第2章-配置网络和使用ssh服务_第1页
第2章-配置网络和使用ssh服务_第2页
第2章-配置网络和使用ssh服务_第3页
第2章-配置网络和使用ssh服务_第4页
第2章-配置网络和使用ssh服务_第5页
已阅读5页,还剩58页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

人民邮电出版社|

杨云主编网络服务器搭建、配置与管理—Linux版(第3版)(微课版)第2章配置网络和使用ssh服务2项目导入掌握常见网络服务的配置方法。掌握远程控制服务。掌握不间断会话服务。职业能力目标和要求

作为Linux系统的网络管理员,学习Linux服务器的网络配置是至关重要的,同时管理远程主机也是管理员必须熟练掌握的。这些是后续网络服务配置的基础,必须要学好。

本项目讲解了如何使用nmtui命令配置网络参数,以及通过nmcli命令查看网络信息并管理网络会话服务,从而让您能够在不同工作场景中快速地切换网络运行参数的方法;还讲解了如何手工绑定mode6模式双网卡,实现网络的负载均衡的方法。本项目还深入介绍了SSH协议与sshd服务程序的理论知识、Linux系统的远程管理方法以及在系统中配置服务程序的方法。3主要内容第2章

配置网络和使用ssh服务2.1网络服务知识2.1.1检查并设置有线处于连接状态2.1.2设置主机名2.1.3使用系统菜单配置网络2.1.4通过网卡配置文件配置网络2.1.5使用图形界面配置网络2.1.6使用nmcli命令配置网络2.2项目设计与准备4主要内容2.3项目实施任务2-1创建网络会话实例任务2-2绑定两块网卡任务2-3配置远程控制服务2.4项目实录:配置LINUX下的TCP/IP和远程管理2.5练习题2.6超级链接第2章

配置网络和使用ssh服务52.1网络服务知识

Linux主机要与网络中其他主机进行通信,首先要进行正确的网络配置。网络配置通常包括主机名、IP地址、子网掩码、默认网关、DNS服务器等。2.1.1检查并设置有线处于连接状态单击桌面右上角的“启动”按钮,单击“Connect”按钮,设置有线处于连接状态,如图2-1所示。图2-1设置有线处于连接状态设置完成后,右上角将出现有线连接的小图标,如图2-2所示。图2-2有线处于连接状态特别提示:必须首先使有线处于连接状态,这是一切配置的基础,切记。62.1.2设置主机名RHEL7有以下3种形式的主机名。静态的(static):“静态”主机名也称为内核主机名,是系统在启动时从/etc/hostname自动初始化的主机名。瞬态的(transient):“瞬态”主机名是在系统运行时临时分配的主机名,由内核管理。例如,通过DHCP或DNS服务器分配的localhost就是这种形式的主机名。灵活的(pretty):“灵活”主机名是UTF8格式的自由主机名,以展示给终端用户。与之前版本不同,RHEL7中的主机名配置文件为/etc/hostname,可以在配置文件中直接更改主机名。71.使用nmtui修改主机名[root@RHEL7-1~]#nmtui图2-3配置hostname图2-4修改主机名为RHEL7-1在图2-3、图2-4所示的界面中进行配置。

使用NetworkManager的nmtui接口修改了静态主机名后(/etc/hostname文件),不会通知hostnamectl。要想强制让hostnamectl知道静态主机名已经被修改,需要重启hostnamed服务。[root@RHEL7-1~]#systemctlrestartsystemd-hostnamed82.使用hostnamectl修改主机名(1)查看主机名[root@RHEL7-1~]#hostnamectlstatusStatichostname:RHEL7-1Prettyhostname:RHEL7-1

……(2)设置新的主机名[root@RHEL7-1~]#hostnamectlset-hostname(3)查看主机名[root@RHEL7-1~]#hostnamectlstatusStatichostname:

