聊聊第9章 使用ssh服务管理远程主机 2023/2/1 8:46:28

高州通

接下来的验会使用两台虚拟机，一台充当服务器，另外一台充当客户端，其IP地址及作用如表9-2所示。Linux技术教程的最新消息可以到我们平台网站了解一下，也可以咨询客服人员进行详细的解答！

表9-2 服务验机器简介 主机地址 操作系统 作用 1921681010 L 服务器 1921681020 L 客户端 在RHEL 8系统中，已经默认安装并启用了服务程序。接下来在客户端使用命令远程连接服务器，其格式为“ [参数]主机IP地址”，要退出登录则执行命令。首次访问时需要输入来确认对方主机的指纹信息： [@C ~]# 1921681010 T '1921681010 (1921681010)' ' ECDSA SHA256:552Z1FJK44LBZLGJAZME6ZXQ A () W: P '1921681010' (ECDSA) @1921681010' : 此处输入服务器管理员密码 A : -- L : F J 24 06:26:58 2022 [@S ~]# [@S ~]# C 1921681010 如果禁止以管理员的身份远程登录到服务器，则可以大大降低被黑客暴力破解密码的概率。下面进行相应配置。首先使用V文本编辑器打开服务器上的服务主配置文件，然后把第46行#PRL 参数前的井号（#）去掉，并把参数值改成，这样就不再允许管理员远程登录了。记得比较后保存文件并退出。 [@S ~]# _ ………………省略部分输出信息……………… 43 # A: 44 45 #LGT 2 46 PRL 47 #SM 48 #MAT 6 49 #MS 10 ………………省略部分输出信息……………… 再次提醒的是，一般的服务程序并不会在配置文件修改之后立即获得比较新的参数。如果想让新配置文件生效，则需要手动重启相应的服务程序。比较好也将这个服务程序加入到开机启动项中，这样系统在下一次启动时，该服务程序便会自动运行，继续为用户提供服务。 [@S ~]# [@S ~]# 这样一来，当管理员再来尝试访问服务程序时，系统会提示“不可访问”的错误信息。虽然服务程序的参数相对比较简单，但这就是在L系统中配置服务程序的正确方法。大家要做的是举一反、活学活用，这样即便以后遇到了陌生的服务，也一样可以搞定了。 [@C ~]# 1921681010 @1921681010' :此处输入服务器管理员密码 P , 为了避免后续验中不能用管理员账号登录，请大家动手把上面的参数修改 回来： [@S ~]# _ ………………省略部分输出信息……………… 43 # A: 44 45 #LGT 2 46 PRL 47 #SM 48 #MAT 6 49 #MS 10 ………………省略部分输出信息……………… [@S ~]# [@S ~]# 如果想使用W系统进行访问也没问题。首先确保络是可以通信的，随后从X、PTTY、SCRT、SSH S S C等工具中选择一个喜欢的登录工具，远程连接一下试试看，效果如图9-14～图9-16所示。 图9-14 远程登录输入账号称 图9-15 远程登录输入账号密码 图9-16 远程登录成功界面 922 安全密钥验证 加密是对信息进行编码和解码的技术，它通过一定的算法（密钥）将原本能被直接阅读的明文信息转换成密文形式。密钥即是密文的钥匙，有私钥和公钥之分。在传输数据时，如果担心被他人监听或截获，就可以在传输前先使用公钥对数据加密处理，然后再进行传送。这样，只有掌握私钥的用户才能解密这段数据，除此之外的其他人即便截获了数据，一般也很难将其破译为明文信息。 一言以蔽之，在生产环境中使用密码进行验证终归存在着被暴力破解或嗅探截获的风险。如果正确配置了密钥验证方式，那么服务程序将更加安全。下面进行具体的配置，其步骤如下。 第1步：在客户端主机中生成“密钥对”，记住是客户端。 [@C ~]# - G E (_): 按回车键或设置密钥的存储路径 E ( ): 直接按回车键或设置密钥的密码 E : 再次按回车键或设置密钥的密码 Y _ Y _ T : SHA256:H7B8V063ABRZULM5H0I67NG9H @ T ' : +---[RSA 2048]----+ | =+| | + =B X | | + =O O | | + *+ | | ES + | | = + | | = | | | | | +----[SHA256]-----+ 第2步：把客户端主机中生成的公钥文件传送至远程服务器。 [@C ~]# -- 1921681010 --: INFO: (), --: INFO: 1 () - @1921681010' : 此处输入服务器管理员密码 N () : 1 N , : " '1921681010'" () 第3步：对服务器进行设置，使其只允许密钥验证，拒绝传统的密码验证方式。记得在修改配置文件后保存并重启服务程序。 [@S ~]# _ ………………省略部分输出信息……………… 70 # T , ! 71 #PA 72 #PEP 73 PA 74 ………………省略部分输出信息……………… [@S ~]# 第4步：客户端尝试登录到服务器，此时须输入密码也可成功登录，特别方便。 [@C ~]# 1921681010 A : -- L : T J 28 13:44:09 CST 2022 1921681020 : T 2 L : T J 28 13:22:34 2022 1921681020 但是，如果用户没有密钥信息，即便有密码也会被拒绝，系统甚至不会给用户输入密码的机会，如图9-17所示。 图9-17 密钥访问远程服务器被拒 923 远程传输命令 不知道读者有没有考虑一个问题：既然SSH协议可以让用户远程控制服务器、传输命令信息，那么是不是也能传输文件呢 （ ）是一个基于SSH协议在络之间进行安全传输的命令，其格式为“ [参数]本地文件 远程账户@远程IP地址:远程目录”。 与第2章讲解的命令不同，命令只能在本地硬盘中进行文件复制，而不仅能够通过络传送数据，而且所有的数据都将进行加密处理。例如，如果想把一些文件通过络从一台主机传递到其他主机，这两台主机又恰巧都是L系统，这时使用命令就可以轻松完成文件的传递了。命令中可用的参数以及作用如表9-3所示。 表9-3 命令中可用的参数及作用 参数 作用 - 显示详细的连接进度 -P 指定远程主机的端口号 - 用于传送文件夹 -6 使用IP6协议 在使用命令把文件从本地复制到远程主机时，首先需要以绝对路径的形式写清本地文件的存放位置。如果要传送整个文件夹内的所有数据，还需要额外添加参数-进行递归操作。然后写上要传送到的远程主机的IP地址，远程服务器便会要求进行身份验证了。当前用户称为，而密码则为远程服务器的密码。如果想使用指定用户的身份进行验证，可使用用户@主机地址的参数格式。比较后需要在远程主机的IP地址后面添加冒号，并在后面写上要传送到远程主机的哪个文件夹中。只要参数正确并且成功验证了用户身份，即可开始传送工作。由于命令是基于SSH协议进行文件传送的，而922节又设置好了密钥验证，因此当前在传输文件时，并不需要账户和密码。 [@C ~]# "W LPC" [@C ~]# 1921681010: 100% 26 136KB 00:00 此外，还可以使用命令把远程服务器上的文件下载到本地主机，其命令格式为“ [参数]远程用户@远程IP地址:远程文件 本地目录”。这样就须先登录远程主机再进行文件传送了，也就省去了很多周折。例如，可以把远程主机的系统版本信息文件下载过来。 [@C ~]# 1921681010:- [@C ~]# 1921681010:- 100% 45 236KB 00:00 [@C ~]# - R H E L 80 (O) 出现问题大胆提问!