linux配置ssh centos ssh配置

云服务器测评

2025-1-10

linux相关教程

大家好，关于linux配置ssh很多朋友都还不太明白，今天小编就来为大家分享关于centos ssh配置的知识，希望对各位有所帮助！

Linux配置ssh秘钥登录

Linux配置SSH秘钥登录：增强安全性的实践

为提升SSH设备的安全性，避免暴力破解，我们通常会选择使用密钥而非密码登录。通过非对称加密算法，SSH采用密钥对机制来实现这种更为安全的认证方式。

原理与操作

1.1密钥生成：使用密钥生成器生成一对密钥——私钥(id_rsa)和公钥(id_rsa.pub)。私钥保留在本地，而公钥则安装在服务器的authorized_keys文件中，供客户端验证。

1.2文件作用：id_rsa是私钥，保证只有持有者能够登录；id_rsa.pub是公钥，用于服务器验证；known_hosts记录了访问过的服务器公钥，防止DNS欺骗。

配置步骤

2.1启用SSH密钥登录：管理员需在服务器的sshd_config文件中开启密钥登录，并关闭密码登录功能。

2.2密钥对生成：在服务器或本地电脑生成密钥对，如在服务器上，通过命令行依次进行操作，生成的私钥和公钥分别存放在.ssh目录下的相应文件中。

2.3安装公钥：将服务器上的id_rsa.pub内容添加到服务器的authorized_keys，确保客户端能够使用私钥进行验证。

2.4客户端登录：在客户端下载服务器的私钥，通常放在一个安全的位置，如新建的ssh文件夹，然后利用私钥进行无密码登录。

Linux环境中远程开启ssh端口和更改ssh用户根目录

远程密令临时开启ssh端口

nux服务器，我们一般是通过ssh通道远程管理，这就需要我们开启ssh端口，如22。但开启端口有被暴力破解的风险，你会说可以设置复杂的密码或使用证书避免。就算破解不了密码，但openssh也可能会有漏洞，你会说可以更改ssh端口，但还是有可能被扫描出来。还有一种选择，我们可以只允许指定IP访问ssh，通过vpn登录管理服务器，但局限很明显，万一紧急情况vpn登录不上去了怎么办。下面给出一种个人觉得比较满意的解决方案，即使用iptables的recent模块，通过密令临时开启ssh端口。当然，密令需要保管好，防止外泄。

1、iptables规则设定

#指定78字节的icmp数据包(包含IP头部20字节，ICMP头部8字节)通过被加入sshopen列表。

代码如下:

iptables-A INPUT-p icmp--icmp-type 8-m length--length 78-m recent--set--name sshopen--rsource-j ACCEPT

#检查sshopen列表是否存在你的来源IP，如果存在，即从第一次使用密令开始15秒钟内开启ssh端口22,超过15秒端口自动关闭，不再允许新连接，已连接的不会断开。

代码如下:

iptables-A INPUT-p tcp--dport 22--syn-m recent--rcheck--seconds 15--name sshopen--rsource-j ACCEPT

2、临时开启ssh端口密令

linux下:

代码如下:

ping-s 50 host

3、我目前使用的iptables规则

代码如下:

-A INPUT-m state--state RELATED,ESTABLISHED-j ACCEPT

-A INPUT-p tcp-m tcp--dport 80-j ACCEPT

-A INPUT-p tcp-m tcp--dport 443-j ACCEPT

-A INPUT-p tcp-m tcp--dport 123-j ACCEPT

-A INPUT-p icmp-m icmp--icmp-type 8-m length--length 50-m recent--set--name sshopen--rsource-j ACCEPT

-A INPUT-p tcp-m tcp--dport 22--syn-m recent--rcheck--seconds 15--name sshopen--rsource-j ACCEPT

-A INPUT-i lo-j ACCEPT

-A INPUT-p icmp-m icmp--icmp-type 8-j ACCEPT

-A INPUT-p icmp-m icmp--icmp-type 11-j ACCEPT

-A OUTPUT-m state--state RELATED,ESTABLISHED-j ACCEPT

-A OUTPUT-o lo-j ACCEPT

-A OUTPUT-p tcp-m tcp--dport 80-j ACCEPT

-A OUTPUT-p tcp-m tcp--dport 443-j ACCEPT

-A OUTPUT-p icmp-m icmp--icmp-type 8-j ACCEPT

-A OUTPUT-p icmp-m icmp--icmp-type 11-j ACCEPT

使用jailkit chroot更改ssh用户根目录

安装jailkit

代码如下:

cd/tmp

wget

tar xzf jailkit-2.16.tar.gz

cd jailkit-2.16

./configure

make

make install

cp extra/jailkit/etc/init.d/jailkit

chmod u+x/etc/init.d/jailkit

chkconfig jailkit on

初始化chroot环境

代码如下:

jk_init-v-j/home/chroot sftp scp jk_lsh netutils extendedshell

service jailkit start

代码如下:

useradd www.-m

echo www.:password| chpasswd

chroot用户

代码如下:

jk_jailuser-m-n-j/home/chroot--shell=/bin/bash www.

