一、SSH服务
 
什么是ssh
专为远程登录和其他网络服务提供安全性的协议
 
能够实现字符界面的远程登录管理，它默认使用22号端口，采用密文的形式在网络中传输数据
 
shh服务认证类型
基于口令认证
知道服务器账号密码，在ssh中连接账号
 
基于秘钥认证
必须为用户创建一对秘钥，在shh中连接时，客户端会向发出请求，用客户端秘钥进行验证，服务器收到后，在用户目录下寻找公钥，对比，一致
 
SSH服务的安装
官方站点：http://www.openssh.com
 
服务名：sshd
 
服务端主程序：/usr/sbin/sshd
 
客户端程序：/usr/bin/ssh
 
服务端主配置配置文件：/etc/ssh/sshd_config
 
客户端配置文件：/etc/ssh/ssh_config
 
配置openssh服务端
sshd服务的配置文件默认位于/etc/ssh/sshd_config
 
Port 22   监听的端口（默认22），也可以使用多个Port，即重复使用 Port 这个配置项。
#例如想要开放sshd端口为 22和222，则添加如下内容
 
Port 22
 
Port 222
 
#然后重新启动sshd这样就好了。 建议大家修改 port number 为其它端口。防止别人暴力破解。
 
ListenAddress  0.0.0.0   监听的IP地址（默认监听所有IP）
设置sshd服务器绑定的IP地址，0.0.0.0 表示侦听所有地址, 这个值可以写成本地IP地址也可以写成所有地址
 
SyslogFacility AUTHPRIV 当有人使用 SSH 登入系统的时候，SSH 会记录信息，这个信息要记录的类型为AUTHPRIV。
sshd服务日志存放在： /var/log/secure
 
为什么sshd配置文件中没有指定日志，但日志却存放在了：/var/log/secure ？
 
# vim /etc/rsyslog.conf #查看
 
LogLevel  INFO  日志记录的等级！INFO级别以上。
UseDNS   no    禁用dns反向解析，一般来说，为了要判断客户端来源是正常合法的，因此会使用DNS去反查客户端的主机名，不过如果是在内网互连，设定为 no 会让联连接速度比较快。
PermitRootLogin  no    禁止ROOT用户远程登录
PermitEmptyPasswords  no   禁止密码为空的用户远程登录
LoginGraceTime  2m  限制用户登录验证过程的时间（默认为2分钟），即在多久时间内没有成功连上 SSH server 就强迫断线！若无单位则默认时间为秒。可以根据实际情况来修改实际
MaxAuthTries  6     限制用户登录验证过程的最大重试次数
DenyUsers  zhangsan  lisi   拒绝XX用户远程登录系统，其他均允许
AllowUsers  jerry  admin@61.23.24.25   允许jerry在任何何IP的主机上远程登录，允许admin只能在主机61.23.24.25登录 ，其他均拒绝（不要同时使用AllowUsers和DenyUsers配置）
PasswordAuthentication   yes   是否启用密码验证
PubkeyAuthentication   yes     是否启用密钥对验证
AuthorizedKeysFile    .ssh/authorized_keys    指定保存各用户公钥内容的数据文件位置，默认保存用户公钥信息的文件位于（服务器某个用户宿主目录下的）
PrintLastLog  yes    显示上次登入的信息，如上次登入的时间、地点等等，默认是yes
PrintMotd  yes  登入后是否显示出一些信息，即打印出 /etc/motd这个文档的内容。
例如给sshd服务添加一些警告信息
 
修改/etc/motd
 
# cat /etc/motd
 
# echo '欢迎进入192.168.10.30服务器，注意：“禁止私自”使用“rm -rf”命令，如使用请联经理!请配合！'> /etc/motd
 
测试：连接ssh，显示结果
 
 
 
