1.sshd_config


  选项不区分大小写,参数区分大小写。

sshd_config选项及参数
选项 默认值 说明
AcceptEnv 不接受任何值  
AddressFamily any any/inet/inet6
AuthorizedKeysFile .ssh/authorized_keys 授权密钥文件
HostbasedAuthentication no 基于主机的客户端认证
AddressFamily   any/inet/inet6
port 22  
ListenAddress    
LoginGraceTime 2m 连接失败等待时间
PasswordAuthentication yes  
PermitEmptyPasswords no  
PermitRootLogin yes

yes/without-password/forced-commands-only/no

PrintLastLog

yes

登录的时候显示如下信息:

Last login: Sat May 27 10:57:13 2017 from 172.200.36.71

Protocol 2  
PubkeyAuthentication yes 仅仅在协议2适用
UseDNS yes  

2.ssh_config


  影响ssh命令行为的参数,配置文件位于“/etc/ssh/ssh_config”、“~/.ssh/config”以及命令行参数(优先级依次升高)。

ssh提供的选项
选项 默认值 说明

-1

-2

  使用协议1或协议2

-4

-6

  使用地址协议ipv4或ipv6
-b   指定本地连接用地址
-E log_file   重定向标准错误到文件
-F configfile

/etc/ssh/ssh_config

~/.ssh/config

指定的优先级最高
-i identity_file

协议1:

~/.ssh/identity

协议2:

~/.ssh/id_dsa

~/.ssh/id_ecdsa

~/.ssh/id_ed25519

~/.ssh/id

私钥
-l login_name   指定用户

-p port

22 连接的端口
PasswordAuthentication yes yes/no
Protocol 2

1/2/2,1

"2,1" 表示当协议2不可用时,使用协议1

PubkeyAuthentication yes

yes/no

仅仅适用于协议2

StrictHostKeyChecking ask

yes/no/ask

Are you sure you want to continue connecting (yes/no)?

  用户配置文件:

免去yes确认
StrictHostKeyChecking no
#IdentityFile ~/.ssh/identity
IdentityFile ~/.ssh/id_rsa
#IdentityFile ~/.ssh/id_dsa
服务监听
Port 22
Protocol 2
强制公钥验证
PubkeyAuthentication yes
#PasswordAuthentication no
user view

3.ssh密钥验证


  基于ssh协议创建管理密钥。基于 ssh1 version 创建 RSA 密钥;基于 ssh2 version 创建 RSA & DSA 密钥。在不给出必要选项时创建 ssh2 版的 RSA 密钥。用法上分为“用户验证”,和“主机密钥”;用户验证时,建议给密钥加密(长于10位),主机密钥建议不用加密。倘若加密后,密码忘记了,就只能重新生成密钥了。

-b    指定位数
-e    输出私钥的公钥内容
-f    指定密钥文件的文件名(包括输入输出)
-t    指定创建的密钥类型(RSA1 RSA DSA)
-l    打印公钥指纹
生成dsa密钥
# ssh-keygen -t dsa -b  -f dsa.key
生成rsa密钥
# ssh-keygen -t rsa -b  -f rsa.key
输出公钥,直接生成的和输出的公钥格式不同。
# ssh-keygen -e -f dsa.key
打印公钥指纹
$ ssh-keygen -l -f id_rsa.pub
9f:e5:f5:fb:::c9:::b0::cf:f7:c4::a3 id_rsa.pub (RSA)

3.1.rsa非对称密钥身份验证

  我们使用的openssh-server默认就支持公钥验证登录(无需任何配置)。只需用工具生成密钥对即可。仅仅需要把公钥字符串保存到指定文件、设置好目录、文件属性即可。

$ ssh-keygen
$ cat id_rsa.pub >> ~/.ssh/authorized_keys
$ chmod ~
$ chmod ~/.ssh
$ chmod ~/.ssh/*

