共計 1693 個字符，預計需要花費 5 分鐘才能閱讀完成。

如何進行 ssh 的使用與配置，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面丸趣 TV 小編將為大家詳細講解，有這方面需求的人可以來學習下，希望你能有所收獲。

一、ssh 基本配置

開兩臺 centos 系統(tǒng) 7 -1（服務(wù)端）、7-2（客戶端）
用 xshell 連接，證明 sshd 的 22 端口開放出來了

配置文件所在位置

進入服務(wù)端配置文件，進行一系列配置：端口 22 功能打開等等

為區(qū)分兩個系統(tǒng)用戶，我們分別將其用戶名設(shè)為 test01、test02，接著進行遠程登陸。

輸入訪問命令，即可連接并進行一系列操作

可在對方的 opt 下創(chuàng)建 abc 文本，進行遠程操作

回到 7 - 1 的服務(wù)端，進 ssh 配置文件，更改不允許對方用 root 身份登陸，保存退出。即在客戶端用 root 身份不可登陸，即使有密碼也無法登陸。

但隨之而來的問題，我們先用普通用戶 lisi 登陸服務(wù)端，接著可切換到服務(wù)器的 root 用戶，可實現(xiàn)跳板登陸

解決：進行 pam 模塊驗證，開啟功能，即不在 wheel 組內(nèi)成員不可用 su 命令切換用戶。

在客戶端用 lisi 登陸，并用 su 切換 root，被拒絕。并且切換同級別權(quán)限的 zhangsan，也不能切換。（pam 驗證開啟非常重要，加大系統(tǒng)安全）

結(jié)論：不在 wheel 組內(nèi)平級用戶也切換不了，zhangsan 在 wheel 組內(nèi)，可切換為 lisi 用戶，也可切換 root 用戶。

開啟最大驗證次數(shù)功能，卻發(fā)現(xiàn)默認驗證 3 次。

要想驗證次數(shù)變?yōu)?6，那么我們就要更改驗證次數(shù)為 8，即驗證最大次數(shù)從默認的 3 變?yōu)榱?6。

回到服務(wù)器 7 -1，配置文件中插入白名單，即皆可登陸服務(wù)器的 zhangsan 和 wangwu 用戶

此時我們還需在開一臺 centos7-3，IP 為 129.168.195.130，登陸服務(wù)器 wangwu（配置文件中沒設(shè)置 wangwu 允許登陸的 ip，可從任意終端登陸）

結(jié)論：白名單上為僅允許，名單上有的條目可以去執(zhí)行，沒有的一概不能執(zhí)行；反之黑名單則為僅拒絕，即名單上的條目皆不可執(zhí)行。（在企業(yè)環(huán)境中建議使用白名單）

二、密鑰對進行身份驗證

在配置文件中開啟密鑰對驗證功能

用 7 - 2 客戶端進行密鑰生成，用戶 caiwu 來驗證。

在家目錄下有公鑰和私鑰，推送公鑰給服務(wù)端，指定服務(wù)端用戶 zhangsan，輸入對方登陸密碼，家目錄下生成一個 known_hosts（內(nèi)有推送的服務(wù)端 ip、加密方式 ecdsa 等）。

再次回到服務(wù)端，家目錄中已有公鑰導入文件。

查看當前用戶方法

只有用 caiwu 用戶 ssh 遠程訪問服務(wù)器 zhangsan 用戶要用密鑰對驗證（每次驗證都要密鑰對驗證）。

防止每次都要進行密鑰驗證，我們來設(shè)置只需一次驗證，之后可直接進入。

三、ssh 客戶端

若服務(wù)器的端口改為 123，那么在客戶端遠程訪問就要輸入以下命令，先開啟客戶端可用 root 用戶登陸的權(quán)限（復制操作要用到），刪除之前建立的白名單。

Scp 遠程復制文件到服務(wù)器端。

Scp 遠程復制文件夾到服務(wù)器端。

將之前 opt 下文件全部刪除，進行 ssh 安全下載文件。進行遠程連接后，會回到對方服務(wù)器的家目錄下

首先給文件改名 server，進行 ssh 安全上傳文件 server 文件

可以直接切換用戶目錄，進行任意更改文件。為限制只可訪問對方服務(wù)器的家目錄，我們研究出了一套方法。
在配置文件中找到這一行注釋，并打開此功能。

并輸入一系列命令。

且權(quán)限必須為 755，文件屬主、屬組必須是 root。

四、TCP Wrappers

在配置之前，需要將黑白名單在 ssh 配置文件中刪除，否則配置策略應(yīng)用時會重復。在 /etc/hosts.allow 中進行配置

在 /etc/hosts.deny 中進行配置

測試 129 客戶端能否訪問服務(wù)器，發(fā)現(xiàn)可以

測試 130 客戶端能否訪問服務(wù)器，發(fā)現(xiàn)被直接拒絕（黑白名單是允許輸入密碼，不一樣）

現(xiàn)在在兩個中配置兩個一樣的內(nèi)容：均為 129，發(fā)現(xiàn)允許訪問。

結(jié)論：先檢查 allow 中，找到匹配則允許訪問。否則再檢查 hosts.deny，找到則拒絕訪問；若兩個文件中都沒有內(nèi)容，則默認所有文件允許訪問。

看完上述內(nèi)容是否對您有幫助呢？如果還想對相關(guān)知識有進一步的了解或閱讀更多相關(guān)文章，請關(guān)注丸趣 TV 行業(yè)資訊頻道，感謝您對丸趣 TV 的支持。