于暂时关闭状态,否则会有错误,具体参见博客《Error【0001】:主机密钥登陆问题.md

4.5 配置sshd

本次配置,主要包括:禁止密码登陆,禁止root使用密码登陆

配置/etc/ssh/sshd_config的内容如下:

Port 2222
ListenAddress 192.168.80.8
Protocol 2
SyslogFacility AUTHPRIV
PermitRootLogin without-password
RSAAuthentication yes
AuthorizedKeysFile  .ssh/authorized_keys
PermitEmptyPasswords no
PasswordAuthentication no
ChallengeResponseAuthentication no
GSSAPIAuthentication no
GSSAPICleanupCredentials no
UsePAM yes
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS
X11Forwarding yes
UseDNS no
Subsystem   sftp    /usr/libexec/openssh/sftp-server

原文地址:https://www.cnblogs.com/liwanliangblog/p/9193874.html

时间: 2024-08-29 06:30:07

虚拟机console基础环境配置——sshd安全登陆的相关文章

虚拟机console基础环境配置——PXE引导无人值守安装环境配置

1. 概述2. 部署过程2.1 部署DHCP服务器2.1.1 YUM安装依赖环境2.1.2 配置/etc/dhcp/dhcpd.conf2.2 部署TFTP服务器2.2.1 安装xinetd服务2.2.2 安装tftp-server2.2.3 配置tftp-server2.2.4 启动xinetd服务2.3 配置pxelinux引导环境2.3.1 安装syslinux2.3.2 编辑default和oslist2.3.3 无盘工作站2.4 配置镜像站点2.4.1 配置操作系统镜像站点2.4.2

虚拟机console基础环境配置——系统镜像站点配置

1. 概述2. 部署HTTP服务器2.1 YUM安装httpd2.2 配置httpd2.3 启动httpdf2.4 测试httpd3. 部署FTP服务器3.1 YUM安装vsftpd3.2 配置vsftpd3.3 查看ftp服务4. NFS服务部署4.1 YUM安装依赖软件4.2 配置共享目录4.3 启动服务4.3 验证挂载 1. 概述 本篇博客主要为console配置HTTP/FTP/NFS三大文件共享服务器,为以后工作做准备. HTTP服务部署,仅作简单的配置,用坐系统镜像站点 FTP服务器

虚拟机console基础环境部署——工作目录准备

1. 概述2. 相关约定2.1 删除旧文件2.2 创建全局共享文件目录2.3 创建全局软件安装目录2.4 创建数据放置目录3. 总结 1. 概述 上述博客中,已经为console最小化安装了操作系统. 接下来,就要通过console来做一些初始的工作目录.这些目录主要用作以后的全局文件,共享给各个虚拟机使用,包括: 相关配置类confs 全局脚本类scripts 软件包类softs 环境配置类sysenv 前面的博客中,已经将宿主机对应的目录共享给了console.VMware Tools提供的

虚拟机console基础环境准备——挂载数据盘

1. 概述2. 操作2.1 查看磁盘设备2.2 格式化磁盘设备2.3 挂载使用2.4 查看挂载 1. 概述 OS与DATA分离,是运维人员必须养成的规范的职业意识.没有任何事情是可靠的,因此需要做好预防工作. 将OS与DATA分离,一方面能够避免OS故障时,导致数据无法取出,另一方面用不同的磁盘存放不同的内容,是非常重要的一个环节.即便是同一块磁盘,分区也是保护处于该磁盘上不同文件内容的重要手段之一. 总之,运维便是运筹帷幄,我们不仅要面对已经发生的事情,也要面对可能发生的事情. 2. 操作 在

虚拟机console基础环境部署——系统基础环境

1. 概述2. 工具类安装2.1 安装vim2.2 安装tree2.3 安装expect3. 编译环境类安装 1. 概述 本系列博客是在最小化安装CentOS6.5的基础上,通过配置本地YUM的方式,来后期部署需要的环境,或安装需要的工具. 因为通过YUM安装时,YUM会在程序日志/var/log/yum.log记录安装的依赖软件包,因此建议采用YUM安装时,单独安装,能够通过日志查看软件或者工具的依赖关系. 通过系统日志/var/log/messages也能够查看到YUM的日志信息 具体的YU

Oracle VM + centos7.1+openstack kilo 多结点安装教程---基础环境配置(2)

声明:最近在进行openstack的kilo版本的安装,发现现有的网络教程非常少,而且多数教程并不能安装成功,故写此教程.openstack的安装较为复杂,本教程并不能保证在不同环境下也能将其安装成功.个人安装教程,也难免出错.同时,安装是在虚拟机环境下,真实安装环境需要进行更改. 转载请声明出处: 作者:张某人ER 原文链接:http://blog.csdn.net/xinxing__8185/article/details/51042654 第一部分 基础环境配置 (2) 下面设置contr

Oracle VM + centos7.1+openstack kilo 多结点安装教程---基础环境配置(4)

声明:最近在进行openstack的kilo版本的安装,发现现有的网络教程非常少,而且多数教程并不能安装成功,故写此教程.openstack的安装较为复杂,本教程并不能保证在不同环境下也能将其安装成功.个人安装教程,也难免出错.同时,安装是在虚拟机环境下,真实安装环境需要进行更改. 转载请声明出处: 作者:张某人ER 原文链接:http://blog.csdn.net/xinxing__8185/article/details/51103863 第一部分 基础环境配置 (4) 接下来 配置com

【No.1 Ionic】基础环境配置

Node 安装 git clone https://github.com/nodejs/node cd node ./configure make sudo make install node -v npm -v npm设置淘宝镜像 npm config set registry https://registry.npm.taobao.org npm config set disturl https://npm.taobao.org/dist IOS Simulator sudo npm ins

SUBLIME TEXT2 基础环境配置+python

SUBLIME TEXT2 windows基础环境配置+python 软件版本sublime text 2, PC环境:windows 7, 32 bit 配置时间:2014年11月19日 1.默认安装位置修改为: C:\Program Files\SublimeText (安装位置默认为C:\Program Files\Sublime Text 2,但安装后会出现error trying to parse settings:……的错误,目前不知道原因.) 2.安装package control