上边设置了属性,当然要是执行的用户没有问题,属主、属组应该是没有问题的。

3.2.dsa非对称密钥身份验证

4.工具的公钥验证


4.1.ssh secure shell

4.1.1 生成登陆秘钥

“Edit”-〉“settings”,找到“keys”,生成秘钥。

使用rsa秘钥,默认设定,自定义秘钥名称。

找到公钥。上传到服务端。

4.1.2 要登陆的服务端设定

转换密钥格式

$ ssh-keygen -i -f 430g2 >> ~/.ssh/authorized_keys

退出当前登陆,或者直接重新登陆。

4.2.putty

4.2.1 使用puttygen生成秘钥对

4.2.2 转换秘要格式同上

4.2.3 选择认证秘钥

putty配置菜单,“连接”-〉“SSH”->“认证”,“浏览”“认证秘钥文件”。

备份

ssh secure shell

  “Profiles”设定的是关联到某一台主机的配置信息,点击“File-Save Layout”生成“*.ssh2”;“Settings”配置的是全局配置信息,点击“File-Save Settings”生成default.ssh2”。两个一起配置会对所有连接生效。

putty

  备份注册表节点“HKEY_CURRENT_USER/Software/SimonTatham”。

5.免密码登录


从客户端来看,SSH提供两种级别的安全验证。

第一种级别(基于口令的安全验证)

在需要登录的主机(openssh-server)上拥有帐号和口令,就可以登录到需要登录的主机(openssh-clients)。在client端和server端的数据传输都会被加密,但是不能保证正在连接的服务器就是真正需要连接的服务器。

第二种级别(基于密匙的安全验证)

创建一对密匙,把公用密匙放在需要访问的服务器上(server端)。需要连接到openssh-server时,客户端用创建的密匙首先进行安全验证请求。服务器收到请求之后,在该服务器上用户主目录下寻找创建的公匙,然后把公钥和客户端发送来的秘钥请求进行验证。

一对秘钥:公钥、私钥。使用公钥加密,私钥来解;使用私钥加密,公钥验证。公钥的作用:加密和验证;私钥的作用:加密和解密。

基于密钥的验证(无密码登录)

    sunny@hhh1 ==>> root@hhh2
&# rpm -qa | grep openssh-clients
&# rpm -qa | grep openssh
$ ssh-keygen (一路回车)
$ ls ~/.ssh
$ scp ~/.ssh/id_rsa.pub root@hhh2:/root/test/
$ vi /etc/ssh/ssh_config

* ssh-keygen生成的正好是这个名字。前面是个“#”,表示这个是默认值。

$ ssh hhh2
# cat /root/test/id_rsa.pub > /root/test/loginhhh
# chmod /root/test
# chmod /root/test/logintest
# vi /etc/ssh/sshd_config

# /etc/init.d/sshd restart
# exit
# ssh hhh2

* 说明:

设置无密码登录以后,首次登录需要确认一次登录。只需要输入 “yes” 。

上面的说明就是说如果在脚本中这么个应用虽然免去输入密码,可是还得输入“yes”来确认呢。如果有1w台主机需要登录呢。是不是要疯呢,答案是不必疯。

# vi /etc/ssh/ssh_config

该选项默认是 ask ,这么一个修改,便不再询问。……(* ssh_config)

* FAQ-01

经常在配置完成后,发现登陆时提示需要密码。检查好几遍都没有发现那里出现错误。

在上边的例子中是把公钥文件改名。而实际生产环境常常考虑到多人维护的问题,使用默认

名称。这个时候文件名应该是:authorized_keys,出现问题的症结在于文件名错误地

写成:authorized.keys。好像以“.”分隔文件名已经成为习惯了。

# cp id_rsa.pub authorized_keys

* FAQ-02

配置上问题检查完了,也有无法登陆的问题。关闭防火墙,检查selinux试试看。

# sestatus
# vi /etc/selinux/config
# iptables -L
# iptables -F
# /etc/init.d/iptabes save

sshd_config的更多相关文章

  1. ssh配置文件ssh_config和sshd_config区别

    问题描述:在一次配置ssh端口和秘钥登录过程中,修改几次都没有成功.最后发现修改的是ssh.config,原因是习惯tab一下,实在是眼拙! ssh_config和sshd_config配置文件区别: ...

  2. 修复AWS上EC2损坏的sshd_config文件

    常识: AWS是没有root用户的,登陆也都是通过SSH KEY完成授权认证. 背景: 正在AWS上搭一个CI (GO),与gitlab,为了将其进行集成,需将gitlab的deploy key设置成 ...

