配置ssh-host-config

最新推荐文章于 2024-04-13 14:45:43 发布
最新推荐文章于 2024-04-13 14:45:43 发布
阅读量879 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Hadoop 文章标签: 运维 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/macrotea/article/details/84013382
本文详细指导如何配置SSH主机并安装服务,包括创建默认配置文件、设置权限分离、创建特殊用户账号等步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

配置ssh-host-config:



LONMID@LONMID-PC ~
$ ssh-host-config
*** Query: Overwrite existing /etc/ssh_config file? (yes/no) yes
*** Info: Creating default /etc/ssh_config file
*** Query: Overwrite existing /etc/sshd_config file? (yes/no) yes
*** Info: Creating default /etc/sshd_config file
*** Info: Privilege separation is set to yes by default since OpenSSH 3.3.
*** Info: However, this requires a non-privileged account called 'sshd'.
*** Info: For more info on privilege separation read /usr/share/doc/openssh/READ
ME.privsep.
*** Query: Should privilege separation be used? (yes/no) yes
*** Info: Note that creating a new user requires that the current account have(管理员身份运行Cygwin bat)
*** Info: Administrator privileges.  Should this script attempt to create a
*** Query: new local account 'sshd'? (yes/no) yes
*** Info: Updating /etc/sshd_config file


*** Warning: The following functions require administrator privileges!

*** Query: Do you want to install sshd as a service?
*** Query: (Say "no" if it is already installed as a service) (yes/no) yes
*** Query: Enter the value of CYGWIN for the daemon: [](我不填,直接回车)
*** Info: On Windows Server 2003, Windows Vista, and above, the
*** Info: SYSTEM account cannot setuid to other users -- a capability
*** Info: sshd requires.  You need to have or to create a privileged
*** Info: account.  This script will help you do so.

*** Info: You appear to be running Windows XP 64bit, Windows 2003 Server,
*** Info: or later.  On these systems, it's not possible to use the LocalSystem
*** Info: account for services that can change the user id without an
*** Info: explicit password (such as passwordless logins [e.g. public key
*** Info: authentication] via sshd).

*** Info: If you want to enable that functionality, it's required to create
*** Info: a new account with special privileges (unless a similar account
*** Info: already exists). This account is then used to run these special
*** Info: servers.

*** Info: Note that creating a new user requires that the current account
*** Info: have Administrator privileges itself.

*** Info: No privileged account could be found.

*** Info: This script plans to use 'cyg_server'.
*** Info: 'cyg_server' will only be used by registered services.
*** Query: Do you want to use a different name? (yes/no) yes
*** Query: Enter the new user name: macrotea
*** Query: Reenter: macrotea

*** Query: Create new privileged user account 'macrotea'? (yes/no) yes
*** Info: Please enter a password for new user macrotea.  Please be sure
*** Info: that this password matches the password rules given on your system.
*** Info: Entering no password will exit the configuration.
*** Query: Please enter the password:
*** Query: Reenter:

*** Info: User 'macrotea' has been created with password 'asdf'.
*** Info: If you change the password, please remember also to change the
*** Info: password for the installed services which use (or will soon use)
*** Info: the 'macrotea' account.

*** Info: Also keep in mind that the user 'macrotea' needs read permissions
*** Info: on all users' relevant files for the services running as 'macrotea'.
*** Info: In particular, for the sshd server all users' .ssh/authorized_keys
*** Info: files must have appropriate permissions to allow public key
*** Info: authentication. (Re-)running ssh-user-config for each user will set
*** Info: these permissions correctly. [Similar restrictions apply, for
*** Info: instance, for .rhosts files if the rshd server is running, etc].


*** Info: The sshd service has been installed under the 'macrotea'
*** Info: account.  To start the service now, call `net start sshd' or
*** Info: `cygrunsrv -S sshd'.  Otherwise, it will start automatically
*** Info: after the next reboot.