配置文件sshd_config修改后，重启sshd服务
 
#systemctl  restart  sshd
 
使用SSH客户端程序
方式1： ssh 用户名@服务器地址
方式2： ssh -l 用户名  服务器地址
 
方式3： ssh  服务器地址（缺省时会尝试以当前的本地用户名进行登录）
 
使用scp命令远程复制文件/目录
方式1： scp 用户名@服务器地址:源文件 目标路径
 
方式2： scp 本地文件 用户名@服务器地址:目标路径
 
使用图形客户端软件xshell
安装lrzsz 可以在Linux 和 windows直接相互传文件，
 
rz命令从本地上传文件到服务器
 
sz命令件从服务器下载文件到本地
 
 
 
sshd服务防止暴力破解
方法1：配置安全的sshd服务
 
密码复杂
修改端口
不允许root登录，添加普通账号，授予root权限
不允许密码登录，用秘钥登录
方法2：秘钥认证sshd认证
 
创建秘钥对
ssh-keygen  -t  rsa
 
Id_rsa是私钥文件
 
Id_rsa.pub是公钥
 
公钥文件上传服务器
ssh-copy-id  -i  root@192.168.1.1 
 
输入密码
 
ll  -d  /root/.ssh
 
ll  /root/.ssh
 
客户端秘钥对验证
ssh  root@192.168.1.1
 
sudo  -i
 
whoami
 
Xshell使用密钥对验证连接远程主机192.168.1.1
 
将私钥文件拷贝到windows主机上，执行sz命令（id_rsa）由lrzsz软件包提供
 
在Xshell新建连接192.168.1.1，在身份验证选择 “Public key”，通过浏览按钮导入拷贝私钥
 
方法3：通过pam模块来防止暴力破解ssh
 
# vim /etc/pam.d/sshd
 
在第一行下面添加一行：
 
auth  required pam_tally2.so deny=3 unlock_time=600 even_deny_root root_unlock_time=1200
 
#尝试登陆失败超过3次，普通用户600秒解锁，root用户1200秒解锁
 
手动解除锁定：
 
查看某一用户错误登陆次数：
 
#pam_tally2  --user  用户名
 
例如，查看zhangsan用户的错误登陆次数：
 
#pam_tally2  --user  zhangsan
 
清空某一用户错误登陆次数：
 
#pam_tally2  --user  用户名  --reset
 
例如，清空zhangsan用户的错误登陆次数，
 
#pam_tally2   --user  zhangsan  --reset
 
在远程计算机上运行命令
输出重定向至本地文件：
 
#ssh  user@host  ‘command1 ; command2’ > log.local     //单引号
 
例如：ssh  root@192.168.36.128  ‘hostname;ifconfig’ > log.local
 
输出重定向至远程文件：
 
#ssh  user@host  ‘command1 ; command2 > log.remote’   //单引号
 
例如：ssh  root@192.168.36.128  ‘hostname;ifconfig > log.remote’
 
 

一、sshd 的简介
 
 1.sshd（客户端软件）=secure shell   ， 它是可以通过网络在主机中开机shell服务
 
 2.连接方式
 
 ssh    username@ip    文本模式的连接
 
 ssh -x  username@ip   可以在连接成功后开机图形
 
 
  注 ：
 
    在第一次连接陌生主机时，因为要建立认证文件，所以会询问是否建立,需要输入yes。再次连接此台主机时，因为已经生成~/.ssh/know_hosts文件所以不需要再次输入yes。
 
3.远程复制：
 
       scp 目标 root@ip:目的地        上传什么到哪
 
 
上图操作表示的意思是将主机的file 上传到 ip为172.25.254.57 这个客户端的 westos 目录里
 
     
 
scp root@ip:目标  目的地       下载什么到哪
 
 
 
上图操作表示的意思是：将 ip为172.25.254.57 这个客户端里file1 下载到 主机的目录 lee 里面
 
二、sshd 的 key 认证
 
注：在做此次实验之前，应先清空服务端与客户端两端 /root/.ssh/里面的内容，保证实验环境的纯净性
 
1.key 认证的生成
 
 
1） ssh-keygen                 生成密钥的命令
 
2）Enter file in which to save the key (/home/kiosk/.ssh/id_rsa):指定保存加密字符的文件（使用默认的）
 
