ssh文章

@ssh

服务认证类型

口令认证：使用服务器系统账号对应的密码
密钥认证：创建一对密钥（公钥和私钥）

安装包：openssh、openssh-server、openssh-clients
服务端：主程序位置：/usr/sbin/sshd
配置文件：/etc/ssh/sshd_config
客户端：主程序位置：/usr/bin/ssh
配置文件：/etc/ssh/ssh_config

配置openssh服务端

配置文件：vim /etc/ssh/sshd_config
port 22：默认端口号（根据需要添加修改）
ListenAddress 0.0.0.0：监听所有的IP，当服务器有多个IP时，可以根据需要指定监听IP
SyslogFacility AUTHPRIV：设置日志文件类型：存放在 /var/log/secure
LogLevel INFO：日志记录等级，INFO级别以上
UseDNS no：禁用dns反向解析
PermitRootLogin no：禁止root用户远程登录
PermitEmptyPasswords no：禁止密码为空的用户远程登录
LoginGraceTime 2m ：限制用户登录验证过程的时间（默认2分钟，不加单位表示为秒）
MaxAuthTries 6：限制用户登录验证过程的最大重试次数
DenyUsers w1 w2：拒绝w1 w2用户远程登录系统，其他均允许
AllowUsers jerry admin@ip地址：允许jerry在任何IP的主机上远程登录，允许admin只能在主机（ip地址）登录，其他均拒绝
PasswordAuthentication yes：启用密码验证
PubkeyAuthentication yes ：启用密钥对验证
AuthorizedKeysFile .ssh/authorized_keys ：指定保存公钥文件
PrintLastLog yes ：显示上次登录的信息
PrintMotd yes：/etc/motd：登录显示编辑的文档内容

客户端登录方式

如果指定了端口号，需要加 -p 指定端口号
1：ssh 用户名@服务器ip地址 【-p 端口号】
2：ssh -l 用户名 服务器ip地址 【-p 端口号】
3：ssh 服务器ip地址 【-p 端口号】

客户端远程复制文件或目录

方法一：scp [-P 端口号] [-r] 用户名@服务器地址：路径 本地路径 （把远程主机的文件或目录复制到本地，复制目录加-r）
方法二：scp [-P 端口号] [-r] 本地文件或目录 用户名@服务器地址：路径 （把本机文件目录传到远程主机）
方法三：安装lrzsz,文件能超过4G
sz:上传
rz:下载

防止暴力破解

方法一：
1：密码复杂度：由数字、字母大小写和特殊符号混合组成，长度大于8位，最好大于20位
2：修改默认端口号
3：不允许root账号登录（添加普通账户授予root权限）
4：不允许密码登陆，只能通过认证的密钥来登录

方法二：通过密钥认证
linux：生成密钥对：ssh-keygen -t rsa(dsa)
选择密钥存放位置（默认回车）：/root/.ssh/id_rsa
设置私钥密码：empty for no passphrase
存放私钥位置：/root/.ssh/id_rsa
存放公钥位置：/root/.ssh/id_rsa.pub
上传公钥：ssh-copy-id 【-p 端口号】用户@服务器ip地址
windows：下载私钥 sz .ssh/id_rsa

方法三：通过pam模块
配置文件：vim /etc/pam.d/sshd
添加：
auth required pam_tally2.so deny=3 unlock_time=600 even_deny_root root_unlock_time=1200
（尝试登录失败超过3次，普通用户600秒解锁，root用户1200秒解锁）
查看用户错误登录次数：pam_tally2 --user 用户名
清楚用户的错误登录次数：pam_tally2 --user 用户名 --reset

在远程计算机上允许命令

重定向到本地文件：ssh 用户名@服务器IP地址 ‘命令’ >文件
例如：ssh k1@192.168.1.220 ‘hostname;ls’ >1.txt
重定向到远程文件：ssh 用户@服务器IP地址 ‘命令 >文件’
例如：ssh k2@192.168.1.220 ‘hostname >2.txt;ls >>2.txt’

特殊用法

命令1 ；命令2 前一个命令成功是否，会执行第二个命令
命令1 &&命令2 前一个命令执行成功才会执行第二人格命令
命令1 ||命令2 前一个命令执行失败才会执行第二个命令