A. Ubuntu允许root远程登录配置
1.背景
近期在本地的虚拟机VMware上安装了Ubuntu Server 17.04,由于系统是无界面的,所有操作都需要通过Linux命令进行操作。后来不想直接在服务器上操作,想通过远程工具Xshell去访问Linux系统。却发现根本连接不上。后来查资料,原来需要在Ubuntu上安装SSH协议软件,因为Ubuntu默认是不安装SSH服务的。安装了SSH服务后发现其他用户可以通过Xshell远程访问了,root用户访问会报密码被拒绝的错误,上网查资料,发现Ubuntu默认是不开启root远程登录的,需要设置一下。
2.实现
(1)检查是否开启SSH服务
命令:ps -e|grep ssh 查看SSH服务是否开启,或者通过命令:service sshd status 可以查看某个服务的状态。
(2)安装SSH服务
通过apt-get 安装,命令:apt-get install ssh
(3)启动SSH服务
命令:sudo /etc/init.d/ssh start
(4)修改SSH配置文件
命令:sudo vim /etc/ssh/sshd_config,找到PermitRootLogin without-password 修改为PermitRootLogin yes
(5)重启SSH服务
命令:service ssh restart
B. ssh使用详解
简单来说,ssh是一种 网络协议 ,用于计算机之间的加密登录。如果一个用户从本地计算机,使用ssh协议登录另一台远程计算机,我们就可以认为,这种登录是安全的,即使被中途截获,密码也不会泄露。
SSH 之所以安全是采用了公钥加密的方式,通过客户自己签发公钥加密用户密码,再通过主机持有的私钥解密;不像 HTTPS 协议存在证书管理中心CA用于验证公钥的合法性,因此,存在被中间人劫持的风险,即劫持登录请求发送篡改的公钥来截获用户登录密码,俗称”中间人攻击“;
不过 SSH 存在一套自有的验证方式:口令验证及密钥验证,可有效避免大部分的攻击;
使用上述命令测试连接性及验证流程;
通过 ssh-keygen 工具生成本地公钥文件,常用命令如下:
在 $HOME/.ssh/ 目录下,会新生成两个文件: id_rsa.pub 和 id_rsa 。 id_rsa.pub 是公钥, id_rsa 是私钥,其中 id_rsa 为默认文件名称,若如上图指定了文件路径及名称,则按照指定路径及文件名生成;
说明:若 ssh 登录使用密钥验证方式登录,则需要输入私钥的密码(生成密钥时指定的密码),若使用 ssh-agent 代理,则在同一个 session 会话下,只需要输入一次私钥密码即可,由 ssh-agent 帮我们代理,避免每次登录都需要输入私密码;
若登录时未开启,可手动开启 ssh-agent ,可通过如下命令:
添加生成的 SSH key 到 ssh-agent :
查看添加的 SSH key :
若需要免密登录,则需要将用户的 public key 文件内存追加复制到登录主机的 authorized_keys 配置文件中(默认路径为 ~/.ssh/authorized_keys ),或者直接通过 ssh--id 工具完成,具体如下:
使用上述命令后即可实现 免密登录 ;
ssh 配置包括系统级别的(针对客户端的默认为 /etc/ssh/ssh_config ,针对服务端的``/etc/ssh/sshd_config )及用户级别的配置文件(默认为 ~/.ssh/config`);且配置文件存在优先级,低优先级的配置项可视作默认值;而高优先级的配置项则会覆盖默认值。按优先级,有如下排序:
/etc/ssh/config 配置文件选项如下:
/etc/ssh/sshd_config 配置文件选项如下:
常用的选项如下:
ssh -T [email protected] 验证连接性,成功如下:
ssh配置文件详解
git-ssh 配置和使用
ssh-keygen - Generate a New SSH Key
最佳搭档:利用 SSH 及其配置文件节省你的生命
C. 思科路由器SSH配置案例
思科路由器SSH配置案例
SSH为建立在应用层基础上的安全协议。SSH是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用SSH 协议可以有效防止远程管理过程中的信息泄露问题。下面是思科路由器SSH配置案例,希望对你有帮助!
1. 配置hostname和ipdomain-name
Router#configure terminal
Router(config)#hostname R2 //配置ssh的时候路由器的名字不能为router
R2(config)#ip domain-name cisco.com //配置SSH必需
R2(config)#username best password best1
或 username best privilege 15 password 7 best1
注:添加一个用户:best,口令:best1
R2(config)#line vty 0 4
R2(config-line)#transport input ssh //只允许用SSH登录(注意:禁止telnet和从
交换引擎session!)