*** Info: Host configuration finished. Have fun!

LONMID@LONMID-PC ~
$

使用 ssh-keygen 和 ssh-copy-id 配置 SSH 密钥实现免密登陆
别来沾边儿
12-02 698
SSH 提供两种认证方式,密码认证和密钥认证,一般我们买来的 VPS 都是密码认证。密码的缺点是很容易被暴力破解,而且密码需要记忆,使用起来麻烦。密钥的好处是,你只需要一对密钥文件:公钥和私钥,公钥相当于门锁,装在 VPS 上,私钥相当于钥匙,放在本地计算机上,登录的过程就像是用钥匙去开锁,有钥匙的人才能打得开,不仅安全,而且方便。此外,公钥可以复制到其它主机和账户,这就像是你装了很多同样门锁。本篇教程将讲解在本地终端使用ssh-keygen和给 VPS 配置 SSH 密钥的方法以及使用ssh
iOS小技能:使用ssh config配置文件来管理ssh连接(scp 远程拷贝文件/目录),推荐使用SecureCRT。
热门推荐
专注于计算机研发知识和资讯分享
10-12 2万+
# Private 192.168.2.125 Host iPhone HostName 192.168.2.125 User root IdentityFile ~/.ssh/id_rsa_Theos125 # Private gitlab.v6h5. Host gitlab.v6h5.cn HostName gitlab.v6h5. User git IdentityFile ~
ssh config如何配置host名替代root@1.1.1.1,以及如何配置通过跳板机登录?(~/.ssh/config、ProxyCommand、nc、免密配置
技术札记
04-13 2131
懂的都懂,就不写前言后序了。作为一个简单记录。
ssh/config host配置
weixin_46414830的博客
10-11 291
【代码】ssh/config host配置
cygwin下安装ssh
iceflyingfox的专栏
03-27 273
过程如下所示   wenbo.tian@tianwenbo-PC ~ $ ssh-host-config *** Query: Overwrite existing /etc/ssh_config file? (yes/no) yes *** Info: Creating default /etc/ssh_config file *** Query: Overwrite ex...
sshconfig配置格式
车前猛跑
08-25 922
~/.ssh/config  host web     hostname 192.168.31.102     user root host gitor     hostname 192.168.31.103     user gitor
SSH】~/.ssh/config 基本配置
Holenxr的博客
08-02 3470
【代码】【SSH】~/.ssh/config 基本配置
ssh-config-mode-el:用于编辑ssh配置文件的emacs模式
02-05
1. **语法高亮**:`ssh-config-mode-el`为`~/.ssh/config`文件中的关键字提供颜色高亮,如`Host`、`User`、`IdentityFile`等,使得代码更易于阅读。 2. **自动补全**:在编辑过程中,该模式提供自动补全功能,可以...
ansible-ssh-config:让Ansible管理ssh配置
05-24
ansible-ssh-config 该模块已迁移到改用社区版本。 Ansible的模块,用于配置ssh配置文件。 为什么? 我们有几个库可以在工作中的项目之间共享功能。 这些库位于GitHub上,它们位于自己的存储库中。 我们的部署...
ssh-hostbased配置方法
Focus
07-28 1403
ssh-hostbased配置方法 简介 本文介绍了sshhostbased认证的一些概念,以及如何配置hostbased 认证 hostbased认证字面意思就是基于主机的认证。 举个例子,主机A(192.168.1.101)运行着ssh server,配置hostbased认证,并且配置 root用户可以通过hostbased方式从主机B(192.168.1.102)上登录。那么在主机B上 直接执行ssh root@192.168.1.101就可以root方式登录主机A,不需要提供root密码。
支持多个git服务器的ssh配置方法及ssh config配置解释以及ssh-agent简单介绍
qq_44025685的博客
02-19 2089
介绍如何在本地给多个git服务器设置ssh配置,并对相关的ssh config进行的详细解释,最后介绍了ssh-agent的使用方式
SSH config 配置
TryCatch
11-06 1万+
linux SSH config 配置 直接看我的配置文件(vim ~/.ssh/config) Host wotoken HostName 192.168.2.18 IdentityFile ~/.ssh/id_rsa User root Port 22 IdentitiesOnly yes Host bobaotest HostName 192...
使用ssh config配置文件来管理ssh连接
weixin_34050005的博客
12-17 292
我本人其实及其烦使用配置文件这种东西,有时候看到巨大又复杂的配置文件,甚至复杂过代码的时候,总感觉设计配置文件的人有些本末倒置。 但是ssh这个配置文件真的非常简单好用,让我稍微体验了一次配置文件使用的快感。   在使用ssh confg之前我大概是这样设置和管理自己的ssh连接的。 首先条线一个集中的地方,比如我自己在桌面上创建一个sa的文件夹,然后在这个文件夹里面放上自己经常连接的服务器的连接...
利用 SSH 的用户配置文件 Config 管理 SSH 会话
