#######关闭防火墙 非常重要########

setenfore 0
systemctl disable --now firewalld.service 

Openssh的功能

1.sshd服务的用途
作用：可以实现通过网络在远程主机中开启安全shell的操作
Secure SHell =====>ssh ##客户端
Secure SHell =====>sshd ##服务端
2.安装包
openssh-server
3.主配置文件
/etc/ssh/sshd_config
4.默认端口
22
5.客户端命令
ssh

ssh

1.ssh [-l 远程主机用户] <ip | hostname>

#通过ssg命令在44主机中以root用户身份开启远程shell
ssh -l root@192.168.43.213
#或者
ssh root@192.168.43.213

身份证明生成过程确认，作用，当用户输入yes后，213主机会向当前主机发送身份公钥，保存到~/.ssh/know_hosts，213主机持有私钥，当客户机再次连接时会验证客户机身份，如果身份验证改变，拒绝连接。

身份验证发生改变（自己将身份修改），拒绝连接效果如下：

当连接因为认证问题出错时，只需要删除报错提示信息相应的行即可：

vim ~/.ssh/know_hosts   #如上图

在连接时恢复正常状态

2. ssh常用参数

	- l                            ##指定登录用户
	- X                            ##开启图形
	- i                            ##指定私钥
	- f                            ##后台运行
	- o                            ##指定连接参数
	-                              ##ssh -l root 192.168.43.213 -o "StrictHostKeyChecking=no"  ##首次连接不需要输入yes
	- t                            ##指定跳板连接，即在另一台服务器上登录其他服务器
	- 							   ##ssh -l root 192.168.43.213 -t ssh -l root 172.25.254.10

sshd key 认证

1. 对称加密，即上文中输入密码的登陆方式
   加密和解密是同一串字符串

   容易泄露，可暴力破解，容易遗忘

2. 非对称加密
   加密用公钥，解密用私钥
   不会被盗用
   攻击者无法通过无密钥方式登录服务器
   非对称加密步骤：

    1.ssh-keygen  或者直接指定参数ssh-keygen -f /root/.ssh/id_rsa -P ""
   

   
   

    2. 查看生成的密钥
   

   

    3. 对服务器加密`ssh-copy-id /root/.ssh/id_rsa.pub [email protected]`
   

   

    4.测试`ssh -l root 192.168.43.213`
   

   

sshd安全优化参数详解

vim /etc/ssh/sshd_config文件

	- Port    22                         ##默认端口22,可以修改
	- PermitRootLogin  yes | no          ##对超级用户登录是否禁止
	- AllowUsers  lee,westos             ##用户白名单
	- DenyUsers  lee                     ##用户黑名单
	- PasswordAuthentication   yes | no  ##是否开启原始密码认证方式