013 尚硅谷-Linux云计算-网络服务-基础-ssh配置准备环节

大家好。欢迎大家继续收看上硅谷的Linux云计算视频，我是刘川老师。那我们上节课呢，把关于我们的SSH的一个基础的概念，以及SSH的两个登录验证模式给大家讲了一下。那需要注意的是啊，我们SSH的登录验证模式啊，其实非常重要，而且呢，也相对来说比较复杂一些，那需要呢，大家多去下一些功夫去理顺一下其中的思路。要不然啊，这个很多的后边的实验不太好做，OK。那我们本节课呢，需要来讲解一下关于我们的SSH的相关配置，那也就是SSH的一些实验。那在讲解我们的SSH的配置实验之前，我们需要先来讲一下关于实验之前的一个环境的准备。其实啊这个啊，我这个下几节课的时候，我会抽一个单独的这个视频给大家，这个说一下关于我们网络服务当中需要去在做实验之前做的一些准备。

那需要做的一些准备。很多东西呢，其实我们提前准备好之后啊，你会发现啊，我们实验这个做起来会非常轻松。啊非常轻松，所以说这个事儿呢，我需要给大家这个去梳理一下啊。那么这个地方呢，需要先简单的来看一下，需要做哪些准备。那首先第一个我们接下来的实验啊。需要至少有两台的服务器，那两台的Linux操作系统，那其实最好啊，还得有一个Windows，那我们现在呢，由于是这种。Linux是虚拟机的情况，所以说我们的Windows就是宿主机也已经有了，那。机器的数量基本上是够的。然后呢，需要给所有的主机啊，配置好相关的网络参数。其实这个对应的网络方式只需要配一下对应的IP地址以及网关这个自网掩码就可以了。网。什么的，其实不用配。可以基本实现正常通信就可以了。然后呢，建议大家呀，需要将这个主机名改为不同的。毕竟。

一会儿我们要通过Linux来连接另外一台Linux，如果两台Linux的主机名都是localhost的话。登录过来登录去之后，可能一会儿就混了，所以说我们最好去修改一下主机名，到时候以主机名的方式来区分一下。那关于防护的关闭呢，其中有两个。第一个是关于防火墙的关闭，第二是关于S0关闭那。呃，我们的关闭还分为临时关闭和永久关闭，关于这个地方我需要给大家说一下啊，呃，我们在讲了。讲完了那个六和七的对比的时候，我就给大家说过啊。我们以后的实验绝大多数都是以六作为环境。然后呢，但凡遇到和七当中不一样的，我会给大家说这个实验中哪。整个地方七座的时候应该怎么做，我会这样给大家说，所以说我们主环境还是六，所以说绝大多数的这个实验啊。步轴当中的一个，呃，记录和参数提醒都是以六作为基础的啊。

那这个地方呢，我们先来看一下关于两个防护的临时关闭啊，首先第一个IP table杠大F来清空掉防火墙规则，注意这个地方啊，它不是关闭防火墙，它是清空掉防火墙规则啊OK。那关于关闭s links，这个s links大家其实应该要有所了解，那s links这个东西呢，其实在我们后边的集群里边会详细来讲，但是我需要给大家简单的做一个提示啊。那防火墙这个东西呢，其实实际上是一个类似于这个过滤网的这么一个东西，大家都知道，我们现在家里基本上都有净水器，那净水器里边肯定会过滤网，而过滤网的那个网的。过滤级别就决定了最终过滤出来的水的这个水质。如果你的过滤网的那个网孔非常小，那很多杂质甚至矿物质都会被过滤掉，而过滤出来的水可能就是纯净水。

没有杂质的水可以直接喝的，那这个东西呢，在防火墙当中，其实就是你编写的规则是否完善，是否够安全。防火墙一般情况下是对外防护的。这个其实大家也是有所了解的啊OK，那s lix说一下，SX呢，它是一个这样的一个安全机制啊，安全机制我呢称它为叫行为控制。机制。那什么叫行为控制？就是你要干什么事啊，都要去经过一下s links的一个行为确认，比如说我要对一个某目录下的一个a.T文件发起一个什么读取访问。正常来说呀，其实大家这个。直接访问是没有问题的。但是有些时候。我们的slix可能就会限制用户。对A点的文件进行访问。啊，可能你连读取的权限都没有，你就说那一般权限限制不都是在文件上RWX限制吗？难道这个文件是没有R权限吗？不是这样的，注意。

