A. Ubuntu允許root遠程登錄配置
1.背景
近期在本地的虛擬機VMware上安裝了Ubuntu Server 17.04,由於系統是無界面的,所有操作都需要通過Linux命令進行操作。後來不想直接在伺服器上操作,想通過遠程工具Xshell去訪問Linux系統。卻發現根本連接不上。後來查資料,原來需要在Ubuntu上安裝SSH協議軟體,因為Ubuntu默認是不安裝SSH服務的。安裝了SSH服務後發現其他用戶可以通過Xshell遠程訪問了,root用戶訪問會報密碼被拒絕的錯誤,上網查資料,發現Ubuntu默認是不開啟root遠程登錄的,需要設置一下。
2.實現
(1)檢查是否開啟SSH服務
命令:ps -e|grep ssh 查看SSH服務是否開啟,或者通過命令:service sshd status 可以查看某個服務的狀態。
(2)安裝SSH服務
通過apt-get 安裝,命令:apt-get install ssh
(3)啟動SSH服務
命令:sudo /etc/init.d/ssh start
(4)修改SSH配置文件
命令:sudo vim /etc/ssh/sshd_config,找到PermitRootLogin without-password 修改為PermitRootLogin yes
(5)重啟SSH服務
命令:service ssh restart
B. ssh使用詳解
簡單來說,ssh是一種 網路協議 ,用於計算機之間的加密登錄。如果一個用戶從本地計算機,使用ssh協議登錄另一台遠程計算機,我們就可以認為,這種登錄是安全的,即使被中途截獲,密碼也不會泄露。
SSH 之所以安全是採用了公鑰加密的方式,通過客戶自己簽發公鑰加密用戶密碼,再通過主機持有的私鑰解密;不像 HTTPS 協議存在證書管理中心CA用於驗證公鑰的合法性,因此,存在被中間人劫持的風險,即劫持登錄請求發送篡改的公鑰來截獲用戶登錄密碼,俗稱」中間人攻擊「;
不過 SSH 存在一套自有的驗證方式:口令驗證及密鑰驗證,可有效避免大部分的攻擊;
使用上述命令測試連接性及驗證流程;
通過 ssh-keygen 工具生成本地公鑰文件,常用命令如下:
在 $HOME/.ssh/ 目錄下,會新生成兩個文件: id_rsa.pub 和 id_rsa 。 id_rsa.pub 是公鑰, id_rsa 是私鑰,其中 id_rsa 為默認文件名稱,若如上圖指定了文件路徑及名稱,則按照指定路徑及文件名生成;
說明:若 ssh 登錄使用密鑰驗證方式登錄,則需要輸入私鑰的密碼(生成密鑰時指定的密碼),若使用 ssh-agent 代理,則在同一個 session 會話下,只需要輸入一次私鑰密碼即可,由 ssh-agent 幫我們代理,避免每次登錄都需要輸入私密碼;
若登錄時未開啟,可手動開啟 ssh-agent ,可通過如下命令:
添加生成的 SSH key 到 ssh-agent :
查看添加的 SSH key :
若需要免密登錄,則需要將用戶的 public key 文件內存追加復制到登錄主機的 authorized_keys 配置文件中(默認路徑為 ~/.ssh/authorized_keys ),或者直接通過 ssh--id 工具完成,具體如下:
使用上述命令後即可實現 免密登錄 ;
ssh 配置包括系統級別的(針對客戶端的默認為 /etc/ssh/ssh_config ,針對服務端的``/etc/ssh/sshd_config )及用戶級別的配置文件(默認為 ~/.ssh/config`);且配置文件存在優先順序,低優先順序的配置項可視作默認值;而高優先順序的配置項則會覆蓋默認值。按優先順序,有如下排序:
/etc/ssh/config 配置文件選項如下:
/etc/ssh/sshd_config 配置文件選項如下:
常用的選項如下:
ssh -T [email protected] 驗證連接性,成功如下:
ssh配置文件詳解
git-ssh 配置和使用
ssh-keygen - Generate a New SSH Key
最佳搭檔:利用 SSH 及其配置文件節省你的生命
C. 思科路由器SSH配置案例
思科路由器SSH配置案例
SSH為建立在應用層基礎上的安全協議。SSH是目前較可靠,專為遠程登錄會話和其他網路服務提供安全性的協議。利用SSH 協議可以有效防止遠程管理過程中的信息泄露問題。下面是思科路由器SSH配置案例,希望對你有幫助!
1. 配置hostname和ipdomain-name
Router#configure terminal
Router(config)#hostname R2 //配置ssh的時候路由器的名字不能為router
R2(config)#ip domain-name cisco.com //配置SSH必需
R2(config)#username best password best1
或 username best privilege 15 password 7 best1
註:添加一個用戶:best,口令:best1
R2(config)#line vty 0 4
R2(config-line)#transport input ssh //只允許用SSH登錄(注意:禁止telnet和從
交換引擎session!)