2. 配置SSH服务:
R2(config)#crypto key generate rsa
The name for the keys will be: R2.cisco.com
注:SSH的关键字名就是hostname + . +ipdomain-name
Choose the size of the key molus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key molus greater than 512 may take
a few minuts
How many bits in the molus [512]: 注:选择加密位数,cisco推荐使用1024
Generating RSA keys ...
[OK]
用命令show ip ssh也能看到:
SSH Enabled - version 1.5
Authentication timeout: 120 secs; Authentication retries:
现在SSH服务已经启动,如果需要停止SSH服务,用以下命令:
R2(config)#crypto key zeroize rsa
3.设置SSH参数
配置好了SSH之后,通过show run命令我们看到SSH默认的参数:超时限定为120秒,认证重试次数为3次,可以通过下面命令进行修改:
R2(config)#ip ssh {[time-out seconds]} │ [authentication-retries interger]}
如果要把超时限定改为180秒,则应该用:
R2(config)# ip ssh time-out 180
如果要把重试次数改成5次,则应该用:
R2(config)# ip ssh authentication-retries
这样,SSH已经在路由器上配置成功了,就能够通过SSH进行安全登录了。
注意:最后如果从别的设备用ssh登录这台路由器会出现以下内容:
R1#ssh -l best 192.168.0.2
Password:
R2>en
% Error in authentication.
为什会出现以上内容?
因为在R2上没有配置enablepassword/secret xxxx
R2配置上enable secret 5 $1$fJxo$suWiTzmfdj/vkvXfRHBcw/
那么在R1上:
R1#ssh -l best 192.168.0.2
Password:
R2>en
Password:
R2#confi g
拓展:
思科路由器如何设置
首先将路由器进行初始化复位,恢复出厂设置(非常重要),然后将电脑网卡与路由器LAN口用网线连接,打开路由器电源;电脑网卡设置192.168.1.2;
在电脑上双击IE浏览器,在地址栏中输入路由器默认设置页面IP地址:192.168.1.1回车;
输入默认用户名:admin,默认密码:admin;点击确定。
1、设置拨号账号:
点击左边栏设置向导,点击下一步;
点选ADSL虚拟拨号(PPPOE)点击下一步;
输入宽带账号、密码,点击下一步;
2、设置无线wifi密码:
左边还有个选项无线设置里面,有个ssid,这是WiFi的无线账号,设置好后有密码设置,密码尽量复杂些,最好字母数字符号组合;
3、设置登录密码
将默认的admin、admin登录密码改掉,防止有人破解蹭网后修改路由器。
点击保存后重启,完成。
思科路由器优势
一个系统方法的价值。
系统方法开始于单一永续平台,如思科(Cisco)集成多业务路由器。系统方法相结合的内部及其相互之间的智能服务,包装,编织语音,安全,路由和应用服务结合起来,使程序更加自动化和智能化。
结果普遍安全的网络和应用,对数据,语音更高的服务质量和视频流量,提高时间效率,更好地利用网络资源。
随着集成多业务路由器,思科(Cisco)提供了一个全面的`,未来需求的解决方案,最大限度地减少网络中断,并确保进入最关键业务应用。思科(Cisco)对性能结合新的基础设施服务的重点是使公司创造网络更聪明,更有弹性,可靠。
对于各种规模的需要快速,安全访问,今天的任务是,作为今后发展的基础和关键应用,思科(Cisco)路由器组织:
提供业界第一个投资组合提供安全,线速提供并发数据,语音传送设计和视频服务
嵌入安全和语音服务到一个单一的路由系统;
采用集成的系统方法的嵌入式服务,应用部署速度,降低运营成本和复杂性;
提供无与伦比的服务性能和投资保护;
不同专业的小产品,思科(Cisco)集成多业务路由器中嵌入作为一个单一的弹性系统,便于部署简化的管理,安全和语音服务,并降低运营成本。思科(Cisco)路由器提供安全的通信解决方案,你今天需要,同时为明天的智能信息网络的基础。
此外,思科(Cisco)集成多业务路由器:
提供快捷,安全地访问关键任务业务应用和未来发展无可比拟的投资保护,使企业能够轻松部署和管理的融合,通讯解决方案得到最终用户的生产力端对端的安全;
特征业界领先的服务密度,带宽,可用性和最高配置的灵活性和最苛刻的网络环境中的可扩展性性能选项;
提供的语音容量和广泛的服务,使客户可以轻松地实现终端到终端的,最佳的IP通信解决方案,同时提供一个未来的增长和投资保护的基础;
是唯一的路由器,允许企业构建一个智能的,自防御网络的基础,具有最佳的服务,一流的安全和路由最低的总拥有成本的技术和最高的投资回报。
;D. SSH连接Ubuntu Server服务器的两种方式
