位置: 编程技术 - 正文

ubuntu配置ssh server的详细步骤(Ubuntu配置永久IP配置文件)

编辑:rootadmin

推荐整理分享ubuntu配置ssh server的详细步骤(Ubuntu配置永久IP配置文件),希望有所帮助,仅作参考,欢迎阅读内容。

文章相关热门搜索词:Ubuntu配置网卡ip,ubuntu配置ssh server,Ubuntu配置网卡ip,Ubuntu配置静态ip,Ubuntu配置网络,Ubuntu配置网卡ip,ubuntu配置ssh server,ubuntu配置ssh server,内容如对您有帮助,希望把文章链接给更多的朋友!

SSH-Server配置指南

一、SSH简介

SSH (Secure Shell)是一个应用程序中提供安全通信的协议,通过SSH协议可以安全地访问服务器,因为SSH 具有成熟的公钥加密体系,在数据进行传输时进行加密,保证数据在传输时不被恶意篡改、破坏和泄露,能有效防止网络嗅探和IP欺骗等攻击。

二、服务器端Ubuntu平台下OpenSSH server的安装

SSH是由芬兰的一家公司开发的,但是因为受版权和加密算法的限制,现在很多人都转而使用OpenSSH。OpenSSH是SSH的替代软件,而且是免费的。

下以命令均是以管理员身份登录使用

1. 在Ubuntu终端使用apt命令复制代码代码如下:# apt-get install openssh-server

如果下载失败,可能是由于系统需要更新的缘故,尝试更新一下,就可以了。使用一下命令:复制代码代码如下:# apt-get update

2. 配置openssh server,可以按照需求修改配置文件复制代码代码如下:# vi etc/ssh/ssh_config

3. 重启服务器复制代码代码如下:# /etc/init.d/ssh restart以上OpenSSH server就算安装完成。

配置“/etc/ssh/ssh_config”文件

“/etc/ssh/ssh_config” 文件是OpenSSH系统范围的配置文件,允许你通过设置不同的选项来改变客户端程序的运行方式。这个文件的每一行

包含“关键词-值”的匹配,其中“关键词”是忽略大小写的。下面列出来的是最重要的关键词,用man命令查看帮助页(ssh (1))可以得到

详细的列表。

编辑“ssh_config”文件(vi /etc/ssh/ssh_config),添加或改变下面的参数:复制代码代码如下:# Site-wide defaults for various optionsHost *ForwardAgent noForwardX noRhostsAuthentication noRhostsRSAAuthentication noRSAAuthentication yesPasswordAuthentication yesFallBackToRsh noUseRsh noBatchMode noCheckHostIP yesStrictHostKeyChecking noIdentityFile ~/.ssh/identityPort Cipher blowfishEscapeChar ~

下面逐行说明上面的选项设置:

Host *选项“Host”只对能够匹配后面字串的计算机有效。“*”表示所有的计算机。

ForwardAgent no“ForwardAgent”设置连接是否经过验证代理(如果存在)转发给远程计算机。

ForwardX no“ForwardX”设置X连接是否被自动重定向到安全的通道和显示集(DISPLAY set)。

RhostsAuthentication no“RhostsAuthentication”设置是否使用基于rhosts的安全验证。

RhostsRSAAuthentication no“RhostsRSAAuthentication”设置是否使用用RSA算法的基于rhosts的安全验证。

RSAAuthentication yes“RSAAuthentication”设置是否使用RSA算法进行安全验证。

PasswordAuthentication yes“PasswordAuthentication”设置是否使用口令验证。

FallBackToRsh no“FallBackToRsh”设置如果用ssh连接出现错误是否自动使用rsh。

UseRsh no“UseRsh”设置是否在这台计算机上使用“rlogin/rsh”。

BatchMode no“BatchMode”如果设为“yes”,passphrase/password(交互式输入口令)的提示将被禁止。当不能交互式输入口令的时候,这个选项对脚本

文件和批处理任务十分有用。

CheckHostIP yes“CheckHostIP”设置ssh是否查看连接到服务器的主机的IP地址以防止DNS欺骗。建议设置为“yes”。

StrictHostKeyChecking no“StrictHostKeyChecking”如果设置成“yes”,ssh就不会自动把计算机的密匙加入“$HOME/.ssh/known_hosts”文件,并且一旦计算机的密