……93.使用NetworkManager的命令行接口nmcli修改主机名nmcli可以修改/etc/hostname中的静态主机名。//查看主机名[root@RHEL7-1~]#nmcligeneralhostname//设置新主机名[root@RHEL7-1~]#nmcligeneralhostnameRHEL7-1[root@RHEL7-1~]#nmcligeneralhostnameRHEL7-1//重启hostnamed服务让hostnamectl知道静态主机名已经被修改[root@RHEL7-1~]#systemctlrestartsystemd-hostnamed102.1.3使用系统菜单配置网络在Linux系统上配置服务之前,必须先保证主机之间能够顺畅地通信。可以单击桌面右上角的网络连接图标,打开网络配置界面,一步步完成网络信息查询和网络配置。具体过程如图2-5~图2-8所示。图2-5单击有线连接设置(WiredSettings)

图2-6网络配置:ON激活连接、单击齿轮进行配置

图2-7配置有线连接11

设置完成后,单击“Apply”按钮应用配置回到图2-9所示的界面。注意网络连接应该设置在“ON”状态,如果在“OFF”状态,请进行修改。注意,有时需要重启系统配置才能生效。图2-9网络配置界面建议:首选使用系统菜单配置网络。因为从RHEL7开始,图形界面已经非常完善,所以在Linux系统桌面,依次单击“Applications”→“SystemTools”→“Settings”→“Network”同样可以打开网络配置界面。图2-8配置IPv4等信息122.1.4通过网卡配置文件配置网络在RHEL7中,网卡配置文件的前缀则以ifcfg开始,如ifcfg-ens33。名称为ifcfg-ens33的网卡设备,将其配置为开机自启动,并且IP地址、子网、网关等信息由人工指定,其步骤如下。(1)切换到/etc/sysconfig/network-scripts目录中(存放着网卡的配置文件)。(2)使用vim编辑器修改网卡文件ifcfg-ens33,逐项写入下面的配置参数并保存退出。由于每台设备的硬件及架构是不一样的,所以请读者使用ifconfig命令自行确认各自网卡的默认名称。设备类型:TYPE=Ethernet。地址分配模式:BOOTPROTO=static。网卡名称:NAME=ens33。是否启动:ONBOOT=yes。IP地址:IPADDR=。子网掩码:NETMASK=。网关地址:GATEWAY=。DNS地址:DNS1=。13(3)重启网络服务并测试网络是否联通。进入到网卡配置文件所在的目录,然后编辑网卡配置文件,在其中填入下面的信息:[root@RHEL7-1~]#cd/etc/sysconfig/network-scripts/[root@RHEL7-1network-scripts]#vimifcfg-ens33TYPE=EthernetPROXY_METHOD=noneBROWSER_ONLY=noBOOTPROTO=staticNAME=ens33UUID=9d5c53ac-93b5-41bb-af37-4908cce6dc31DEVICE=ens33ONBOOT=yesIPADDR=NETMASK=GATEWAY=DNS1=14

执行重启网卡设备的命令(在正常情况下不会有提示信息),然后通过ping命令测试网络能否联通。由于在Linux系统中ping命令不会自动终止,所以需要手动按下“Ctrl+C”组合键来强行结束进程。[root@RHEL7-1network-scripts]#systemctlrestartnetwork[root@RHEL7-1network-scripts]#pingPING()56(84)bytesofdata.64bytesfrom:icmp_seq=1ttl=64time=0.095ms64bytesfrom:icmp_seq=2ttl=64time=0.048ms……注意:使用配置文件进行网络配置,需要启动network服务,而从RHEL7以后,network服务已被NetworkManager服务替代,所以不建议使用配置文件配置网络参数。152.1.5使用图形界面配置网络(1)上节我们使用网络配置文件配置网络服务,本节我们使用nmtui命令来配置网络。[root@RHEL7-1

network-scripts]#

nmtui(2)显示图2-10所示的图形配置界面。(3)配置过程如图2-11、图2-12所示。图2-10选中“Editaconnection”

