SSH服务介绍

标签：linux

本文是在m01机器上面操作的。

查看ssh服务是否启动：

[root@m01 ~]# /etc/init.d/sshd status
openssh-daemon (pid  1220) is running...

ssh服务对应进程是什么？

[root@m01 ~]# ps -ef|grep sshd
root       1220      1  0 19:13 ?        00:00:00 /usr/sbin/sshd   （ssh服务）
root       1268   1220  0 19:16 ?        00:00:00 sshd: root@pts/0
root       1306   1270  0 19:21 pts/0    00:00:00 grep sshd

ssh服务对应的端口是什么？

[root@m01 ~]# netstat -lntup|grep sshd
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      1220/sshd          
tcp        0      0 :::22                       :::*                        LISTEN      1220/sshd

上面的0.0.0.0默认是本机的所有网卡，默认情况下监听本机IP对应的22端口。

0.0.0.0的地址修改了，内网ip网卡，外面的人连接不过来。

只要开启了ssh服务/etc/init.d/sshd status

就会监听22端口

端口存在的意义是什么？

一台计算机有很多服务，不同的服务通过端口连接，远程连接通过不通的服务连接。

[root@m01 ~]# rpm -qa openssh openssl
openssl-1.0.1e-48.el6.x86_64  #用于加密服务
openssh-5.3p1-117.el6.x86_64 #用于远程连接

企业面试题1：给你一个端口22，如何用命令行查出端口22对应的服务是什么？

方法1：红色的是端口对应的服务

[root@oldboy ~]#  lsof -i :22
COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
sshd    1376 root    3u  IPv4  11226      0t0  TCP *:ssh (LISTEN)
sshd    1376 root    4u  IPv6  11228      0t0  TCP *:ssh (LISTEN)
sshd    1675 root    3r  IPv4  11972      0t0  TCP 10.0.0.31:ssh->10.0.0.1:50383 (ESTABLISHED)

方法2：红色的是端口对应的服务

[root@oldboy ~]# netstat -lntup|grep 22
tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      1227/rpcbind       
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      1376/sshd          
tcp        0      0 :::111                      :::*                        LISTEN      1227/rpcbind       
tcp        0      0 :::22                       :::*                        LISTEN      1376/sshd          
udp        0      0 0.0.0.0:111                 0.0.0.0:*                               1227/rpcbind       
udp        0      0 0.0.0.0:978                 0.0.0.0:*                               1227/rpcbind       
udp        0      0 :::111                      :::*                                    1227/rpcbind       
udp        0      0 :::978                      :::*                                    1227/rpcbind 

方法3：

[root@oldboy ~]# netstat -lntup|grep "\b22\b"
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      1376/sshd          
tcp        0      0 :::22                       :::*                        LISTEN      1376/sshd

方法4：

[root@oldboy ~]# netstat -lntup|grep -w "22"
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      1376/sshd          
tcp        0      0 :::22                       :::*                        LISTEN      1376/sshd

企业面试题2：如果给你一个进程名sshd，如何查看对应的端口是什么？

netstat -lntup|grep oldboy

方法1：

[root@oldboy ~]# netstat -lntup|grep sshd
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      1376/sshd          
tcp        0      0 :::22                       :::*                        LISTEN      1376/sshd   

ssh的配置文件：

[root@oldboy ~]# ll /etc/ssh/sshd_config
-rw-------. 1 root root 3879 May 11  2016 /etc/ssh/sshd_config

ssh服务安全优化：

[root@m01 ~]# vim /etc/ssh/sshd_config #编辑sshd_config

Port 52113 #ssh连接默认端口是22，这都知道，因提高安全级别，建议改掉它。

ListenAddress 172.16.1.61:52113

PermitRootLogin no

PasswordAuthentication yes

ChallengeResponseAuthentication no

GSSAPIAuthentication no

调整以管理机为例：

[root@m01 ~]# vim /etc/ssh/sshd_config #编辑sshd_config

Port 52113 #ssh连接默认端口是22，这都知道，因提高安全级别，建议改掉它。

ListenAddress 172.16.1.61:52113 #监听的网段修改为本机的内网ip地址和ssh端口 172.16.1.61:52113

PermitRootLogin no #默认是允许用户登录的，这里修改为no不允许。

80行改为GSSAPIAuthentication no #默认是#GSSAPIAuthentication no，解决linux之间使用ssh连接慢的问题。

81行改为#GSSAPIAuthentication yes #默认是没有#注释的，这里加上#注释掉

122行改为UseDNS no #默认是#UseDNS yes 禁止dns反向解析域名

65行改为PermitEmptyPasswords no默认是#PermitEmptyPasswords no 禁止空密码登录

sshd_config修改的相关参数说明如下：

将以上信息更改后，保存退出。

执行如下命令重启sshd，使修改的配置生效；

[root@m01 ~]# /etc/init.d/sshd reload
Reloading sshd:                                            [  OK  ]

重新载入sshd：

或者

[root@m01 ~]# /etc/init.d/sshd restart
Stopping sshd:                                             [  OK  ]
Starting sshd:                                             [  OK  ]

提示：reload为平滑重启，不影响正在SSH连接的其他用户，因此要好于restart

此时远程连接linux，就仅有oldboy用户可通过52113端口远程连接到系统中了（本地登录的用户不受影响）

用diff比较工具比较一下：

[root@m01 ssh]# diff sshd_config sshd_config.ori 
13c13
< #Port 22
---
> Port 52113
15c15
< #ListenAddress 0.0.0.0
---
> ListenAddress 172.16.1.61:52113
42c42
< #PermitRootLogin yes
---
> PermitRootLogin no
80,81c80,81
< #GSSAPIAuthentication no
< GSSAPIAuthentication yes
---
> GSSAPIAuthentication no
> #GSSAPIAuthentication yes
122c122
< #UseDNS yes
---
> UseDNS no

用vimdiff比较工具比较一下：

[root@m01 ssh]# vimdiff sshd_config sshd_config.ori

红色的就是修改的内容

：q! 退出，再次：q! 退出，得退两次。

然后再创建账号：

[root@m01 ~]# useradd oldboy
useradd: user ‘oldboy‘ already exists
[root@m01 ~]# echo 123456|passwd --stdin oldboy
Changing password for user oldboy.
passwd: all authentication tokens updated successfully.

在nfs服务器上面远程连接：ssh -p52113 oldboy@10.0.0.61

本文出自 “sandshell” 博客，请务必保留此出处http://sandshell.blog.51cto.com/9055959/1955962

SSH服务介绍

标签：linux

原文地址：http://sandshell.blog.51cto.com/9055959/1955962