2. 配置SSH服務:
R2(config)#crypto key generate rsa
The name for the keys will be: R2.cisco.com
註:SSH的關鍵字名就是hostname + . +ipdomain-name
Choose the size of the key molus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key molus greater than 512 may take
a few minuts
How many bits in the molus [512]: 註:選擇加密位數,cisco推薦使用1024
Generating RSA keys ...
[OK]
用命令show ip ssh也能看到:
SSH Enabled - version 1.5
Authentication timeout: 120 secs; Authentication retries:
現在SSH服務已經啟動,如果需要停止SSH服務,用以下命令:
R2(config)#crypto key zeroize rsa
3.設置SSH參數
配置好了SSH之後,通過show run命令我們看到SSH默認的參數:超時限定為120秒,認證重試次數為3次,可以通過下面命令進行修改:
R2(config)#ip ssh {[time-out seconds]} │ [authentication-retries interger]}
如果要把超時限定改為180秒,則應該用:
R2(config)# ip ssh time-out 180
如果要把重試次數改成5次,則應該用:
R2(config)# ip ssh authentication-retries
這樣,SSH已經在路由器上配置成功了,就能夠通過SSH進行安全登錄了。
注意:最後如果從別的設備用ssh登錄這台路由器會出現以下內容:
R1#ssh -l best 192.168.0.2
Password:
R2>en
% Error in authentication.
為什會出現以上內容?
因為在R2上沒有配置enablepassword/secret xxxx
R2配置上enable secret 5 $1$fJxo$suWiTzmfdj/vkvXfRHBcw/
那麼在R1上:
R1#ssh -l best 192.168.0.2
Password:
R2>en
Password:
R2#confi g
拓展:
思科路由器如何設置
首先將路由器進行初始化復位,恢復出廠設置(非常重要),然後將電腦網卡與路由器LAN口用網線連接,打開路由器電源;電腦網卡設置192.168.1.2;
在電腦上雙擊IE瀏覽器,在地址欄中輸入路由器默認設置頁面IP地址:192.168.1.1回車;
輸入默認用戶名:admin,默認密碼:admin;點擊確定。
1、設置撥號賬號:
點擊左邊欄設置向導,點擊下一步;
點選ADSL虛擬撥號(PPPOE)點擊下一步;
輸入寬頻賬號、密碼,點擊下一步;
2、設置無線wifi密碼:
左邊還有個選項無線設置裡面,有個ssid,這是WiFi的無線賬號,設置好後有密碼設置,密碼盡量復雜些,最好字母數字元號組合;
3、設置登錄密碼
將默認的admin、admin登錄密碼改掉,防止有人破解蹭網後修改路由器。
點擊保存後重啟,完成。
思科路由器優勢
一個系統方法的價值。
系統方法開始於單一永續平台,如思科(Cisco)集成多業務路由器。系統方法相結合的內部及其相互之間的智能服務,包裝,編織語音,安全,路由和應用服務結合起來,使程序更加自動化和智能化。
結果普遍安全的網路和應用,對數據,語音更高的服務質量和視頻流量,提高時間效率,更好地利用網路資源。
隨著集成多業務路由器,思科(Cisco)提供了一個全面的`,未來需求的解決方案,最大限度地減少網路中斷,並確保進入最關鍵業務應用。思科(Cisco)對性能結合新的基礎設施服務的重點是使公司創造網路更聰明,更有彈性,可靠。
對於各種規模的需要快速,安全訪問,今天的任務是,作為今後發展的基礎和關鍵應用,思科(Cisco)路由器組織:
提供業界第一個投資組合提供安全,線速提供並發數據,語音傳送設計和視頻服務
嵌入安全和語音服務到一個單一的路由系統;
採用集成的系統方法的嵌入式服務,應用部署速度,降低運營成本和復雜性;
提供無與倫比的服務性能和投資保護;
不同專業的小產品,思科(Cisco)集成多業務路由器中嵌入作為一個單一的彈性系統,便於部署簡化的管理,安全和語音服務,並降低運營成本。思科(Cisco)路由器提供安全的通信解決方案,你今天需要,同時為明天的智能信息網路的基礎。
此外,思科(Cisco)集成多業務路由器:
提供快捷,安全地訪問關鍵任務業務應用和未來發展無可比擬的投資保護,使企業能夠輕松部署和管理的融合,通訊解決方案得到最終用戶的生產力端對端的安全;
特徵業界領先的服務密度,帶寬,可用性和最高配置的靈活性和最苛刻的網路環境中的可擴展性性能選項;
提供的語音容量和廣泛的服務,使客戶可以輕松地實現終端到終端的,最佳的IP通信解決方案,同時提供一個未來的增長和投資保護的基礎;
是唯一的路由器,允許企業構建一個智能的,自防禦網路的基礎,具有最佳的服務,一流的安全和路由最低的總擁有成本的技術和最高的投資回報。
;D. SSH連接Ubuntu Server伺服器的兩種方式