匙发生了变化,就拒绝连接。

IdentityFile ~/.ssh/identity“IdentityFile”设置从哪个文件读取用户的RSA安全验证标识。

Port “Port”设置连接到远程主机的端口。

Cipher blowfish“Cipher”设置加密用的密码。

EscapeChar ~“EscapeChar”设置escape字符。

配置“/etc/ssh/sshd_config”文件

“/etc/ssh/sshd_config”是OpenSSH的配置文件,允许设置选项改变这个daemon的运行。这个文件的每一行包含“关键词-值”的匹配,其中

“关键词”是忽略大小写的。下面列出来的是最重要的关键词,用man命令查看帮助页(sshd (8))可以得到详细的列表。

编辑“sshd_config”文件(vi /etc/ssh/sshd_config),加入或改变下面的参数:复制代码代码如下:# This is ssh server systemwide configuration file.Port ListenAddress ..1.1HostKey /etc/ssh/ssh_host_keyServerKeyBits LoginGraceTime KeyRegenerationInterval PermitRootLogin noIgnoreRhosts yesIgnoreUserKnownHosts yesStrictModes yesXForwarding noPrintMotd yesSyslogFacility AUTHLogLevel INFORhostsAuthentication noRhostsRSAAuthentication noRSAAuthentication yesPasswordAuthentication yesPermitEmptyPasswords noAllowUsers admin

下面逐行说明上面的选项设置:

Port “Port”设置sshd监听的端口号。

ListenAddress ..1.1“ListenAddress”设置sshd服务器绑定的IP地址。

HostKey /etc/ssh/ssh_host_key

ubuntu配置ssh server的详细步骤(Ubuntu配置永久IP配置文件)

“HostKey”设置包含计算机私人密匙的文件。

ServerKeyBits “ServerKeyBits”定义服务器密匙的位数。

LoginGraceTime “LoginGraceTime”设置如果用户不能成功登录,在切断连接之前服务器需要等待的时间(以秒为单位)。

KeyRegenerationInterval “KeyRegenerationInterval”设置在多少秒之后自动重新生成服务器的密匙(如果使用密匙)。重新生成密匙是为了防止用盗用的密匙解密被

截获的信息。

PermitRootLogin no“PermitRootLogin”设置root能不能用ssh登录。这个选项一定不要设成“yes”。

IgnoreRhosts yes“IgnoreRhosts”设置验证的时候是否使用“rhosts”和“shosts”文件。

IgnoreUserKnownHosts yes“IgnoreUserKnownHosts”设置ssh daemon是否在进行RhostsRSAAuthentication安全验证的时候忽略用户的“$HOME/.ssh/known_hosts”

StrictModes yes“StrictModes”设置ssh在接收登录请求之前是否检查用户家目录和rhosts文件的权限和所有权。这通常是必要的,因为新手经常会把自己的

目录和文件设成任何人都有写权限。

XForwarding no“XForwarding”设置是否允许X转发。

PrintMotd yes“PrintMotd”设置sshd是否在用户登录的时候显示“/etc/motd”中的信息。

SyslogFacility AUTH“SyslogFacility”设置在记录来自sshd的消息的时候,是否给出“facility code”。

LogLevel INFO“LogLevel”设置记录sshd日志消息的层次。INFO是一个好的选择。查看sshd的man帮助页,已获取更多的信息。

RhostsAuthentication no“RhostsAuthentication”设置只用rhosts或“/etc/hosts.equiv”进行安全验证是否已经足够了。

RhostsRSAAuthentication no“RhostsRSA”设置是否允许用rhosts或“/etc/hosts.equiv”加上RSA进行安全验证。

RSAAuthentication yes“RSAAuthentication”设置是否允许只有RSA安全验证。

PasswordAuthentication yes“PasswordAuthentication”设置是否允许口令验证。

PermitEmptyPasswords no“PermitEmptyPasswords”设置是否允许用口令为空的帐号登录。

AllowUsers admin“AllowUsers”的后面可以跟着任意的数量的用户名的匹配串(patterns)或user@host这样的匹配串,这些字符串用空格隔开。主机名可以是

DNS名或IP地址。

使用SFTP代替FTP传输文件

FTP(文件传输协议)是一种使用非常广泛的在网络中传输文件的方式,但是,它也同样存在被网络窃听的危险,因为它也是以明文传送用户认证信息。其实在SSH软件包中,已经包含了一个叫作SFTP(Secure FTP)的安全文件传输子系统,SFTP本身没有单独的守护进程,它必须使用sshd守护进程(端口号默认是)来完成相应的连接操作,所以从某种意义上来说,SFTP并不像一个服务器程序,而更像是一个客户端程序。SFTP同样是使用加密传输认证信息和传输的数据,所以,使用SFTP是非常安全的。但是,由于这种传输方式使用了加密/解密技术,所以传输效率比普通的FTP要低得多,如果您对网络安全性要求更高时,可以使用SFTP代替FTP。若要开启 SFTP功能可以修改sshd2_config文件的下列内容:

