Linux系统下的控制服务（sshd服务认证及安全优化认证及登录信息的添加）

基本知识点
1.服务与应用的区别
服务service:是系统初始化进程对服务进行相应的控制&＃xff0c;无图形
应用application&＃xff1a;可以直接对图形进行直接操作
2.

systemd #####系统初始化进程
pstree #####x显示系统中的进程树


3.进程控制命令ssh -------> sshd client------>server

systemctl ##服务控制命令
systemctl status sshd ##查看服务状态&＃xff0c;inative(不可用&＃xff09;&＃xff0c;active(可用&＃xff09;
systemctl start sshd ##开启服务
systemctl stop sshd ##关闭服务
systemctl restart sshd ##重启服务
systemctl reload sshd ##重新加载服务配置
systemctl enable sshd ##设定服务开机启动
systemctl disable sshd ##设定服务开机不启动
systemctl list-units ##列出已经开启服务当前状态
systemctl list-unit-files ##列出所有服务开机启动的状态
systemctl list-dependencies ##列出服务的依赖
systemctl set-default multi-user.target ##设定系统启动级别为多用户模式&＃xff08;无图形&＃xff09;
systemctl set-default graphical.target ##设定系统启动级别为图形模式


systemctl status sshd ##查看服务状态&＃xff0c;inative(不可用&＃xff09;&＃xff0c;active(可用&＃xff09;


systemctl stop sshd ##关闭服务


systemctl disable sshd ##设定服务开机不启动


systemctl enable sshd ##设定服务开机启动


systemctl list-units ##列出已经开启服务当前状态


systemctl list-unit-files ##列出所有服务开机启动的状态


systemctl list-dependencies ##列出服务的依赖


systemctl set-default multi-user.target ##设定系统启动级别为多用户模式&＃xff08;无图形&＃xff09;


操作测试&＃xff1a;
在虚拟机中配置环境&＃xff1a;nm-connection-editor->配置172.25&＃xff0c;254.100&＃43;真机ip ->rm -fr ~/.ssh/进行删除&＃xff0c;恢复最原始默认状态
在真机查看:
ssh root&＃64;172.25.254.104(实现虚拟机和真机的远程连接->使用ifconfig eth0 进行查看



4.sshd&＃61;secure shell 可以通过网络在主机中开机shell的服务 客户端软件 sshd
连接方式&＃xff1a;

ssh username&＃64;ip ##文本模式的连接
ssh -X username&＃64;ip ##可以在链接成功后开启图形 %%可以使用chesee打开摄像头图形进行测试


ssh username&＃64;ip ##文本模式的连接


ssh -X username&＃64;ip ##可以在链接成功后开启图形 %%可以使用chesee


注意&＃xff1a;第一次连接陌生主机是要建立认证文件
###远程复制

scp file root&＃64;ip:adress #把虚拟机中的文件上传到真机的某个地址中
scp -r dir root&＃64;ip:dir adress(真机的某个地址/home/kiosk/Desktop/ #把虚拟机的目录上传到真机的某个地址中
scp root&＃64;ip:file&＃xff08;要下载的文件绝对路径/home/kiosk/Desktop/ unit6&＃xff09; adress&＃xff08;放在虚拟机的某个位置/root/Desktop&＃xff09; #将真机中的某个文件下载到虚拟机中的某个位置


scp file root&＃64;ip:adress #把虚拟机中的文件上传到真机的某个地址中


scp root&＃64;ip:file&＃xff08;要下载的文件绝对路径/home/kiosk/Desktop/ unit6&＃xff09;


5.sshd的key认证
要首先进行两台虚拟机环境配置
操作步骤&＃xff1a;
&＃xff08;1&＃xff09;打开虚拟机1为&＃xff1a;rht-vmctl start desktop打开虚拟机2为&＃xff1a;rht-vmctl start server
&＃xff08;2&＃xff09;重命名为了操作的直观

hostnamectl set-hostname westos_sever.westos.com
hostnamectl set-hostname westos_client.westos.com


(3)对虚拟机进行环境背景颜色的改变&＃xff0c;观察起来更直观
(4)使用cd.ssh/->rm -fr *进行清除&＃xff0c;保证实验环境的纯洁
设置锁头和钥匙

ssh-keygen -f /root/.ssh/id_rsa -P ""(所在机&＃xff09;服务器


将锁头设置在需要进行安全保护的地方

ssh-copy-id -i /root/.ssh/id_rsa.pub root&＃64;172.25.254.(所在机&＃xff09;服务器


分发钥匙

scp /root/.ssh/id_rsa root&＃64;172.25.254.(测试机&＃xff09;&＃xff1a;/root/.ssh/


测试&＃xff1a;客户机连接主机进行测试
ssh root&＃64;172.25.254.ip
####免密登陆####客户机&＃xff08;截图中主机名有误&＃xff09;

############
上面步骤的进一步操作
(1)现在客户端上进行检查&＃xff0c;客户端连接服务器&＃xff0c;查看是否免密登陆&＃xff0c;是则进行删除
id_ras(rm -fr /root/.ssh/id_ras) 删除完毕后再进一步测试是否需要认证方式&＃xff0c;如果是&＃xff0c;则进行下列操作&＃xff01;
6.ssh的安全加密优化 无私钥无法进入&＃xff08;服务端中进行操作&＃xff09;

vim /etc.ssh/sshd_config ##改变该文件中的第78行&＃xff0c;进行yes/no 的更改
systemctl restart-sshd ##系统重启后&＃xff0c;更改生效


客户端测试&＃xff08;客户端无法进入&＃xff09;

7.ssh的进一步安全加密优化

vim /etc.ssh/sshd_config ##将该文件中第78行状态改为yes(便于后续操作&＃xff09;
PermitRootLogin yes|no ##上述文件的第48行(改变设置超级用户权限&＃xff09;
加入Allowusers student westos ##设定用户白名单&＃xff0c;白名单出现默认不在名单中的用户不可访问
加入Denyusers westos ##设定用户黑名单&＃xff0c;黑名单中出现默认不在黑名单中的用户都可访问


###注意&＃xff1a;1.若超级用户登陆权限开启&＃xff0c;但白名单中无root用户&＃xff0c;则root用户无访问权限&＃xff1b;2.白名单的安全性能比黑名单要高&＃xff0c;白名单只设置指定用户具有访问权限&＃xff0c;剩下都不可访问&＃xff0c;在安全性方便&＃xff0c;比设置黑名单安全性能好。

8.添加sshd登录信息

vim /etc/motd ##文件内容就是登陆后显示的信息


注意&＃xff1a;一般添加的信息为主机信息等有用信息&＃xff0c;便于告诉用户主机的用途
例如&＃xff1a;

#######################
##### HOST MESSAGES####
###################################
#HOSTNAME :westos_server.westos.com#
#IPADDRESS :172.25.254.200 #
#TYPE :SSHD SERVER #
##################################


9.用户的登陆审计

w ##查看正在使用当前系统的用户
w -f ##查看使用来源
w -i ##显示ip/var/run/utmp 相关文件


last ##查看使用过并退出的用户信息/var/log/wtmp


lastb ##查看试图登陆但没有成功的用户/var/log/btmp