并按下“Enter键”图2-11选中要编辑的网卡名称,

然后按下“Edit”(编辑)按钮图2-12把网络IPv4的配置方式改成Manual(手动)注意:本书中所有的服务器主机IP地址均为,而客户端主机一般设为0及0。之所以这样做,就是为了后面服务器配置的方便。16(4)按下“Show”(显示)按钮,显示信息配置框,如图2-13所示。在服务器主机的网络配置信息中填写IP地址/24等信息,单击“OK”按钮,如图2-14所示。图2-13填写IP地址图2-14单击“OK”按钮保存配置17(5)按“<back>”按钮回到nmtui图形界面初始状态,选中“Activateaconnection”选项,激活刚才的连接“ens33”。前面有“*”号表示激活,如图2-15、图2-16所示。图2-15选择“Activateaconnection”选项图2-16激活(Activate)连接或使连接失效(Deactivate)18(6)至此,在Linux系统中配置网络的步骤就结束了。[root@RHEL7-1~]#ifconfigens33:flags=4163<UP,BROADCAST,RUNNING,MULTICAST>mtu1500inetnetmaskbroadcast55inet6fe80::c0ae:d7f4:8f5:e135prefixlen64scopeid0x20<link>ether00:0c:29:66:42:8dtxqueuelen1000(Ethernet)RXpackets151bytes16024(15.6KiB)RXerrors0dropped0overruns0frame0TXpackets186bytes18291(17.8KiB)TXerrors0dropped0overruns0carrier0collisions0……192.1.6使用nmcli命令配置网络NetworkManager是管理和监控网络设置的守护进程,设备即网络接口,连接是对网络接口的配置。一个网络接口可以有多个连接配置,但同时只有一个连接配置生效。1.常用命令

nmcliconnectionshow:显示所有连接。nmcliconnectionshow--active:显示所有活动的连接状态。nmcliconnectionshow"ens33":显示网络连接配置。nmclidevicestatus:显示设备状态。nmclideviceshowens33:显示网络接口属性。nmcliconnectionaddhelp:查看帮助。nmcliconnectionreload:重新加载配置。nmcliconnectiondowntest2:禁用test2的配置,注意一个网卡可以有多个配置。nmcliconnectionuptest2:启用test2的配置。nmclidevicedisconnectens33:禁用ens33网卡,物理网卡。nmclideviceconnectens33:启用ens33网卡。202.创建新连接配置(1)创建新连接配置default,IP通过DHCP自动获取[root@RHEL7-1~]#nmcliconnectionshowNAMEUUIDTYPEDEVICEens339d5c53ac-93b5-41bb-af37-4908cce6dc31802-3-ethernetens33virbr0f30a1db5-d30b-47e2-a8b1-b57c614385aabridgevirbr0[root@RHEL7-1~]#nmcliconnectionaddcon-namedefaulttypeEthernetifnameens33Connection'default'(ffe127b2-ece7-40ed-b649-7082e86c0775)successfullyadded.212.创建新连接配置(2)删除连接

[root@RHEL7-1~]#nmcliconnectiondeletedefaultConnection'default'(ffe127b2-ece7-40ed-b649-7082e86c0775)successfullydeleted.22(3)创建新的连接配置test2,指定静态IP,不自动连接[root@RHEL7-1~]#nmcliconnectionaddcon-nametest2ipv4.methodmanualifnameens33autoconnectnotypeEthernetipv4.addresses00/24gw4Connection'test2'(7b0ae806-1bb7-41a3-92ad-5a1587eb367f)successfullyadded.(4)参数说明con-name:指定连接名字,没有特殊要求。ipv4.methmod:指定获取IP地址的方式。ifname:指定网卡设备名,也就是次配置所生效的网卡。autoconnect:指定是否自动启动。ipv4.addresses:指定IPv4地址。gw4:指定网关。233.查看/etc/sysconfig/network-scripts/目录[root@RHEL7-1~]#ls/etc/sysconfig/network-scripts/ifcfg-*/etc/sysconfig/network-scripts/ifcfg-ens33/etc/sysconfig/network-scripts/ifcfg-test2/etc/sysconfig/network-scripts/ifcfg-lo多出一个文件/etc/sysconfig/network-scripts/ifcfg-test2,说明添加确实生效了。244.启用test2连接配置[root@RHEL7-1~]#nmcliconnectionuptest2Connectionsuccessfullyactivated(D-Busactivepath:/org/freedesktop/NetworkManager/ActiveConnection/6)[root@RHEL7-1~]#nmcliconnectionshowNAMEUUIDTYPEDEVICEtest27b0ae802-1bb7-41a3-92ad-5a1587eb367f802-3-ethernetens33virbr0f30a1db5-d30b-47e2-a8b1-b57c614385aabridgevirbr0ens339d5c53ac-93b5-41bb-af37-4908cce6dc31802-3-ethernet--255.查看是否生效[root@RHEL7-1~]#nmclideviceshowens33GENERAL.DEVICE:ens33……基本的IP地址配置成功。266.修改连接设置(1)修改test2为自动启动[root@RHEL7-1~]#nmcliconnectionmodifytest2connection.autoconnectyes(2)修改DNS为

