Linux————sshd服务

##1、sshd简介##
sshd = secure shell
可以通过网络在主机中开机shell的服务
ssh:安全外壳协议，是一种能够提供安全远程登陆会话的协议
sshd：基于SSH协议开发的一款远程管理服务的程序

连接方式：

ssh	username@ip			#文本模式的链接
ssh	-X username@ip		#可以在链接成功后开机图形

例子：
ssh root@ip ##输入gedit fiel,连接后不能打开图形界面
ssh -X root@ip 33 ## 输入gedit fiel,连接后可以打开图形界面


注意：第一次链接陌生主机是要建立认证文件，所以会询问是否建立，需要输入yes,再次链接此台主机时，因为已经生成～/.ssh/know_hosts文件所以不需要再次输入yes

远程复制：
scp file root@ip:dir #上传
scp root@ip:file dir #下载
远程复制目录
scp -r file root@ip:dir #上传
scp -r root@ip:file dir #下载

##2、sshd的key认证##（服务端）
在连接远程的主机时，必须远程主机的服务保证是打开的状态，否则本主机连接不上远程主机；
进入cd .ssh/ 是否存在有.ssh/目录，保证没有，保证环境干净；
1、生成认证KEY(服务端)
[root@westos_server ~]# ssh-keygen #生成密钥的命令
[root@westos_server ~]# Enter file in which to save the key (/root/.ssh/id_rsa): ##指定保存字符的文件（使用默认）
Enter passphrase (empty for no passphrase): ##设定密码(使用空密码)
Enter same passphrase again: ##确认密码
Your identification has been saved in /root/.ssh/id_rsa. ##私钥（钥匙）
Your public key has been saved in /root/.ssh/id_rsa.pub. ##公钥（锁）
The key fingerprint is:
17:f6:82:b8:a9:d3:bd:05:30:46:0d:4d:64:34:43:46 root@westos_client.westos.com
The key’s randomart image is:
±-[ RSA 2048]----+
| oXE |
| . ooo |
| + o |
| . + o o |
| . S o . |
| o o . |
| .o. . |
| … … |
| … … |
±----------------+
||
一条命令直接完成上面的步骤：ssh-keygen -f /root/.ssh/id_rsa -P “” 设置密码为无密码

2、加密服务(服务端操作)
[root@westos_server .ssh]# ssh-copy-id -i /root/.ssh/id_rsa.pub root@172.25.254.210（服务器ip） ##加密ssh服务;给服务端本机加锁，加密再将私钥发送给客户端；
The authenticity of host ‘172.25.254.210 (172.25.254.210)’ can’t be established.
ECDSA key fingerprint is eb:24:0e:07:96:26:b1:04:c2:37:0c:78:2d:bc:b0:08.
Are you sure you want to continue connecting (yes/no)? yes
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed – if you are prompted now it is to install the new keys
root@172.25.254.210’s password:

Number of key(s) added: 1

Now try logging into the machine, with: “ssh ‘root@172.25.254.210’”
and check to make sure that only the key(s) you wanted were added.

[root@westos_server .ssh]# ls
authorized_keys id_rsa id_rsa.pub known_hosts
^
此文件出现表示加密完成

3、分发钥匙(服务端)
scp /root/.ssh/id_rsa root@172.25.254.110(客户端ip):/root/.ssh/

4、测试

在客户主机中（客户端ip:如：172.25.254.110）
必须保证原始环境的干净：rm -fr /root/.ssh/
ssh root@172.25.254.210（服务端ip） ##连接时发现直接登陆不需要root登陆系统的密码认证

##3、sshd的安全设定##
步骤：
1、保证原始环境：rm -fr /root/.ssh/
2、进入vim /etc/ssh/sshd_config
3、配置文件设置后必须重新启动服务systemctl restart sshd

4、78 PasswordAuthentication yes|no #是否允许用户通过登陆系统的密码做sshd的认证
在服务器端 --------78行---------- 改为no，原始的默认输入密码被关闭；
5、配置文件设置后必须重新启动服务systemctl restart sshd(如果不重启，客户端删除秘钥id_rsa的话，连接客户端还是需要密码,并且可以登陆)，然后删除客户端中的/root/.ssh/下id_rsa,然后在客户端登陆时直接无法登陆，只有有密钥id_rsa的才能登陆;

6、设定超级用户是否需要密码登陆：
48 PermitRootLogin yes|no ##是否允许root用户通过sshd服务的认证
yes 允许root登陆，但是需要密码的验证；其他的用户也是如此；
no 不允许root登陆------在48行；其他的用户可以通过验证登陆；

白名单的设定：
7、52 AllowUsers student westos（用户名称） ##设定用户白名单，白名单出现默认不再名单中的用户不能使用sshd,包括root用户也是如此
白名单的等级大于PermitRootLoginroot用户默认登陆

进入配置文件/etc/ssh/sshd_config直接在52
行添加白名单的设定==(图片有误，注意！！！)==

白名单（允许登陆）AllowUsers 用户名称 -----仅仅在白名单的用户才能登陆，对root也是如此，如果root不在白名单里，也是无法登陆的；


8、Denyusers westos ##设定用户黑名单，黑名单出现默认不再名单中的用户能使用sshd,包括root用户

黑名单的等级大于PermitRootLogin===root用户默认登陆

注意：添加用户和命令都在服务器端操作；
以下操作都在服务端
添加用户：useradd westos
修改密码：passwd westos

操作以上的步骤
在客户端验证：
ssh 验证用户名称@服务端ip

###4、添加用户登陆信息###
vim /etc/motd #文件内容就是登陆后显示的信息
进入后，随便输入内容，在客户端链接即可看见该文件的内容；