3）Enter passphrase (empty for no passphrase):              设定密码（使用空密码）
 
4）same passphrase again:                                                确认秘密
 
5）Your identification has been saved in /home/kiosk/.ssh/id_rsa. 私钥（钥匙）
 
6）Your public key has been saved in /home/kiosk/.ssh/id_rsa.pub. 公钥(锁）
 
2.上锁：ssh-copy-id  -i   /root/.ssh/id_rsa.pub root@ip
 
用生成的锁对服务器进行锁定。
 
3.钥匙的分发： scp  /root/.ssh/id_rsa  root@ip:/root/.ssh/
 
将钥匙给客户端，使其连接时无需输密码
 
 
出现上图这种情况表示：2，3步骤执行成功。
 
4.在客户主机中测试: ssh root@ip     连接时发现直接登陆不需要root登录系统的密码认证
 
 
三、sshd 的安全设定：
 
注：在做以下操作时应先删掉第二部分时生成的钥匙。 每次编辑完内容后，都应执行 systemctl restart sshd.server 重新启动 sshd。
 
用  vim /etc/ssh/sshd_config 命令即可进入修改一些自己需要设定的权限
 
一般有以下几种
 
1.passwordAuthentication   yes/no 是否允许用户通过登陆系统的密码做sshd的认证
 
2. permitRootLogin          yes/no      是否允许root用户通过sshd服务的认证
 
3. Allowusers  用户名（添加多个用户时，用户之间用空格隔开）表示设定用户白名单，白名单出现默认，不在名单内的用户无法使用sshd
 
4.Denyusers   用户名（添加多个用户时，用户之间用空格隔开）   表示设定用户黑名单，黑名单出现默认，不在名单内的用户无法使用sshd
 
四、添加 sshd 登陆信息
 
  vim /etc/motd           文件内容就是登陆后显示的信息
 
五、用户的登陆审计
 
1.  查看正在使用当前系统的用户（w)
 
 
   w  -f          查看使用来源
 
    w  -i          显示ip
 
   /var/run/utmp
 
2.查看使用过并退出的用户信息( last )
 
 
  /var/log/wtmp
 
3.查看试图登陆但没有成功用户( lastb )
 
 
  /var/log/btmp
 
 

今天开始给大家介绍Linux 服务运维，本文主要内容是SSHD服务的安装与维护。
 
一、SSHD配置文件与调优
 
SSHD服务有两个常用配置文件，分别是/etc/ssh/ssh_config和/etc/ssh/sshd_config，其中前一个配置文件是SSHD服务的客户端的配置文件，后面一个配置文件是SSHD服务的服务端的配置文件。为了提升远程链接的安全性，我们通常对SSHD服务进行以下X个方面的调优：
 1、修改SSH服务端口号
 有时，我们为了增强系统服务的安全性，会改动一些固定服务的监听端口，SSH服务的默认端口是22，但是我们有时会手动修改SSH服务的监听端口。
 进入配置文件后，找到端口port部分，在默认情况下，port是由#注释的，在默认情况下会使用22端口，我们可以在配置文件中，直接添加一行：
 
Port 200
 
修改完成后，重启服务，可以看到监听端口改变。
 
 在修改默认端口号时 ，要注意：
 ①有时修改后发现SSHD服务重启失败，此时可能是防火墙的原因，关闭防火墙功能即可。
 ②如果我们是采用ssh链接Linux服务器后修改ssh服务的端口号，则原理上服务重启后ssh链接会断开，但是Linux有一套机制，使得当前的ssh链接仍然存在。
 2、修改LoginGraceTime
 在默认情况下，使用者在尝试链接ssh链接后，会进入输入密码的界面，在没有修改LoginGraceTime参数时，该页面会一直存在，也就是说，ssh客户端和服务器之间的链接会长期存在，而这样则会耗费服务器资源，也会带来一些安全问题，在设置LoginGraceTime参数后，就可以使得密码输入界面在长时间没有成功连入后，自动断开。
 在配置文件中，LoginGraceTime参数也是用#过滤的，在默认情况下不生效，我们可以删除#，使得该参数生效。
 3、修改PermitRootLogin
 该参数如果设置为yes，则表示允许以root身份通过ssh登录，如果设置为no，则表示不允许以root身份登录。在默认情况下，该参数也是用#过滤，我们可以手工配置。如果该参数设置为no，尽管不允许以root身份直接登入，但是可以先以普通用户身份登入，然后通过sudo提权执行root权限，或者是su直接切换成root。这两种操作都是被允许的。
 4、修改PasswordAuthentication
 ssh的登录支持两种方式，一种是传统的基于口令的登录方式，另一种是通过密钥对来认证身份，这种方式需要提前在客户端和服务端之间同步传递密钥信息，但是相比于密码的方式，比较安全。PasswordAuthentication参数如果设置为yes，则表示上述两种方式都可以登入，如果设置为no，则表示只允许密钥认证的方式登入。在默认情况下，sshd服务的PasswordAuthentication参数为yes。
 5、设置PrintMold
 该参数在默认情况下设置为yes，表示在ssh链接成功后会自动向客户端发送发送/etc/motd文件中的内容，该文件中的内容可以由管理员自己设定，可以是对远程ssh用户的提醒等信息。如果该参数设置为yes，则上述功能会关闭。
 打开该功能并写入motd文件内容后，效果如下所示：
 