[root@RHEL7-1~]#nmcliconnectionmodifytest2ipv4.dns(3)添加DNS14[root@RHEL7-1~]#nmcliconnectionmodifytest2+ipv4.dns1427(4)看下是否成功[root@RHEL7-1~]#cat/etc/sysconfig/network-scripts/ifcfg-test2TYPE=EthernetPROXY_METHOD=noneBROWSER_ONLY=noBOOTPROTO=noneIPADDR=00PREFIX=24GATEWAY=DEFROUTE=yesIPV4_FAILURE_FATAL=noIPV6INIT=yesIPV6_AUTOCONF=yesIPV6_DEFROUTE=yesIPV6_FAILURE_FATAL=noIPV6_ADDR_GEN_MODE=stable-privacyNAME=test2UUID=7b0ae802-1bb7-41a3-92ad-5a1587eb367fDEVICE=ens33ONBOOT=yesDNS1=DNS2=1428(5)删除DNS[root@RHEL7-1~]#nmcliconnectionmodifytest2-ipv4.dns(6)修改IP地址和默认网关[root@RHEL7-1~]#nmcliconnectionmodifytest2ipv4.addresses00/24gw454

(7)还可以添加多个IP[root@RHEL7-1~]#nmcliconnectionmodifytest2+ipv4.addresses50/24[root@RHEL7-1~]#nmcliconnectionshow"test2"[root@RHEL7-1~]#nmcliconnectionmodifytest2-ipv4.dns14297.nmcli命令和/etc/sysconfig/network-scripts/ifcfg-*文件的对应关系nmcli命令/etc/sysconfig/network-scripts/ifcfg-*文件ipv4.methodmanualBOOTPROTO=noneipv4.methodautoBOOTPROTO=dhcpipv4.addresses/24IPADDR=PREFIX=24gw454GATEWAY=54ipv4.dnsDNS0=ipv4.dns-searchDOMAIN=ipv4.ignore-auto-dnstruePEERDNS=noconnection.autoconnectyesONBOOT=yesconnection.ideth0NAME=eth0erface-nameeth0DEVICE=eth0802-3-ethernet.mac-address...HWADDR=...302.2项目设计与准备本项目在RHEL7-1上要完成的任务如下:①创建会话;②绑定两块网卡;③配置远程服务。31本项目在RHEL7-1上要完成的任务如下:①创建会话;②绑定两块网卡;③配置远程服务。32任务2-1创建网络会话实例

RHEL和CentOS系统默认使用NetworkManager来提供网络服务,这是一种动态管理网络配置的守护进程,能够让网络设备保持连接状态。

nmcli是一款基于命令行的网络配置工具,功能丰富,参数众多。它可以轻松地查看网络信息或网络状态:[root@RHEL7-1~]#nmcliconnectionshowNAMEUUIDTYPEDEVICEens339d5c53ac-93b5-41bb-af37-4908cce6dc31802-3-ethernet--