复制代码代码如下:# subsystem-sftp sftp-server

去掉行首的“#”,然后重新启动SSH服务器,这样在进行SSH连接时就可以同时使用SFTP传输文件。

关于客户端设置

以上是对服务器的设置,其实在SSH服务器中已经包含了一些客户端工具(如SSH,SFTP工具)。但是,更多的客户端用户使用Windows系统,下

面就对Windows上的客户端系统设置加以说明。首先从上文给出的网址下载“SSHSecureShellClient-3.2.3.exe”文件并安装。安装完成后,在桌面上会产成两个快捷方式,一个是“SSH

Secure Shell Client”,用于远程管理,另一个是“SSH Secure File Transfer Client”,用于和服务器进行文件传输。在工具栏中点击

“quick connnect”,输入正确的主机名和用户名,然后在弹出的对话框中输入密码完成登录,即可开始执行命令或者传输文件。在使用SFTP

时,默认只能显示用户的宿主目录的内容和非隐藏文件。但是,有时候您可能还要查看其它目录或者隐藏文件,这时只需要在菜单“eidt-

>setting-> file transfer”的选项中选中“show root directory”和“show hidden file”两个选项即可。

使普通用户仅使用SFTP而没有使用Shell的权限默认情况下管理员给系统添加的账号将同时具有SFTP和SSH的权限。让普通用户使用shell执行命令也是有很大的安全隐患的,如果能够禁止用

户使用shell执行命令而仅使用SFTP传输文件,就能消除这种安全隐患,完全实现FTP的功能,正如上文所述,SFTP没有单独的守护进程,只能借助于sshd守护进程,所以我们仍然需要使用SSH服务器,要保证sshd守护进程处于运行状态。

具体实现方法如下:

首先,在编译安装时,编译中一定要有“–enable-static” 选项。安装成功后,在安装目录下的bin目录中执行下面的命令:复制代码代码如下:[root@localhost bin]# ls -l ssh-dummy-shell* sftp-server2*

将看到下列输出内容:复制代码代码如下:-rwxr-xr-x 1 root root Apr : sftp-server2-rwxr-xr-x 1 root root Apr : sftp-server2.static-rwxr-xr-x 1 root root Apr : ssh-dummy-shell-rwxr-xr-x 1 root root Apr : ssh-dummy-shell.static

其中带“static”后缀名,且比较大的两个文件就是加上“–enable-static”选项后生成的,后面我们将用到这里两个文件。

下面以添加普通账号test为例讲述具体操作步骤。

1.在“/home”目录(或者将要存放普通用户宿主目录的目录)下创建“bin”子目录,并将两个static文件复制到此目录下(复制后改名去掉static后缀),执行如下命令:复制代码代码如下:[root@localhost bin]# cd /usr/local/ssh3.2/bin[root@localhost bin]#cp ssh-dummy-shell.static /home/bin/ssh-dummy-shell[root@localhost bin]# cp sftp-server2.static /home/bin/sftp-server[root@localhost bin]#chown -R root.root /home/bin[root@localhost bin]#chmod -R /home/bin

2.添加一个组,使以后所有禁止使用shell的用户都属于这个组,这样便于管理更多的用户:[root@localhost bin]#groupadd template

3.在添加系统账号时使用如下命令:复制代码代码如下:[root@localhost root]#useradd -s /bin/ssh-dummy-shell -g template test[root@localhost root]#passwd test[root@localhost root]#mkdir /home/test/bin[root@localhost root]#cd /home/test/bin[root@localhost bin]#ln /home/bin/ssh-dummy-shell ssh-dummy-shell[root@localhost bin]#ln /home/bin/sftp-server sftp-server[root@localhost bin]#chown -R root.root /home/test/bin[root@localhost bin]#chmod -R /home/test/bin

3.用户添加成功后,还需要修改/etc/ssh2/sshd2_config文件,将下列内容:#ChRootGroups sftp,guest改为:ChRootGroups sftp,guest,template修改上面这行内容,主要是为了禁止普通用户查看系统的其它目录,把其权限限制在自己的主目录下。重新启动SSH服务器程序,在客户端使用SSH Secure File Transfer Client登录,即使选择显示根目录,普通用户也看不到其它的任何目录,而是把自己的主目录当作根目录。注意,这里使用的是按用户所属组限制,这样可以使包含在template组内的所有用户都可以实现此功能。若您只要限制个别用户的话,可以修改下面的内容:复制代码代码如下:#ChRootUsers anonymous,ftp,guest