qq_26189301的博客
12-11 8568
参考: https://luohoufu.github.io/2016/07/21/deepin2/ 通常利用 SSH 连接远程服务器,一般都要输入以下类似命令: $ ssh user@hostname -p port 如果拥有多个 SSH 账号,在终端里直接 SSH 登陆要记住每个 SSH 账号的参数是件不容易的事,而且比较浪费精力和时间。 还好 SSH 提供一种优雅且灵活的方式来解决这个问题,就是利用 SSH 的用户配置文件Config管理 SSH 会话。 使用SSH配置文件 SSH 程序可以从以
SSH config配置登录服务器
独行浪子
11-28 3402
1、准备阶段 1.1 如果在你本机电脑主目录内 不存在 隐藏文件夹 .ssh 的情况下输入命令: ssh-keygen -t rsa 不需要输入任何内容,连续三下回车确认。 1.2 进入 .ssh 文件夹 , 输入ls -l 可以看到 id_rsa 和 id_rsa.pub 两个文件 1.3 创建config文件,输入: touch config 1.4 配置公钥免登陆 , 先通过密码的方式登录到你的服务器主机上。然后将你本机文件 ~.ssh/id_rsa.pub 里面的内容复制 并粘贴到
Linux:SSH服务配置文件详解
aji1978的博客
04-09 758
SSH服务配置文件详解 SSH客户端配置文件 /etc/ssh/ssh——config 配置文件概要 Host * #选项“Host”只对能够匹配后面字串的计算机有效。“*”表示所有的计算机。 ForwardAgent no #设置连接是否经过验证代理(如果存在)转发给远程计算机。 ForwardX11 no #设置X11...
SSH配置以及多个SSH & config文件
水清_木秀的博客
12-10 2万+
更新于:2018.1.26 新买了个pro电脑。15寸,16G,256G 需要重新配置下电脑。ssh也要重新搞一下。 以前写的这个博客,又重新翻开了。 在此记录下,小小的曲折。 `git config --global user.name "wiki_coding"` `git config --global user.email "xx@xx.co
Cygwin中配置ssh服务
您已进入外太空
08-17 992
打开终端后输入 ssh-host-config 按照以下提示 *** Query: Should StrictModes be used? (yes/no):yes *** Query: Should privilege separation be used? <yes/no>: yes(没有这句就忽略) *** Query: New local account ...
Linux 中 ssh host 代理配置及远程免密码登陆
独一无二的小个性
11-02 8890
Linux 中 ssh host 代理配置及远程免密码登陆1 前言​ 在登陆远程服务器时,很多时候会采用跳板机的方式登录,而 Linux 和 Mac 上没有免费的类似 Windows 上的 xsehll 工具,虽然 secure CRT 网上有破解版,但是存在安全隐患,所以使用自带的终端很安全方法,但是这又给维护人员带来了很大的不便,登录服务器需要 IP, 并且要先登录跳板机然后再登录目标机。​
ssh-hostkeys
最新发布
06-18
<think>我们正在讨论如何管理和清理SSH主机密钥(ssh-hostkeys)中的敏感信息。根据之前的上下文,我们知道在清理镜像时,使用virt-sysprep工具可以删除SSH主机密钥(通过--operationsssh-hostkeys选项)。此外,用户提供的引用中提到了SSH主机密钥变更的警告以及如何备份和编辑SSH配置文件。因此,我们需要提供关于管理和清理SSH主机密钥的解决方案,包括在虚拟机镜像清理中的操作,以及在已运行系统中如何操作。###解决方案####1.在虚拟机镜像清理中删除SSH主机密钥在清理虚拟机镜像(如qcow2格式)时,使用`virt-sysprep`工具可以安全地删除SSH主机密钥。这样在下次启动时,系统会自动生成新的密钥。```bash#使用virt-sysprep删除镜像中的SSH主机密钥sudovirt-sysprep-ayour-image.qcow2--operationsssh-hostkeys```####2.在已运行系统中重新生成SSH主机密钥如果系统已经运行,需要重新生成SSH主机密钥,可以执行以下步骤:**步骤1:删除现有的SSH主机密钥**```bash#删除当前系统中的SSH主机密钥sudorm/etc/ssh/ssh_host_*```**步骤2:重新生成SSH主机密钥**```bash#重新生成SSH主机密钥sudodpkg-reconfigureopenssh-server#或者使用sudossh-keygen-A```**步骤3:重启SSH服务**```bashsudosystemctlrestartssh```####3.清除客户端known_hosts文件中的旧密钥当服务器的主机密钥变更后,客户端连接时会出现警告(如引用[1]所示)。需要清除客户端`known_hosts`文件中对应的条目。**方法1:使用ssh-keygen命令删除指定主机的密钥**```bash#删除known_hosts中特定主机的记录ssh-keygen-Rhostname_or_ip#例如:ssh-keygen-R192.168.134.140```**方法2:手动编辑known_hosts文件**```bash#编辑~/.ssh/known_hosts文件,删除对应主机的行vi~/.ssh/known_hosts```####4.备份和恢复SSH主机密钥(可选)在删除或重新生成之前,建议备份原有的SSH主机密钥,以便需要时恢复。```bash#备份sudocp-r/etc/ssh/etc/ssh_backup#恢复(如果需要)sudorm-rf/etc/sshsudocp-r/etc/ssh_backup/etc/sshsudosystemctlrestartssh```####5.