RHEL7系统支持网络会话功能,允许用户在多个配置文件中快速切换(非常类似于firewalld防火墙服务中的区域技术)。2.3项目实施33[root@RHEL7-1~]#nmcliconnectionaddcon-namecompanyifnameens33autoconnectnotypeethernetip4/24gw4Connection'company'(69bf7a9e-1295-456d-873b-505f0e89eba2)successfullyadded.可以使用nmcli命令并按照“connectionaddcon-nametypeifname”的格式来创建网络会话。假设将公司网络中的网络会话称之为company,将家庭网络中的网络会话称之为home,依次创建各自的网络会话。(1)使用con-name参数指定公司所使用的网络会话名称company,然后依次用ifname参数指定本机的网卡名称。用autoconnectno参数设置该网络会话默认不被自动激活,以及用ip4及gw4参数手动指定网络的IP地址:34(2)使用con-name参数指定家庭所使用的网络会话名称home。我们想从外部DHCP服务器自动获得IP地址,因此这里不需要进行手动指定。[root@RHEL7-1~]#nmcliconnectionaddcon-namehometypeethernetifnameens33Connection'home'(7a9f15fe-2f9c-47c2-a232-fc310e1af2c9)successfullyadded.35(3)在成功创建网络会话后,可以使用nmcli命令查看创建的所有网络会话:[root@RHEL7-1~]#nmcliconnectionshowNAMEUUIDTYPEDEVICEens339d5c53ac-93b5-41bb-af37-4908cce6dc31802-3-ethernetens33virbr0a3d2d523-5352-4ea9-974d-049fb7fd1c6ebridgevirbr0company70823d95-a119-471b-a495-9f7364e3b452802-3-ethernet--homecc749b8d-31c2-492f-8e7a-81e95eacc733802-3-ethernet--36(4)使用nmcli命令配置过的网络会话是永久生效的,这样当我们下班回家后,顺手启用home网络会话,网卡就能自动通过DHCP获取到IP地址了。[root@RHEL7-1~]#nmcliconnectionuphomeConnectionsuccessfullyactivated(D-Busactivepath:/org/freedesktop/NetworkManager/ActiveConnection/6)[root@RHEL7-1~]#ifconfigens33:flags=4163<UP,BROADCAST,RUNNING,MULTICAST>mtu1500inet4netmaskbroadcast55inet6fe80::c70:8b8f:3261:6f18prefixlen64scopeid0x20<link>ether00:0c:29:66:42:8dtxqueuelen1000(Ethernet)RXpackets457bytes41358(40.3KiB)RXerrors0dropped0overruns0frame0TXpackets131bytes17349(16.9KiB)TXerrors0dropped0overruns0carrier0collisions0……37(5)如果大家使用的是虚拟机,请把虚拟机系统的网卡(网络适配器)切换成桥接模式,如图2-17所示,然后重启虚拟机系统即可。图2-17设置虚拟机网卡的模式38(6)如果回到公司,可以停止home会话,启动company会话(连接)。[root@RHEL7-1~]#nmcliconnectiondownhomeConnection'home'successfullydeactivated(D-Busactivepath:/org/freedesktop/NetworkManager/ActiveConnection/4)[root@RHEL7-1~]#nmcliconnectionupcompanyConnectionsuccessfullyactivated(D-Busactivepath:/org/freedesktop/NetworkManager/ActiveConnection/6)[root@RHEL7-1~]#ifconfigens33:flags=4163<UP,BROADCAST,RUNNING,MULTICAST>mtu1500inetnetmaskbroadcast55inet6fe80::7ce7:c434:4c95:7ddbprefixlen64scopeid0x20<link>ether00:0c:29:66:42:8dtxqueuelen1000(Ethernet)RXpackets304bytes41920(40.9KiB)RXerrors0dropped0overruns0frame0TXpackets429bytes47058(45.9KiB)TXerrors0dropped0overruns0carrier0collisions0……39(7)如果要删除会话连接,请执行nmcli命令,执行“Editaconnection”命令,然后选中要删除的会话,按“Delete”按钮即可,如图2-18所示。图2-18删除网络会话连接40任务2-2绑定两块网卡第1步:在虚拟机系统中再添加一块网卡设备,请确保两块网卡都处在同一个网络连接中(即网卡模式相同),如图2-18和图2-19所示。41第2步:使用Vim文本编辑器来配置网卡设备的绑定参数。[root@RHEL7-1~]#vim/etc/sysconfig/network-scripts/ifcfg-ens33TYPE=EthernetBOOTPROTO=noneONBOOT=yesUSERCTL=noDEVICE=ens33MASTER=bond0SLAVE=yes[root@RHEL7-1~]#vim/etc/sysconfig/network-scripts/ifcfg-ens38TYPE=EthernetBOOTPROTO=noneONBOOT=yesUSERCTL=noDEVICE=ens38MASTER=bond0SLAVE=yes42第2步:使用Vim文本编辑器来配置网卡设备的绑定参数。还需要将绑定后的设备命名为bond0并把IP地址等信息填写进去,这样当用户访问相应服务的时候,实际上就是由这两块网卡设备在共同提供服务。[root@RHEL7-1

