======SSH安全遠端管理服務...為完成======
SSHD驗證方式分為三類:
* 主機金鑰驗證此方式是一般所常用的。主要是以伺服端的帳號及密碼來驗證。結果演示。
$ssh root@192.168.0.13
The authenticity of host '192.168.0.13 (192.168.0.13)' can't be established.
RSA key fingerprint is 6f:c6:45:98:8a:ae:bc:c8:fe:30:b4:ba:35:6c:a9:8b.(是192.168.0.13遠端伺服的ssh公鑰拇指紋)
Are you sure you want to continue connecting (yes/no)?yes(表用戶端接受192.168.0.13公鑰)
Warning: Permanently added '192.168.0.13' (RSA) to the list of known hosts.
root@192.168.0.13's password:(此處填入伺服主機上既有的帳號密碼)
Last login: Sat Jul 14 15:30:17 2012 from 192.168.0.104
#(若下一次重新登入,就不會問Yes/No,因為用戶端 ~/.ssh/known_hosts,此檔已存有192.168.0.13的公鑰了)
* 公鑰驗證驗證用戶端公鑰的一種身份認證。一開始用戶端把自己的公鑰存放在伺服端。等到下次登入時,
伺服端會比對此ip是否為此公鑰所屬的主機,正確後,用戶端會拿出私鑰來驗證此公鑰。因此也可說是憑證認證。結果演示。 #ssh root@192.168.0.13
Enter passphrase for key '/root/.ssh/id_rsa':(此處填入解開私鑰的密碼,來驗證存放在伺服器的公鑰)
Last login: Sat Jul 14 15:18:02 2012 from 192.168.0.104
#
* 無密碼驗證此驗證方式原理與第二項一樣,差別在於用戶端的私鑰無加密,因此登入伺服端不必登打密碼即可登入,
用於批次自動化管理非常方便。結果演示。過程中不必key密碼
$ssh root@192.168.0.13
Last login: Sat Jul 10 06:54:03 2012 from 192.168.0.104
#
======SSH簡單設置安全政策======
#vim /etc/ssh/sshd_config(另外,在/etc/ssh/內有ssh_config,表客戶端的設定檔)
#vim /etc/ssh/sshd_config
Port 22 #ssh 通常是22port,可以改變1024~65535port
PermitRootLogin yes #預設為yes改變為no,不允許root登入
PasswordAuthentication yes #預設為yes改變為no,不用主機驗證方式,改採憑證認證方式(憑證認證方式,可以用ssh-copy-id,把公鑰傳到伺服端)
AllowUsers user1,user2... #此作法為白名單方式,只允許user1,user2等帳號登入驗證