志达IT网站ssh的端口号是多少
ssh默许端口号是22。但在实际使用的时候会需要更改ssh的默许端口号。
下面简略说说linux下如何更改ssh的端口号。
1、修正/etc/ssh/sshd_config文件。
[root@linux~]#vi/etc/ssh/sshd_config
#$OpenBSD:sshd_config,v1.692004/05/2323:59:53dtuckerExp$
#Thisisthesshdserversystem-wideconfigurationfile.See
#sshd_config(5)formoreinformation.
#ThissshdwascompiledwithPATH=/usr/local/bin:/bin:/usr/bin
#Thestrategyusedforoptionsinthedefaultsshd_configshippedwith
#OpenSSHistospecifyoptionswiththeirdefaultvaluewhere
#possible,butleavethemcommented.Uncommentedoptionschangea
#defaultvalue.
Port8284//以前这个前面是有#号的,并且默许是22,修正一下就ok了
#Protocol2,1
#ListenAddress0.0.0.0
#ListenAddress::
#HostKeyforprotocolversion1
#HostKey/etc/ssh/ssh_host_key
#HostKeysforprotocolversion2
#HostKey/etc/ssh/ssh_host_rsa_key
#HostKey/etc/ssh/ssh_host_dsa_key
2、重起ssh服务,修正端口才收效
[root@linux~]#/etc/init.d/sshdrestart
Stoppingsshd:[OK]
Startingsshd:[OK]
[root@linux~]#
ssh的作用
1.SSH界说
SSH(SecureShell)是一种安全通道协议,首要用来完成字符界面的长途登录、长途仿制等功用
SSH协议对通讯两边的数据传输进行了加密处理,其间包含用户登录时输入的用户口令。因而SSH协议具有很好的安全性
2.SSH优点
数据传输是加密的,可以避免信息泄漏
数据传输是压缩的,可以提高传输速度
3.SSH配置文件
sshd服务的默许配置文件是/etc/ssh/sshd_config
ssh_config和sshd_config都是ssh服务器的配置文件
==二者区别在于ssh_config是针对客户端的配置文件,sshd_config则是针对服务端的配置文件==
4.SSH客户端与与服务端
SSH客户端:Putty、Xshell、CRT
SSH服务端:OpenSSH
OpenSSH是完成SSH协议的开源软件项目,适用于各种UNIX、Linux操作体系
CentOS7体系默许已装置openssh相关软件包,并已将sshd服务增加为开机自启动
二、配置OpenSSH服务端
1、sshd_config配置文件的常用选项设置
假如设置了端口号ssh登入需要ssh-p端口号用户名@地址
vim/etc/ssh/sshd_config
Port22//监听端口为22
ListenAddress0.0.0.0//监听地址为恣意网段,也可以指定OpenSSH服务器的详细IP
LoginGraceTime2m//登录验证时刻为2分钟
PermitRootLoginno//制止root用户登录
MaxAuthTries6//最大重试次数为6
PermitEmptyPasswordsno//制止空暗码用户登录
UseDNSno//禁用DNS反向解析,以提高服务器的响应速度
//只答应zhangsan、lisi、wangwu用户登录,且其间wangwu用户仅能够从IP地址为61.23.24.25的主机长途登录
AllowUserszhangsanlisiwangwu@61.23.24.25//多个用户以空格分隔
//制止某些用户登录,用法于AllowUsers相似(留意不要同时运用)
DenyUserszhangsan
2、Allowusers与Denyusers
Allowusers……//仅答应某某用户登陆
三、scp长途仿制
1.下行仿制:将长途主机的/etc/passwd文件仿制到本机
scproot@192.168.71.20:/etc/passwd/root/passwd1
2.上行仿制:将本机的/etc/ssh目录仿制到长途主机
scp-r/etc/passwd/root@192.168.71.20:/opt
四、sftp安全FTP
因为运用了加密/解密技术,所以传输功率比一般的FTP要低,但安全性更高,操作语法sftp与ftp差不多
sftproot@192.168.71.20
sftp>ls
sftp>get文件名//下载件到ftp目录(下载和上传目录-r)
sftp>put文件名//仿制(上传)文件到ftp目录
sftp>quit//退出
五、sshd服务支撑验证办法
sshd服务支撑两种验证办法:
1.暗码验证
对服务器中本地体系用户的登录名称、暗码进行验证。简便,但可能会被暴力破解,暴力破解可看之前博客有详细描述体系弱口令检测
2.密钥对验证
要求供给相匹配的密钥信息才干经过验证。通常先在客户端中创立一对密钥文件(公钥、私钥),然后将公钥文件放到服务器中的指定方位。长途登录时,体系将运用公钥、私钥进行加密/解密关联验证。能增强安全性,且可以免交互登录。
当暗码验证、密钥对验证都启用时,服务器将优先运用密钥对验证。可根据实际情况设置验证办法。
vim/etc/ssh/sshd_config//修改服务端主配置文件
PasswordAuthenticationyes//启用暗码验证
PubkeyAuthenticationyes//启用密钥对验证
AuthorizedKeysFile.ssh/authorized_keys//指定公钥库文件
3.在客户端创立密钥对
经过ssh-keygen东西为当前用户创立密钥对文件。可用的加密算法为RSA、ECDSA或DSA等(ssh-keygen指令的“-t”选项用于指定算法类型)。
基本指令解说
useraddzhangsan
passwdzhangsan
su-zhangsan
ssh-keygen-tecdsa//以ecdsa算法生成验证密钥
Generatingpublic/privateecdsakeypair.