Ethnicx是一个。更为强大的。独立的，独立于我们的文件基础权限之上的一种行为控制。甚至s link能够什么限制？超级管理员。也就是说。一旦将six开启。Root的很多行为都会被受到限制。那由于我们现在就是绝大多数人都是作为初学者在这学习，所以说啊，这两个防护啊，会影响我们很多时候做实验。给大家打个简单比方，就是。比如说家里盖房子啊盖房子。那我问你，盖房子的时候，我可不可以先把我房子周围的院墙都盖起来，把院子盖起来，然后再去里边盖房？能吗？能，但是你会发现一个问题，当墙建起来之后，你再想去院子里边去建东西。很多的材料是运不进去的，非常麻烦。

那非常麻烦，可能需要把墙拆掉弄进去，再把墙装好。然后又发现又一个材料又进不去，再拆掉就非常麻烦，那我们作为初学者，我建议大家啊。在学习过程中，可以先把这些相应的这些防护功能先关闭掉啊，先关闭掉，然后啊，等我们把这些对应的服务什么都学完了，比如说我们都有足够的了解和认识了，我们再去把防火墙建立起来，也就是说我们先把要部署的环境部署好，然后再去建立保护这些环境的一个什么。保护机制。而不是先建立保护机制，再去搭建环境。这是临时的一个关闭啊。这两个东西一旦重启就又重新生效了，那我啊还是建议大家去永久关闭一下。而且呢，我建议大家啊。这个在安装好了虚拟机之后啊，尽量的把这些呃。啊。做一个快照。这样的，因为以后啊，每次恢复快照之后啊，恢复出来的快照就已经是没有防火墙，没有s links的，所以说啊，建议大家这样做一墙OK。

我们看一下怎么来关闭。嗯，我们服务的。不自启动的一个设置方式。嗯，然后呢，将这个IP tables的这个。改为开机不自启，那下次它不就不启了，所以说OK，这是第一个，那关于SE lix的光闭呢，相对比较复杂一些。首先第一个啊。命令里没有能够直接进行一个关闭的。啊，我们一般呢，要通过什么，要通过配置文件。它的配置文件在这个叫ETC的目录下，叫I目录里边。有叫config的文件。在这个文件里边呢，有一些选项，其中在第七行里边。嗯，在第七行7S嘛，S-I命令里边的7S就是第七行嘛。第七行里有个关键词叫forcing。

Enforcing。然后呢，这个选项的功能就是加载所有的S0规则强制加载。那规则加载了是不是就生效了，对。那怎么才能将这个关于SS的规则关闭掉呢？或者S关闭掉呢？C吧，那现在我们来看一下关于这个配置文件内容。首先我们来打开一下关于ETC下的s link config文件。这个文件里边啊。有两行生效的，其中第七行就是这个s links的开关，最后一行呢是一个关于s links规则，按什么样的一个模式加载？那这个地方呀，X0等于后边有三个可用选项，哎。在上边这个地方有三个同学。这是对三个选项说明，其中默认是forcing模式。默认是forcing模式。所有的enforce模式是什么呢？是叫isthics security policy is enforced。

比如说我们的安全规则。强制加的。已经加载。然后呢，最后一个模式叫什么？Disabled，叫no is link policy is loaded，也就说没有任何的is规则啊，是加载着的。没有任何贵。在加。没有规则加载，不说关闭吧，对。那除此之外还有一个模式叫什么pers？这个模式比较特殊啊，我们来看一下，读一下它的意思啊，I links prince running print print就是打印输出的意思，而running就是警告。我们通过什么打？打印警告来什么？Instant instant是取代、代替的意思，通过打印警告信息来代替of。什么forcing，比如说通过打印警告来代替掉强制加载。车辆的。

关系其实就是什么呢？它是开启S04。它是关闭，只不过这个关闭啊。不是彻底的slix还在运行着，只是没有规则加载了。呃，不是，只是不再去限制了，而是通过什么。一旦出现这种越权的，越级的，这种操作，只会警告你，但不会限制你的行为。模式。而对应的如果是要通过命令临时来设置启用和打印警告的话，怎么设置啊？SETFOR0其实就是那个forcing模式。而set in还有一个命令叫set in1。这个一就是对应的那个叫。的模式。好了，这就是我们的关于s links的一个开关的一个问题。那现在还有一个问题。配置文件改完之后，一般我们是不是要重启啊，重启什么。