SSH(secure shell)用於遠程和伺服器交互
Ubuntu Server默認安裝了OpenSSH Server,可通過埠22連接
SSH客戶端可以用用戶名密碼的方式連接伺服器,也可以用密鑰對的方式連接伺服器。
可以使用SSH客戶端工具PuTTY,windows10自帶的SSH工具,或者VMWare的SSH工具連接伺服器
1.在命令行用 用戶名和密碼連接
ssh username@serveraddress
2.SSH客戶端還可以用 密碼對 (公鑰和私鑰)連接
這里使用Win10自帶的工具
生成密鑰對
運行命令:ssh-keygen
添加公鑰
打開生成的公鑰文件id_rsa.pub,復制全部內容
使用SSH密碼登錄的方式登錄Ubuntu伺服器,在當前用戶目錄創建文件夾.ssh,進入.ssh文件夾並創建文件authorized_keys,粘貼從公鑰復制的內容並保存文件
修改SSH配置
修改Ubuntu Server的文件:
/etc/ssh/sshd_config
將PubkeyAuthentication yes前面的注釋去掉
運行命令重啟sshd服務
sudo systemctl restart sshd
退出SSH連接,重新用私鑰登錄登錄
ssh <username>@<serveraddress> -i <私鑰路徑>
E. H3C交換機SSH配置方法
H3C交換機SSH配置方法
SSH為建立在應用層和傳輸層基礎上的安全協議。那麼用h3c交換機怎麼配置ssh呢?下面為大家介紹最簡單的配置方法,歡迎閱讀!
使用SSH+密碼認證(基本SSH配置方法)
註:在用戶使用SSH登錄交換機時,交換機對所要登錄的用戶使用密碼對其進行身份驗證
生成RSA和DSA密鑰對
[H3C]public-key local create rsa
[H3C]public-key local create dsa
設置用戶介面上的認證模式為AAA,並讓用戶介面支持SSH協議
[H3C]user-interface vty 0 4
[H3C-ui-vty0-4]authentication-mode scheme
[H3C-ui-vty0-4]protocol inbound ssh
創建用戶luwenju-juzi,設置認證密碼為luwenju-!@# 登錄協議為SSH,能訪問的命令級別為3
[H3C]local-user luwenju-juzi
[H3C-luser-luwenju-juzi]password cipher luwenju-!@#
[H3C-luser-luwenju-juzi]service-type ssh level 3
指定用戶luwenju-juzi的'認證方式為password
[H3C]ssh user luwenju-juzi authentication-type password
一個基本的SSH配置就結束了,配置完成後即可使用SSH登錄工具進行連接交換機
使用SSH+密鑰、密碼認證(高級SSH配置方法)
註:客戶端在使用SSH工具登錄交換機時,交換機同時使用密鑰和密碼對所要登錄的用戶實行身份驗證
生成RSA和DSA密鑰對
[H3C]public-key local create rsa
[H3C]public-key local create dsa
設置用戶介面上的認證模式為AAA認證,並在介面上開啟SSH協議,並設置用戶能訪問的命令級別為3
[H3C]user-interface vty 0 4
[H3C-ui-vty0-4]authentication-mode scheme
[H3C-ui-vty0-4]protocol inbound ssh
[H3C-ui-vty0-4]user privilege level 3
創建用戶,並指定認證方式為公鑰認證,用戶名為luwenju-juzi,密碼為luwenju-!@#
[H3C]local-user luwenju-juzi
[H3C-luser-luwenju-juzi]password cipher luwenju-!@#
[H3C-luser-luwenju-juzi]service-type ssh level 3
[H3C]ssh user luwenju-juzi authentication-type password-publickey
客戶端生成公鑰和私鑰
用puttygen.exe生成公私鑰對,然後放到某個文件夾下,在此,我們生成的公鑰叫luwenjukey私鑰為luwenju.ppk,然後我們把公鑰文件luwenjukey上傳到FTP伺服器,然後登錄交換機,將luwenjukey下載到交換機
ftp 202.106.0.20
[ftp]get luwenjukey
為用戶生成公鑰,在交換機上把文件luwenjukey中導入客戶端的公鑰,公鑰名為luwenju-juzikey 註:luwenju-juzikey是為用戶生成的公鑰
[H3C]public-key peer luwenju-juzikey import sshkey luwenjukey
為用戶luwenju-juzi指定公鑰luwenju-juzikey
[H3C]ssh user luwenju-juzi assign publickey luwenju-juzikey
然後打開SSH登錄工具,導入私鑰luwenju.ppk,然後輸入交換機的IP地址登錄即可
;