~]#

vim

/etc/sysconfig/network-scripts/ifcfg-bond0TYPE=EthernetBOOTPROTO=noneONBOOT=yesUSERCTL=noDEVICE=bond0IPADDR=PREFIX=24DNS=NM_CONTROLLED=no43第3步:让Linux内核支持网卡绑定驱动。[root@RHEL7-1~]#vim/etc/modprobe.d/bond.confaliasbond0bondingoptionsbond0miimon=100mode=644第4步:重启网络服务后网卡绑定操作即可成功。[root@RHEL7-1

~]#

systemctl

restart

network[root@RHEL7-1

~]#

ifconfigbond0:flags=5123<UP,BROADCAST,MASTER,MULTICAST>mtu1500inetnetmaskbroadcast55ether86:08:25:89:b4:6dtxqueuelen1000(Ethernet)RXpackets0bytes0(0.0B)RXerrors0dropped0overruns0frame0TXpackets0bytes0(0.0B)TXerrors0dropped0overruns0carrier0collisions0

45第4步:重启网络服务后网卡绑定操作即可成功。ens33:flags=4163<UP,BROADCAST,RUNNING,MULTICAST>mtu1500ether00:0c:29:66:42:8dtxqueuelen1000(Ethernet)RXpackets119bytes12615(12.3KiB)RXerrors0dropped0overruns0frame0TXpackets0bytes0(0.0B)TXerrors0dropped0overruns0carrier0collisions0

ens38:flags=4163<UP,BROADCAST,RUNNING,MULTICAST>mtu1500ether00:0c:29:66:42:97txqueuelen1000(Ethernet)RXpackets48bytes6681(6.5KiB)RXerrors0dropped0overruns0frame0TXpackets0bytes0(0.0B)TXerrors0dropped0overruns0carrier0collisions0……46第4步:重启网络服务后网卡绑定操作即可成功。可以在本地主机执行ping命令检查网络的连通性。为了检验网卡绑定技术的自动备援功能,我们突然在虚拟机硬件配置中随机移除一块网卡设备,可以非常清晰地看到网卡切换的过程(一般只有1个数据丢包或不丢包)。然后另外一块网卡会继续为用户提供服务。47第4步:重启网络服务后网卡绑定操作即可成功。[root@RHEL7-1~]#pingPING()56(84)bytesofdata.64bytesfrom:icmp_seq=1ttl=64time=0.171ms64bytesfrom:icmp_seq=2ttl=64time=0.048ms64bytesfrom:icmp_seq=3ttl=64time=0.059ms64bytesfrom:icmp_seq=4ttl=64time=0.049msping:sendmsg:Networkisunreachable---pingstatistics---8packetstransmitted,7received,12%packetloss,time7006msrttmin/avg/max/mdev=0.042/0.073/0.109/0.023ms48任务2-3配置远程控制任务1.配置sshd服务