Linux下的SSH端口转发配置方法

通常情况下两个不同的网络之间总会开放某一些特定的端口用于通讯使用，而SSH所使用的22端口通常就在开放之列。基于SSH的端口转发就是利用SSH作为中间的代理，达到绕过两个网络之间的限制，顺利的进行任意的端口的访问。

端口转发可以分为三种，正向端口转发，反向端口转发和动态端口转发。

为了演示这三种端口转发方式的用法我们先假设存在有2个网域Office和Prod，在网域Office中有两个主机A和B，在网域Prod中两个主机C和D，这两个网域之间除了主机A能够访问C的22端口之外，其他所有的访问都被网络规则所禁止，也就是说A机器无法访问C的除22之外的所有其他端口，也无法访问到D主机；而主机C和D根本就无法访问A或者B中的任意一台主机。

top任务一：正向端口转发

现在开始我们的第一个任务：假设主机D上面安装有数据库服务，监听的端口是8888，如果我想通过Office域中的主机A直接访问D主机中的数据库那该怎么办呢？这就要用到SSH的正向端口功能了。在这先要说明一下，在Linux中，所有的端口转发的操作都可以通过使用自带的工具ssh来完成。

完成任务一的命令很简单，如下：

复制代码

代码如下:

ssh-L 8000:host-d.prod.mycompany.com:8888 oracle@host-c.prod.mycompany.com-N

现在解释一下上面的命令：

参数-L

表示在本地开启监听的端口，后面紧跟的参数格式为::，表示将本地的8000端口转发到远程主机D的8888端口。

orainst@host-c.prod.mycompany.com

这个参数指定要使用ssh登录的主机以及登录的用户名，这里使用的主机和前一个参数中的主机必须是在同一个网域当中，并且能相互访问，当然也可以是同一个机器。

参数-N

不执行远程的命令。这个参数在这里是可选的。

现在在主机A上面运行上面的命令之后输入正确的密码，然后我们先登录主机A查看一下当前端口的状态：

复制代码

代码如下:

oracle@host-a[orcl]:~$ netstat-natp|grep 8000

(Not all processes could be identified, non-owned process info

will not be shown, you would have to be root to see it all.)

tcp 0 0 127.0.0.1:8000 0.0.0.0:* LISTEN 3767/ssh

tcp 0 0::1:8000:::* LISTEN 3767/ssh

可以看到在主机A上已经存在8000端口准备随时接受连接了，不过要注意的是这里监听的网络是127.0.0.1(::1)，也就是说这种连接仅限于本地操作。

接下来就是配置下TNSNAMES了，配置如下：

复制代码

代码如下:

orcl=

(DESCRIPTION=

(ENABLE=BROKEN)

(ADDRESS_LIST=

(FAILOVER=ON)

(LOAD_BALANCE=YES)

(ADDRESS=(PROTOCOL=TCP)(HOST=localhost)(PORT=8000))

)

(CONNECT_DATA=

(SID=orcl)

)

然后tnsping测试一下：

复制代码

代码如下:

oracle@host-a[orcl]:~$ tnsping orcl

TNS Ping Utility for Linux: Version 11.1.0.7.0- Production on 05-JUL-2010 09:13:25

Used parameter files:

Used TNSNAMES adapter to resolve the alias

Attempting to contact(DESCRIPTION=(ENABLE=BROKEN)(ADDRESS_LIST=(FAILOVER=ON)(LOAD_BALANCE=YES)(ADDRESS=(PROTOCOL=TCP)(HOST=localhost)(PORT=8000)))(CONNECT_DATA=(SID=orcl)))

OK(340 msec)

大功告成。

top任务二：反向端口转发

因为网域Prod不能以任何的方式访问网域Office，假设这两个网域所处的物理位置完全的不同，那当那一天处于网域Prod的时候又想操作处于网域Office中的主机A，那怎么办呢？这就是要用到反向端口转发的时候了。

反向端口转发的基本思想就是从主机A建立到主机C的ssh连接的同时在主机C上打开一个端口可以反向连接到主机B上面的某一个端口，当然从主机控制上面来说连接到主机B的22(ssh端口)是最实惠的了，现在要做的就是在主机A上面运行如下的命令：

复制代码

代码如下:

ssh-R 8888:localhosthost-b.office.mycompany.com:22 oracle@host-c.prod.mycompany.com-N

同样的，先解释下上面的命令：

参数-R

创建一个反向的端口转发，后面紧跟的参数格式为::，这里监听的端口是8888，反向连接要到C主机原来根本无法访问的主机B的22端口。

oracle@host-c.prod.mycompany.com

参数-N

不执行远程的命令。这个参数在这里是可选的。

在主机A上面执行上面的命令成功之后就可以登录到主机C检查一下效果了，首先是检查8888端口的开发状态：

复制代码

代码如下:

oracle@host-c:~$ netstat-natp|grep 8888

(No info could be read for"-p": geteuid()=1001 but you should be root.)

tcp 0 0 127.0.0.1:8888 0.0.0.0:* LISTEN-

tcp6 0 0::1:8888:::* LISTEN-

然后就是测试下这个端口的可用性，执行如下的命令：

复制代码

代码如下:

oracle@host-c:~$ ssh-p 8888 oracle@localhost

Password:

Last login: Mon Jul 5 02:34:50 2010 from 172.24.43.103

oracle@host-b.office$ hostname

host-b.office.mycompany.com

oracle@host-b.office$

至此现在已经成功的使用唯一开放的ssh端口建立了一个本来是完全不可能的连接。这种方法是非常有用的，具体在什么时候用就靠大家的发挥了。

top任务三：动态端口转发

动态端口转发实际上是建立一个ssh加密的SOCKS4/5代理通道，任何支持SOCKS4/5协议的程序都可以使用这个加密的通道来进行代理访问，现在这种方法最常用的地方就是翻墙了，使用的方法也很简单，命令如下：

复制代码

代码如下:

ssh-D 8888 username@proxyhost.mycompany.com-N

命令解释：

参数-D

建立一个动态的SOCKS4/5的代理通道，紧接着的是本地监听的端口号。

username@proxyhost.mycompany.com

参数-N

不执行远程的命令。这个参数在这里是可选的。

因为这种方法对于办公方面没有什么帮助，所以也就不再多说。