配置SSH服务以增强安全性(可选)参考引用[3],可以配置SSH服务以使用更安全的选项。例如,禁用不安全的密钥类型,仅允许使用强密钥。编辑`/etc/ssh/sshd_config`文件,可以设置:```config#仅使用强密钥算法HostKey/etc/ssh/ssh_host_ed25519_keyHostKey/etc/ssh/ssh_host_rsa_key#禁用不安全的算法#KexAlgorithmscurve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256#Cipherschacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr#MACshmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com```然后重启SSH服务。####6.解决旧客户端兼容性问题(引用[2])如果客户端较旧,可能需要指定密钥算法以兼容。```bashssh-oHostKeyAlgorithms=+ssh-rsauser@host```###注意事项1.**密钥重新生成的影响**:重新生成SSH主机密钥后,所有客户端都需要更新`known_hosts`文件,否则会收到警告。2.**安全风险**:定期更换SSH主机密钥可以减少密钥泄露带来的风险。3.**镜像清理**:在虚拟机镜像清理中删除密钥,可以确保每次从镜像启动的虚拟机都有唯一的主机密钥。###相关问题§§相关问题§§1.如何为虚拟机镜像生成新的SSH主机密钥?2.如何配置SSH服务以提高安全性?3.客户端出现“WARNING:REMOTEHOSTIDENTIFICATIONHASCHANGED”错误时如何处理?4.如何备份和恢复SSH主机密钥?5.在自动化部署中如何管理SSH主机密钥?</think>### SSH主机密钥管理与清理方案 #### 一、清理镜像中的SSH主机密钥(推荐方法) 使用`virt-sysprep`工具安全删除镜像中的敏感SSH密钥: ```bash sudo virt-sysprep -a your-image.qcow2 --operations ssh-hostkeys ``` **效果**: 1. 删除所有`/etc/ssh/ssh_host_*`密钥文件 2. 首次启动时自动生成新密钥 3. 避免密钥重用风险[^1] #### 二、运行系统中密钥管理 **1. 重新生成主机密钥**: ```bash sudo rm /etc/ssh/ssh_host_* # 删除旧密钥 sudo dpkg-reconfigure openssh-server # Debian/Ubuntu sudo ssh-keygen -A # 通用方法 sudo systemctl restart ssh ``` **2. 客户端known_hosts清理**: ```bash # 删除特定主机记录 ssh-keygen -R hostname_or_ip # 手动编辑文件 vi ~/.ssh/known_hosts # 删除对应行 ``` #### 三、安全加固配置(参考引用[3]) **编辑`/etc/ssh/sshd_config`**: ```config # 禁用弱算法 HostKeyAlgorithms ssh-ed25519,rsa-sha2-512 KexAlgorithms curve25519-sha256 Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com # 启用密钥轮换 HostKey /etc/ssh/ssh_host_ed25519_key HostKey /etc/ssh/ssh_host_rsa_key ``` ```bash sudo systemctl restart sshd ``` #### 四、密钥验证与兼容性处理 **1. 解决主机变更警告**: ```bash ssh -o StrictHostKeyChecking=no user@host # 临时忽略(不安全) ssh -o HostKeyAlgorithms=+ssh-rsa user@host # 兼容旧算法[^2] ``` **2. 密钥指纹验证**: ```bash ssh-keygen -lf /etc/ssh/ssh_host_rsa_key # 查看服务器指纹 ssh-keyscan hostname | ssh-keygen -lf - # 获取远程指纹 ``` #### 五、自动化清理脚本示例 ```bash #!/bin/bash # 清理镜像SSH密钥 virt-sysprep -a $1 --operations ssh-hostkeys # 客户端known_hosts清理 sed -i '/old_host/d' ~/.ssh/known_hosts # 生成新密钥 guestfish -a $1 -i <<EOF rm /etc/ssh/ssh_host_* ssh-keygen -t ed25519 -f /etc/ssh/ssh_host_ed25519_key -N "" EOF ``` ### 注意事项 1. **密钥轮换周期**:建议每90天更新主机密钥 2. **备份机制**:操作前备份`/etc/ssh`目录 3. **审计日志**:监控`/var/log/auth.log`的密钥变更事件 4. **兼容性**:旧客户端需保留`ssh-rsa`算法支持[^2] > 提示:在OpenStack环境中上传镜像时,使用`glance image-update`命令的`--property hw_ssh_key_delete=true`属性可触发自动密钥清理[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值