Enterfileinwhichtosavethekey(/home/admin/.ssh/id_ecdsa)://指定私钥方位,直接回车运用默许方位
Createddirectory‘/home/admin1/.ssh’.//生成的私钥、公钥文件默许存放在宿主目录中的隐藏目录.ssh/下
Enterpassphrase(emptyfornopassphrase)://设置私钥的暗码
Entersamepassphraseagain://承认输入
ls-l.ssh/id_ecdsa*//id_ecdsa是私钥文件,权限默许为600;id_ecdsa.pub是公钥文件,用来供给给SSH服务器
2.此办法可直接在服务器的/home/zhangsan/.ssh/目录中导入公钥文本
cd~/.ssh/
ssh-copy-id-iid_ecdsa.pubzhangsan@192.168.71.10
3.登入zhangsan用户验证成果
六、在客户机设置ssh署理功用,完成免交互登录
ssh-agentbash//开启ssh署理服务
ssh-add//密钥增加到高速缓存中
Enterpassphrasefor/home/admin/.ssh/id_ecdsa://输入私钥的暗码
sshzhangsan@192.168.71.10//验证无需输入暗码登入用户
七、TCPWrappers拜访操控
TCPWrappers将TCP服务程序“包裹”起来,代为监听TCP服务程序的端口,增加了一个安全检测过程,外来的衔接恳求必须先经过这层安全检测,获得答应后才干拜访真实的服务程序
大多数Linux发行版,TCPWrappers是默许供给的功用。rpm-qtcp_wrappers
(一)TCPWrapper维护机制的两种完成办法
1.直接运用tcpd程序对其他服务程序进行维护,需要运转tcpd程序。
2.由其他网络服务程序调用libwrap.so.链接库,不需要运转tcpd程序。此办法的使用更加广泛,也更有功率
(二)运用ldd指令可以查看程序的libwrap.so.链接库
ldd$(whichsshvsftpd)
TCPWrappers的拜访战略
TCPWrappers机制的维护目标为各种网络服务程序,针对拜访服务的客户端地址进行拜访操控。
对应的两个战略文件为/etc/hosts.allow和/etc/hosts.deny,别离用来设置答应和回绝的战略。
格局:
<服务程序列表>:<客户端地址列表>
1.服务程序列表
ALL:代表一切的服务。
单个服务程序:如“vsftpd”。
多个服务程序组成的列表:如“vsftpd,sshd”。
2.客户端地址列表
ALL:代表任何客户端地址。
LOCAL:代表本机地址。
多个地址以逗号分隔
答应运用通配符“”和“?”,前者代表恣意长度字符,后者仅代表一个字符
网段地址,如192.168.7.或许192.168.71.0/255.255.255.0
区域地址,如“.benet.com”匹配bdqn.com域中的一切主机。
(三)TCPWrappers机制的基本原则:
首要查看/etc/hosts.allow文件,假如找到相匹配的战略,则答应拜访;
不然持续查看/etc/hosts.deny文件,假如找到相匹配的战略,则回绝拜访;
假如查看上述两个文件都找不到相匹配的战略,则答应拜访。
“答应一切,回绝个别”
只需在/etc/hosts.deny文件中增加相应的回绝战略
“答应个别,回绝一切”
除了在/etc/hosts.allow中增加答应战略之外,还需要在/etc/hosts.deny文件中设置“ALL:ALL”的回绝战略。
若只期望从IP地址为12.0.0.1的主机或许坐落192.168.80.0/24网段的主机拜访sshd服务,其他地址被回绝
vi/etc/hosts.allow
sshd:12.0.0.1,192.168.71.*
vi/etc/hosts.deny
设置“ALL:ALL”的回绝战略。
若只期望从IP地址为12.0.0.1的主机或许坐落192.168.80.0/24网段的主机拜访sshd服务,其他地址被回绝
vi/etc/hosts.allow
sshd:12.0.0.1,192.168.71.*
vi/etc/hosts.deny
sshd:ALL
