Linux系统之SSH

一、远程连接

1、windowsèLinux

     工具：ssh、vnc

     连接方式：  ssh     目标主机IP

               ssh     root@目标主机IP  

               ssh     秘钥 + 密码登录

               ssh     秘钥（禁止密码）

      连接    ssh   -p (小写)  10123   root@目标主机IP 

    上传    scp   -P (大写)  10123  root@目标主机IP :/tmp

上传下载    sftp   -oPort=10123    root@目标主机IP 

ssh 连接方式：

a、ssh     目标主机IP

b 、ssh   root@目标主机IP   

（一般实际中使用的是其他的普通用户，不能使用root）

vnc 连接方式：

    需要安装两个rpm软件包在Linux客户端：tigervnc ，tigervnc-server

 安装 mount    /dev/sr0   /mnt

         yum   –y   install  tigervnc  tigervnc-server

 配置密码     vncpasswd

    开启服务     vncserver   并查看对应的端口是否开启5901和6001

Win 上使用VNC—64位连接

注：此处只能使用5901端口连接，6001端口连接不上

输入前面设置的vncpasswd的密码

成功显示Linux系统的桌面

2、Linuxèwindows (此时的Linux必须安装桌面化系统)

注：Linuxèwindows连接方式在win10中连接很难成功，此处以winserver 08为例

安装rpm软件包 rdesktop

使用命令 ：rdesktop  –f  -u   用户名   -p   密码   -a  16

                   -f    连接win后全屏

                   -u  win系统的用户名

                   -p  win系统的对应密码

                   -a   屏幕色分为16色

         连接

rdesktop -f -u bcl -p 密码 -a 16 192.168.115.192

连接后（不显示桌面，与系统硬件配置，原桌面的分辨率有关）

二、秘钥连接

使用两台虚拟机192.168.10.8     192.168.10.100

使用192.168.10.8连接100时显示如下：

RAS key显示的为加密密钥

免密码秘钥登录——步骤：

2、        将公钥上传至服务器端

进入客户端秘钥保存目录   /root/.ssh，id_rsa是私钥，id_rsa.pub是公钥

将公钥上传至服务器端192.168.10.100的  /tmp下，此处使用命令scp上传文件

格式：scp  上传的文件     登录用户@服务端IP：服务端目录

在服务器端100，在用户家目录下创建 .ssh目录，并将公钥改名为：authorized_keys并保存到相应的目录 ~/.ssh（用户家目录）下

最后，重新启动sshd服务   service sshd  restart

3、        在客户端10.8进行登录验证

 注：

 1、秘钥的生成命令格式   ssh-keygen  –t rsa  (也可以为dsa)

2、公钥保存在服务端，且保存位置为  用户家目录下的  .ssh  下

3、公钥必须需改名为  ：authorized_keys

4、若要秘钥和密码同时使用，则在建立密钥时输入服务端的登录密码

4、        Windows也是用秘钥登录

使用第三方工具Xshellè工具è新建用户密钥生成向导è生成秘钥（不要写密码）

此处密码可以写也可以不写

将公钥复制粘贴到服务器的  /root/.ssh/authorized_keys 中

重启服务配置文件  service  sshd restart

注：在配置完成后，使用xshell连接服务器时 ，选择秘钥登录

三、只秘钥连接，禁止密码登录

秘钥存放位置：/root/.ssh/authorizer.keys(名字一定要写对)

编辑配置文件  /etc/ssh/sshd_config

1、确保 RSAAuthentication   yes

    PubkeyAuthentication   yes

2、确保PasswordAuthentication    no

   ChallengeResponseAuthentication   no

      3、登录验证

ssh   root@192.168.10.100,此时的密码输入为灰色，禁止密码

四、控制文件

        配置文件  ：/etc/hosts.allow   白名单

     /etc/hosts.deny    黑名单

格式——  服务列表：客户端地址列表

拒绝网段(只能下面两种格式)

sshd:192.168.115.0/24   错误的

sshd:192.168.115.0/255.255.255.0

sshd:192.168.115.

拒绝域名

sshd:www.xdl.com 某个主机

sshd:.xdl.com   所有域名是xdl.com的主机

五、Sftp文件传输命令

      上传文件：put     下载文件：  get

      在服务器端使用的命令为：ls   cd   pwd 

      在客户端使用的命令为：所有命令前面加   l   如：lls   lpwd   lcd  

六、简化版防火墙  tcp wrappers

1、查看服务命令的位置      which  sshd

2、查看命令是否被库文件libwrap调用

     ldd   /usr/sbin/sshd   | grep libwrap

3、如果被调用则可以使用tcpwrappers 里面的规则

     /etc/hosts.allow   白名单

     /etc/hosts.deny    黑名单 

      4、格式   服务名称：相关IP（相关网段、相关域名）

   A、sshd:192.168.115.200    IP

   B、sshd:192.168.115.       网段

   C、sshd:www.xdl.com        域名