 6、修改UseDNS
 在默认情况下，SSHD服务为了保证安全性，需要判断客户端来源是否合法，而判断的方式就是通过连入的客户端的IP地址反查客户端的域名，这虽然可以带来一定的安全性保障，但是由于DNS反查需要时间，因此这会拖慢SSH服务的链接时间。在默认情况下，该参数被设置为yes，表示需要进行DNS反查寻，我们可以手动修改为no，表示不进行DNS反查寻。
 
二、fail2ban的安装与使用
 
（一）fail2ban安装
 
尽管SSH服务有密码保护，但是如果存在一个客户端暴力破解的情况，其不仅会增大密码暴露的风险，而且还会导致系统的负载很高。fail2ban是一款非常好用的SSH服务的管理软件，它可以监控SSH服务的日志，当检测到某一客户端暴力破解（多次输入密码错误）后，可以与SSH自带的iptables防火墙联动，将该客户端的IP地址加入到防火墙的禁止列表中。
 fail2ban官方网站：
 http://www.fail2ban.org
 在跳转到下载页面后，界面如下所示：
 
 我们就可以在这里直接下载fail2ban了。
 fail2ban软件的安装与运行需要python环境，在下载的软件按照包里有fail2ban软件安装需要的python版本，在Linux中如果python版本符合要求，就可以安装fail2ban了，安装命令：
 
python setup.py install
 
安装过程非常迅速，在安装完成后，可以使用echo $?查看安装是否成功。
 
（二）fail2ban配置文件与启动文件
 
在安装完成后，应该会生成/etc/fail2ban目录，里面存放了fail2ban的配置文件，其中比较重要的有以下四个：
 1、/etc/fail2ban/action.d/
 该文件夹是动作文件夹，内含默认文件，包括iptables、mail等动作配置
 2、/etc/fail2ban/fial2ban.conf
 fial2ban的配置文件，定义了fail2ban的日志级别、进程、日志位置、socket文件位置等内容
 3、/etc/fail2ban/filter.d
 该文件夹是条件文件夹，内含默认文件，包括过滤日志等关键内容设置
 4、/etc/fail2ban/jail.conf
 该配置文件是fail2ban的主要配置文件，采取模块化的方式定义了fial2ban的服务动作及动作阈值
 所谓模块化配置，就是在配置文件中存在一个一个的模块，包括全局模块和各种局部模块，其中局部模块的优先级要高于全局模块。
 fial2ban的启动文件在file文件夹下，名字是redhat-initd，可以将该文件复制到/etc/init.d/目录下，以便于后期启动。
 
（三）fail2ban实战
 
下面，我们使用fail2ban设置对ssh暴力破解密码的防护。主要思想就是设定ssh服务单位时间内的密码验证次数（阈值），并设置账户锁定时间。fail2ban对SSH日志的匹配和iptables的联动都已经在action.d文件夹内配置完毕，我们需要做的就是修改上述的参数，主要修改配置的配置文件是jail.conf。
 在该文件中，[DEFAULT]模块下，比较重要的参数如下：
 ignoreip
 bantime
 findtime
 maxretry
 ignoreip表示可以忽略掉的IP，通常是设置成管理员常用的IP地址，其他三个参数表示在findtime时间内，如果出错次数超过maxretry，则禁止该IP登录bantime的时间。
 之后，我们可以自行添加一个模块，模块名可以自定义，我这里使用的是iptables，内容如下：
 
enabled=true
filter=sshd
action=iptables
logpath=/etc/log/secure
 
上述第一个参数表示该模块启用，第二个参数表示过过滤器是sshd，第三个参数时表示动作为与iptables联动，第四个参数表示查找的ssh服务日志。
 之后，我们故意尝试三次输错密码，发现当再次尝试ssh链接时，被直接拒绝，如下所示：
 