SSH(secure shell)用于远程和服务器交互
Ubuntu Server默认安装了OpenSSH Server,可通过端口22连接
SSH客户端可以用用户名密码的方式连接服务器,也可以用密钥对的方式连接服务器。
可以使用SSH客户端工具PuTTY,windows10自带的SSH工具,或者VMWare的SSH工具连接服务器
1.在命令行用 用户名和密码连接
ssh username@serveraddress
2.SSH客户端还可以用 密码对 (公钥和私钥)连接
这里使用Win10自带的工具
生成密钥对
运行命令:ssh-keygen
添加公钥
打开生成的公钥文件id_rsa.pub,复制全部内容
使用SSH密码登录的方式登录Ubuntu服务器,在当前用户目录创建文件夹.ssh,进入.ssh文件夹并创建文件authorized_keys,粘贴从公钥复制的内容并保存文件
修改SSH配置
修改Ubuntu Server的文件:
/etc/ssh/sshd_config
将PubkeyAuthentication yes前面的注释去掉
运行命令重启sshd服务
sudo systemctl restart sshd
退出SSH连接,重新用私钥登录登录
ssh <username>@<serveraddress> -i <私钥路径>
E. H3C交换机SSH配置方法
H3C交换机SSH配置方法
SSH为建立在应用层和传输层基础上的安全协议。那么用h3c交换机怎么配置ssh呢?下面为大家介绍最简单的配置方法,欢迎阅读!
使用SSH+密码认证(基本SSH配置方法)
注:在用户使用SSH登录交换机时,交换机对所要登录的用户使用密码对其进行身份验证
生成RSA和DSA密钥对
[H3C]public-key local create rsa
[H3C]public-key local create dsa
设置用户接口上的认证模式为AAA,并让用户接口支持SSH协议
[H3C]user-interface vty 0 4
[H3C-ui-vty0-4]authentication-mode scheme
[H3C-ui-vty0-4]protocol inbound ssh
创建用户luwenju-juzi,设置认证密码为luwenju-!@# 登录协议为SSH,能访问的命令级别为3
[H3C]local-user luwenju-juzi
[H3C-luser-luwenju-juzi]password cipher luwenju-!@#
[H3C-luser-luwenju-juzi]service-type ssh level 3
指定用户luwenju-juzi的'认证方式为password
[H3C]ssh user luwenju-juzi authentication-type password
一个基本的SSH配置就结束了,配置完成后即可使用SSH登录工具进行连接交换机
使用SSH+密钥、密码认证(高级SSH配置方法)
注:客户端在使用SSH工具登录交换机时,交换机同时使用密钥和密码对所要登录的用户实行身份验证
生成RSA和DSA密钥对
[H3C]public-key local create rsa
[H3C]public-key local create dsa
设置用户接口上的认证模式为AAA认证,并在接口上开启SSH协议,并设置用户能访问的命令级别为3
[H3C]user-interface vty 0 4
[H3C-ui-vty0-4]authentication-mode scheme
[H3C-ui-vty0-4]protocol inbound ssh
[H3C-ui-vty0-4]user privilege level 3
创建用户,并指定认证方式为公钥认证,用户名为luwenju-juzi,密码为luwenju-!@#
[H3C]local-user luwenju-juzi
[H3C-luser-luwenju-juzi]password cipher luwenju-!@#
[H3C-luser-luwenju-juzi]service-type ssh level 3
[H3C]ssh user luwenju-juzi authentication-type password-publickey
客户端生成公钥和私钥
用puttygen.exe生成公私钥对,然后放到某个文件夹下,在此,我们生成的公钥叫luwenjukey私钥为luwenju.ppk,然后我们把公钥文件luwenjukey上传到FTP服务器,然后登录交换机,将luwenjukey下载到交换机
ftp 202.106.0.20
[ftp]get luwenjukey
为用户生成公钥,在交换机上把文件luwenjukey中导入客户端的公钥,公钥名为luwenju-juzikey 注:luwenju-juzikey是为用户生成的公钥
[H3C]public-key peer luwenju-juzikey import sshkey luwenjukey
为用户luwenju-juzi指定公钥luwenju-juzikey
[H3C]ssh user luwenju-juzi assign publickey luwenju-juzikey
然后打开SSH登录工具,导入私钥luwenju.ppk,然后输入交换机的IP地址登录即可
;