SSH(Secureshell)是一种能够以安全的方式提供远程登录的协议,也是目前远程管理Linux系统的首选方式。

想要使用SSH协议来远程管理Linux系统,则需要部署配置sshd服务程序。sshd是基于SSH协议开发的一款远程管理服务程序,不仅使用起来方便快捷,而且能够提供了以下两种安全验证的方法。基于口令的验证—用账户和密码来验证登录。基于密钥的验证—需要在本地生成密钥对,然后把密钥对中的公钥上传至服务器,并与服务器中的公钥进行比较;该方式相较来说更安全。49参

数作

用Port22默认的sshd服务端口ListenAddress设定sshd服务器监听的IP地址Protocol2SSH协议的版本号HostKey/etc/ssh/ssh_host_keySSH协议版本为1时,DES私钥存放的位置HostKey/etc/ssh/ssh_host_rsa_keySSH协议版本为2时,RSA私钥存放的位置HostKey/etc/ssh/ssh_host_dsa_keySSH协议版本为2时,DSA私钥存放的位置PermitRootLoginyes设定是否允许root管理员直接登录StrictModesyes当远程用户的私钥改变时直接拒绝连接MaxAuthTries6最大密码尝试次数MaxSessions10最大终端数PasswordAuthenticationyes是否允许密码验证PermitEmptyPasswordsno是否允许空密码登录(很不安全)sshd服务配置文件中包含的重要参数如表2-1所示。现有计算机的情况如下。计算机名为RHEL7-1,角色为RHEL7服务器,IP为/24。计算机名为RHEL7-2,角色为RHEL7客户机,IP为0/24。需特别注意两台虚拟机的网络配置方式一定要一致,本例中都改为:桥接模式。50[root@RHEL7-2~]#sshTheauthenticityofhost'()'can'tbeestablished.ECDSAkeyfingerprintisSHA256:f7b2rHzLTyuvW4WHLjl3SRMIwkiUN+cN9y1yDb9wUbM.ECDSAkeyfingerprintisMD5:d1:69:a4:4f:a3:68:7c:f1:bd:4c:a8:b3:84:5c:50:19.Areyousureyouwanttocontinueconnecting(yes/no)?yesWarning:Permanentlyadded''(ECDSA)tothelistofknownhosts.root@'spassword:此处输入远程主机root管理员的密码Lastlogin:WedMay3005:36:532018from192.168.10.[root@RHEL7-1~]#[root@RHEL7-1~]#exitlogoutConnectiontoclosed.在RHEL7系统中,已经默认安装并启用了sshd服务程序。接下来使用ssh命令在RHEL7-2上远程连接RHEL7-1,其格式为“ssh[参数]主机IP地址”。要退出登录则执行exit命令。在RHEL7-2上操作。51如果禁止以root管理员的身份远程登录到服务器,则可以大大降低被黑客暴力破解密码的概率。下面进行相应配置。(1)在RHEL7-1SSH服务器上。首先使用vim文本编辑器打开sshd服务的主配置文件,然后把第38行#PermitRootLoginyes参数前的井号(#)去掉,并把参数值yes改成no,这样就不再允许root管理员远程登录了。记得最后保存文件并退出。[root@RHEL7-1~]#vim/etc/ssh/sshd_config……3637#LoginGraceTime2m38PermitRootLoginno39#StrictModesyes

……52(2)一般的服务程序并不会在配置文件修改之后立即获得最新的参数。如果想让新配置文件生效,则需要手动重启相应的服务程序。最好也将这个服务程序加入到开机启动项中,这样系统在下一次启动时,该服务程序便会自动运行,继续为用户提供服务。[root@RHEL7-1

~]#

systemctl

restart

sshd[root@RHEL7-1

~]#

systemctl

enable

sshd(3)当root管理员再来尝试访问sshd服务程序时,系统会提示不可访问的错误信息。仍然在RHEL7-2上测试。[root@RHEL7-2

~]#

ssh

root@0's

password:此处输入远程主机root管理员的密码Permission

denied,

please

try

again.注意:为了不影响下面的实训,请将/etc/ssh/sshd_config配置文件的更改恢复到初始状态。

532.安全密钥验证

加密是对信息进行编码和解码的技术,在传输数据时,如果担心被他人监听或截获,就可以在传输前先使用公钥对数据加密处理,然后再行传送。这样,只有掌握私钥的用户才能解密这段数据,除此之外的其他人即便截获了数据,一般也很难将其破译为明文信息。