 我们可以执行命令：
 
iptables -F
 
查看iptables的详细信息，结果发现出现了一条f2b的链，拒绝本机IP地址的链接，如下所示：
 
 等待一段时间后，该链内容被清空，链接正常。
 如果我们想清除该设置，则可以将ssh日志（/var/log/secure）清空，或者将iptables链信息清空，命令为iptables -F。
 原创不易，转载请说明出处：https://blog.csdn.net/weixin_40228200

一、系统中的ssh与sshd服务
 
概念简介
 
openssh
 在主机中开启了openssh服务，那么就对外开放了远程连接的接口
 openssh的服务端：sshd
 openssh的客户端：ssh
 ssh————————————>sshd
 client 　　　　 server
ssh
 ssh= secure shell
 可以让远程主机通过网络访问sshd服务，开始一个安全shell,并对其进行操控
sshd
 可以通过网络在主机中开启shell的服务
 
客户端、服务端的环境搭建
 这里我们以两个虚拟机为例
 客户端：shell背景为黑色，IP=172.25.254.100
 服务端：shell背景为白色，IP=172.25.254.200
 搭建过程如下：
 （1）搭建客户端环境
 
 
 
 
 
 
 （2）服务端搭建，过程同上，注意IP地址与客户端不同
 
客户端的连接
 （1）连接方式：
 ssh 　　　 username@ip 　　　　　文本模式的链接
 ssh 　-X 　username@ip 　　　　　可以在链接成功后开机图形
 比如：不加-X时，连接其他主机成功后使用gedit会报错
 加-X则可以成功使用gedit命令
 注意：
 
 
第一次链接陌生主机是要建立认证文件所以会询问是否建立，需要输入yes
 
 
 输入密码则连接成功
 连接后，exit则可以退出
 
 ifconfig命令可以查看自己在哪个主机上，以防连接错误
 
 
 
再次链接此台主机时，因为已经生成~/.ssh/know_hosts文件所以不需要再次输入yes
 
 （2）远程复制：
 
 
上传
 格式: scp　 file 　root@ip:dir 
 例: 将客户端桌面的hello文件复制到服务端的桌面
 
 
 
下载 　　　
 格式: scp　 root@ip:file　 dir 　
 例: 将服务端桌面的westos文件复制到客户端的当前位置
 
 
 
sshd 的key认证
 （1）生成认证KEY
 
 
 （2）加密服务
 
 （3）分发钥匙
 
 
 （4）测试
 在客户主机中（172.25.254.100）
 执行命令：ssh 　root@172.25.254.200 
 连接时发现直接登陆不需要root登陆系统的密码认证
 
sshd的安全设定
 vim 　/etc/ssh/sshd_config　
 注意：编辑此文件后记得要重启一下
 systemctl　restart　sshd
 （1）PasswordAuthentication yes|no
 是否允许用户通过登陆系统的密码做sshd的认证
 
 
 （2）PermitRootLogin yes|no 
 是否允许root用户通过sshd服务的认证
 
 
 （3）Denyusers westos 
 设定用户黑名单，黑名单出现默认不再名单中的用户可以使用sshd
 
 
 
 
 （3）Allowusers student westos 
 设定用户白名单，白名单出现默认不再名单中的用户不能使用sshd
 
 
 
添加sshd登陆登陆信息
 vim　 /etc/motd 　　　　　编辑文件内容就是登陆后显示的信息
 
 
用户的登陆审计
 
环境搭建：
 首先搭建好两台虚拟机
 ip分别为：（1）172.25.254.100
 　　　　　（2）172.25.254.200
 然后在主机上打开两个shell分别连接两个ip
 
 可以看到两台机子的ip不同，但是主机名称一致
 所以要修改主机名称加以区分，设定方式如下
 
 
 设定完成之后两台主机名字分别为node1 和node2
 
 
（1）w 　　　　　查看正在使用当前系统的用户
 
 或者　　cat 　/var/run/utmp
 
 可以看到清空上述文件后则没有相关信息
 
 　　　w　-f 　　　　查看使用来源
 
 　　　w 　-i 　　　　显示IP
 
 （2）last 　查看使用过并退出的用户信息，或者　cat 　/var/log/wtmp
 

 
 （3）lastb 　　　试图登陆但没成功的用户
 
![在这里插入图片描述](https://img-blog.csdn.net/20181014230150677?watermark/2/text/aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQyMDM2ODI0/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70)
 
每输错一次密码，未成功信息加一条