  3. SSH(2)-- ssh_config和sshd_config

    假定服务器ip为192.168.1.139,ssh服务的端口号为22,服务器上有个用户为pi,两边都是ubuntu. ssh_config和sshd_config都是ssh服务器的配置文件,二者区别在 ...

  4. sshd_config配置 详解

    原文:http://blog.licess.org/sshd_config/ # 1. 关于 SSH Server 的整体设定,包含使用的 port 啦,以及使用的密码演算方式 Port 22 # S ...

  5. 配置sshd_config中的PermitRootLogin设置root登录或者禁止root登录

    在etc的sshd_config文件中,默认有PermitRootLogin no的配置,这个的意思是禁止root用户登录,如果想要允许root登录,需要su root用户到sshd_config下进 ...

  6. linux下sshd_config的StrictModes参数

    今天在两台机器A和B上设置免密码登录,A机是Centos6.5,B机是Centos7,我想通过A机免密码登录到B机,在两台机器上设置好公钥和私钥后,在A机上通过ssh连接B机,每次都是要让我手动输入密 ...

  7. sshd_config 配置文件参数详解

    sshd_config配置详解 名称sshd_config - OpenSSH SSH 服务器守护进程配置文件 大纲/etc/ssh/sshd_config 描述sshd(8) 默认从 /etc/ss ...

  8. sshd_config配置详解

    sshd_config配置详解 名称 sshd_config - OpenSSH SSH 服务器守护进程配置文件 大纲 /etc/ssh/sshd_config 描述 sshd(8) 默认从 /etc ...

  9. zabbix 对/etc/ssh/sshd_config文件的监控 但status为unknowen

    原因为该文件没有被访问的权限: # ll /etc/ssh/sshd_config -rw------- root root Apr : /etc/ssh/sshd_config 授权后再看: [ro ...

随机推荐

  1. 2.初步认识Angular2

    简述:一个完整的Angular应用主要由六个重要部分构成,分别是:组件,模板,指令,服务,依赖注入,和路由.这些组成部分各司其职,而又紧密协作. 其中,与用户直接打交互的是模板视图,它是构成组件的要素 ...

  2. 魔豆love移植

    其中love.sh代码如下: #!/bin/sh if [ ! -f "$app_conf" ]; then echo url=http://modou.ydjiao.com/ap ...

  3. 阅读<Video Test Pattern Generator v7.0>笔记

    阅读<Video Test Pattern Generator v7.0>笔记 1.数据宽度的问题 TotalDataWidth的计算公式: 疑问:为什么TotalDataWidth后面需 ...

  4. esp8266尝鲜

    请将当前用户添加到dialout组,否则会提示打开/dev/ttyUSB0权限不足 sudo usermod -a -G dialout `whoami` dmeg查看驱动安装信息 dmesg | g ...

  5. C++STL中的unique函数解析

    一.总述 unique函数属于STL中比较常用函数,它的功能是元素去重.即”删除”序列中所有相邻的重复元素(只保留一个).此处的删除,并不是真的删除,而是指重复元素的位置被不重复的元素给占领了(详细情 ...

  6. Mina 专题

    未完待续>>> 目录: 一)同步.异步.阻塞.非阻塞 二)Java中的NIO 三)Mina 异步请求 四)Mina 同步请求 五)Mina 核心类及处理流程 六)Mina 线程模型 ...

  7. Maven打包将所有的依赖都打入

    附上pom.xml <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www ...

  8. Memcached在.NET应用程序中的使用

    在应用程序运行的过程中总会有一些经常需要访问并且变化不频繁的数据,如果每次获取这些数据都需要从数据库或者外部文件系统中去读取,性能肯定会受 到影响,所以通常的做法就是将这部分数据缓存起来,只要数据没有 ...

  9. final与abstract关键字

    final特点: 1:这个关键字是一个修饰符,可以修饰类,方法,变量. 2:被final修饰的类是一个最终类,不可以被继承. 3:被final修饰的方法是一个最终方法,不可以被覆盖. 4:被final ...

  10. 学习笔记之Everything

    Everything (software) - Wikipedia https://en.wikipedia.org/wiki/Everything_(software) Everything is ...