事实证明SSH是一种非常好的网络安全解决方案,但是,目前仍有很多管理员使用Telnet或FTP这种非常不安全的工具,希望尽快转移到SSH上来,以减少网络安全隐患。

ubuntu.设置root权限详解 很多朋友安装升级Ubuntu.之后不知道ubuntu.root权限设置的具体方法,今天这篇文章就将为大家详细介绍设置root权限的步骤,新手朋友可以来看一看

ubuntu创建新用户命令(useradd和adduser)的使用方法和区别 在Ubuntu中创建新用户,通常会用到两个命令:useradd和adduser,虽然作用一样,但用法却不尽相同。本文接下来便为读者带来具体的解释。在Ubuntu中创建新

为使用securecrt在ubuntu系统下手动安装lrzsz的方法 secureCRT中可以使用rz和sz命令上传和下载文件,可是这要linux中安装了lrzsz才可以。我用的时候无法使用apt-get自动安装,下面介绍手动安装的方法。1下载lrz

标签: Ubuntu配置永久IP配置文件

本文链接地址:https://www.jiuchutong.com/biancheng/356352.html 转载请保留说明!

上一篇:ubuntu系统安装lamp环境和配置的详细步骤(ubuntu系统安装谷歌浏览器)

下一篇:ubuntu13.04设置root权限详解(ubuntu怎么root权限)

  • 资产负债率高说明偿债能力怎么样
  • 按适用税率征税销售额等于销售收入吗
  • 代扣个税的会计分录怎么做
  • 纳税额是指
  • 短期借款利息计提分录
  • 收到幼儿园园服费怎么做财务处理?
  • 个人开具劳务费增值税发票
  • 技术服务费怎么算成本
  • 小规模纳税人认定标准2023
  • 小规模纳税人普票和专票怎么交税
  • 怎么快速金蝶数据入库
  • 资产负债表上的资产是原值还是净值
  • 所得税预缴申报表中营业成本怎么计算
  • 清理往来账管理办法
  • 合并业务的好处
  • 促销赠品的会计处理
  • 应收账款多收的钱怎么写分录
  • 装修计入固定资产
  • 小规模发票什么样子
  • 开具增值税发票销货清单的最新规定是什么
  • 购货发票未到
  • 营改增之后还有营业税金及附加吗
  • 房地产企业预收账款
  • 固定资产折旧应该考虑哪些因素
  • 劳务公司包工包料的法律法规
  • 资产负债表是一年一次吗
  • 货物发出未开票
  • 财务计提个人缴纳社保部分怎么记账?
  • 基金预算收入核算的内容包括
  • 公司对项目的资金支持
  • 个体户开劳务费税率
  • 进项认证转出 会计得入账吗
  • 怎么限制路由器使用人数
  • 忘记excel工作表保护密码怎么办
  • 鸿蒙系统字体不太好看
  • 哪些固定资产不会随着时间的流逝贬值
  • php rewrite
  • 手机电脑排行
  • 收费公路通行费财政电子票据可以抵扣吗
  • php数组有哪几种类型
  • 发行股票溢价计入哪里
  • 填制的凭证内容有哪些
  • 黄金税收多少
  • 职工教育经费计入管理费用吗
  • php unicode
  • 图像分类实战
  • 商业企业常用会计科目
  • 命令行延时
  • 实现自己的http server loop_in_codes C++博客
  • 酒店会计做账流程及内容
  • 个体户查账征收个人所得税税率
  • 小企业会计准则和企业会计准则的区别
  • 小规模企业免征增值税如何做账
  • 增值税不得抵扣的情形
  • 深入浅出夏寒陆行全文免费阅读笔趣阁番外
  • sqlServer查询当前ip地址
  • 收到法人投资款需要什么手续
  • 汇算清缴时发现收入少了
  • 财务费用的核算内容有哪些
  • 海关缴款通知书怎么查看
  • 增值税发票开负数怎么做账?
  • 去年支付的费用,今年收到发票可以入账吗
  • 多栏式明细账的账页格式适用于
  • window8.1蓝屏
  • 高效管理者的三大技能 罗伯特卡茨
  • 去掉快捷功能
  • linux系统中命令什么大小写
  • microsoft/微软
  • Win8/8.1下通过dism命令解压install.wim文件步骤
  • 旅游软件页面
  • cocos2d怎么用
  • 不通过肾门的结构都有什么
  • [置顶]JM259194
  • android怎么学
  • go语言websocket
  • python2编码问题
  • activity的自定义流程
  • 季报逾期申报怎么写
  • 国税局内设机构
  • 山东省关于公务员社会信用考察的规定
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设