绝大多数人可能认为充气服务嘛。你看我们很多时候这个改完某个东西之后，重启服务不就上了，对不起，SX没有啊。服。或者说你可以这样理解。SX它有单独的服务，但是它是绑定在内核上的。而内核这个东西。一旦。参数固定下来。再想去修改，必须在修改完内核参数之后干嘛呀？重启内核这个参数才生效，那也就意味着我们的S04显示关闭，必须重启，OK，那。就记住呗，我这给大家写了。以上两条命令之后，需要重启服务器才能生效，切记切记。切记。忘了重启不生效啊，我跟你说，我见过很多种例子，哎。这个有学这个说川哥，哎，为啥我这个地方这个命令敲不过去呢，我看一下呗。

先不看我，先问我说你个零过了吗？关了我都关了，哎，我一看确实都关了，哎，配置也改了。然后我们去看历史命令，历史命令当中很明白的就显示在那什么。S lix确实编辑的时候关闭了。也就是说，确实改了。但是没有重启。你只是把它关了，相当于内核参数改了，但是没有生效，明白吗？所以说关于环境准备这个地方有非常多的一个细节需要注意一下。第一个。主机名需要改，第二个方户需要关闭，OK。那我给大家。演示一下这两个东西，OK。我这边有一个机器啊，是没有关闭的啊，三零机器说我们没有这个登录过，我先登录一下。首先啊，我们先来这个临时关闭一下，临时关闭之前我们先来看一下防火墙规则加载着的状态是什么样的。

用我们的IP-L。可以来干嘛呀，可以来查看方向规则，这时候你会发现有一些规则是加载的。我们现在干嘛临时把规则清空掉？杠F。然后再来杠L。大门重启之后，发现规则又来了。再来看一下关于我们的这个s links I links呢，有一个关于查看s links单线状态的方式叫。获取。Get in for。发现get出来的结果是什么？Forcing。枪支下的所有规则，OK？就证明是开启这个想着。关闭只能临时，也就是说让那个警告代替这个枪支啊。获取set设置。In force。

设置完之后再来get一下。发现get出来，教我说变成色了。就是意味着现在啊，如果再有行为越级了，顶多也就是警告一下你，但不会限制。这就我们的两个临时，那现在我们要干嘛呀，现在们来永久关闭一下，我说过想着永久关闭必须要让服务在每次开机时都不自启。那也就是说我们要把。Ipbox设置为开机不自启。首先我们先来看一下con。干嘛呀，刚刚list列出一下我们的IP。老师。有发现我们的IB服务呀。现在啊，在2345级别是开机自启的，而我们现在用的是三级别，也就是说我们每次开机方向都会齐。为了让他开不自己。我们要用。废稿什么呀，IP tables。报复一下。然后再来查一下。就会发现艾P。以后不会开车了。

再来说一下关于我们的。I link配置间在ETC以下叫I link目录下叫config。打开之后默认的这个第七行的这个选项啊，里边的内容是enforcing，而enforcing这个东西就是千加Y啊，所以说我们要给它改成Dis保的dab led，改完之后注意保存退出，而且要记住，切记我给大家说的话。重启，重启，重启reboot。这个重启啊，可能需要花一定的时间。我们重启完成之后去检查一下，看看是不是像我们说的那样。当我们设置防火墙开机不体，并设置icx。这个。不随内核加载的时候，是不是会真正的去关闭，那只有我们做的这两个操作正常生效了才会什么。会妨碍我们的设备正常使用，OK？

稍微的曲。等一下我们这个。呃，服务器的一个重启OK。记住啊，我们这两个。操作非常非常的重要。好了，现在这个机器起来了，我们通过远程连接一下，还是三零。A，之后我们先来干嘛？验证一下方向规则，有没有注意用IP。7BOSS-L。或者通过service。然后呢，确定一下我们的IP宝的。会发现什么也是没有规则的。干嘛get？Enforce。会发现get结果是什么道。证明。司也已经彻底。

那我们这节课主要讲的内容就是我们的关于。SSH服务。然后呢，要配置的一些实验的一个。那。