在生产环境中使用密码进行口令验证存在着被暴力破解或嗅探截获的风险。如果正确配置了密钥验证方式,那么sshd服务程序将更加安全。下面使用密钥验证方式,以用户student身份登录SSH服务器,具体配置如下。[root@RHEL7-1~]#useraddstudent[root@RHEL7-1~]#passwdstudent54(2)在客户端主机RHEL7-2中生成“密钥对”。查看公钥id_rsa.pub和私钥id_rsa。[root@RHEL7-2~]#ssh-keygenGeneratingpublic/privatersakeypair.Enterfileinwhichtosavethekey(/root/.ssh/id_rsa)://按回车键或设置密钥的存储路径Enterpassphrase(emptyfornopassphrase)://直接按回车键或设置密钥的密码Entersamepassphraseagain://再次按回车键或设置密钥的密码Youridentificationhasbeensavedin/root/.ssh/id_rsa.Yourpublickeyhasbeensavedin/root/.ssh/id_rsa.pub.Thekeyfingerprintis:SHA256:jSb1Z223Gp2j9HlDNMvXKwptRXR5A8vMnjCtCYPCTHsroot@RHEL7-1Thekey'srandomartimageis:+---[RSA2048]----+|.o...||+..*oo.||=E.ooBo||o.+oB..o||.Sooo+==||o.o...==||.oo.=o||o..=o+||..o.oo|+----[SHA256]-----+[root@RHEL7-2~]#cat/root/.ssh/id_rsa.pubssh-rsaAAAAB3NzaC1yc2EAAAADAQABAAABAQCurhcVb9GHKP4taKQMuJRdLLKTAVnC4f9Y9H2Or4rLx3YCqsBVYUUn4gSzi8LAcKPcPdBZ817Y4a2OuOVmNW+hpTR9vfwwuGOiU1Fu4Sf5/14qgkd5EreUjE/KIPlZVNX904blbIJ90yu6J3CVz6opAdzdrxckstWrMSlp68SIhi517OVqQxzA+2G7uCkplh3pbtLCKlz6ck6x0zXd7MBgR9S7nwm1DjHl5NWQ+542Z++MA8QJ9CpXyHDA54oEVrQoLitdWEYItcJIEqowIHM99L86vSCtKzhfD4VWvfLnMiO1UtostQfpLazjXoU/XVp1fkfYtc7FFl+uSAxIO1nJroot@RHEL7-2[root@RHEL7-2~]#cat/root/.ssh/id_rsa55(3)把客户端主机RHEL7-2中生成的公钥文件传送至远程主机:[root@RHEL7-2

~]#

ssh-copy-id

student@/usr/bin/ssh-copy-id:INFO:attemptingtologinwiththenewkey(s),tofilteroutanythatarealreadyinstalled/usr/bin/ssh-copy-id:INFO:1key(s)remaintobeinstalled--ifyouarepromptednowitistoinstallthenewkeysstudent@'spassword://此处输入远程服务器密码

Numberofkey(s)added:1

Nowtryloggingintothemachine,with:"ssh'student@'"andchecktomakesurethatonlythekey(s)youwantedwereadded.56(4)对服务器RHEL7-1进行设置(65行左右),使其只允许密钥验证,拒绝传统的口令验证方式。将“PasswordAuthenticationyes”改为“PasswordAuthenticationno”。记得在修改配置文件后保存并重启sshd服务程序。[root@RHEL7-1

~]#

vim

/etc/ssh/sshd_config

……

74

62

#

To

disable

tunneled

clear

text

passwords,

change

to

no

here!

63

#PasswordAuthentication

yes

64

#PermitEmptyPasswords

no

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论