00:01
大家好,欢迎大家继续收看上硅谷Linux云计算视频,我是刘川老师。那我们呢,这节课接着来讲一下关于我们SSSH的这个相关的一些实验啊,相关的一些实验,首先呢,我们需要来讲一下关于我们的SS10实验当中的禁止使用密码登录。这个其实我们上节课呀,在讲这个关于呃,使用密钥对登录的时候,已经见到这个问题了,在我们设置了可以使用密钥对登录的同时啊,密码也能登录。这两种登录方式可以并存的。但是呢,真正的这个。生产环境中啊,这两种方式并存的时候呢,是密钥度优先级更高一些,甚至有些时候我们为了保护我们的这个对应的账户和密码,就是为了让安全等级更高一些。我们一般可能会将这个。使用用户密码登录的模式给它禁用掉。啊,也就是说仅保留一个使用密钥对登录的一个方式就可以了,那正好呢,我们现在有一个这样的环境,我们的这个88.30这个主机啊,由于我们刚才的那个实验啊,这个做的时候啊。
01:11
既能够使用对应的账户名登录,也能够使用对应的什么密度登,你看密度是可以登录的,那么现在去做这样一个实验干嘛呀?我们把对应的88.30这个主机的密码登录给它关闭掉。价格关闭掉那。如何去关闭掉对应的这个密码登录呢?需要什么?掌握我们的配置文件里边的几个参数。首先我们需要知道SS配置文件叫ETC下的SSH,叫SSHD。注意,注意方法。这个D的意思是DEMO的意思啊,其实我们之前的前几节课已经说过这个东西了。我去找一下这个文件。取到ETC下的。SSH是梦想。这里边啊,为啥我要单独强调D啊,是因为有一个和它类似的文题,小S con,这个是客户端配置文件,这个是服务器配置文件啊,所以说我们要改的是。
02:07
打开它,在这里边我们需要找到关于我们要禁止的选项。那我们要禁止的选项叫什么呢?叫禁止密码登连的服务,而密码的单词叫password,所以说在这里边我们直接搜。Password就可以了,注意这里边注意我用的password的P是大写的,为什么我这样写呢?因为你会发现这个配置里边几乎所有的选项的。我断定password的P是大写的,搜索一下。这个选项就是。那对他这个选项呢,它默认的是一个什么生效状态,并且是yes,如果我们想让它变成密码不生效,就找到这个选项给它改成。那我们需要去干嘛呀?把服务重取一下,12V叫。
03:03
Str。并且退出。这个时候你会发现一个问题,就是我们在禁止了使用密码登录之后啊,这个密码的选择窗已经变成灰色不可选了。这就是仅允许密日登录的方式。这个实验相对比较简单一些啊,OK,我们来看一下第二个实验。禁止使用root程。这个禁止使用远程助的登录啊,由于这些原因啊。那大家都知道我们的root是一个超级管理员用户,他呀权限比较大。在整个操系统当中啊,这个使用的操作时,很容易出现一些这个误操作,而造成一些不可恢复的一些灾难性的一些结果。那其实我们这个整个行业当中啊,由于这个使用超级管理员而误操作,导致数据删除不可恢复的这种事件其实挺多的。
04:04
每年都有发生,每年都有这种事出现,所以说呃。我们呢,需要从那个在学习的时候就要建立这样一个概念,我们要知道这个,呃。尽量的不要用root来操作,当然用root操作简单,不会遇到一些什么权限限制,但是也带来一个极大的问题,就是让你没有了危机感。嗯,让你不知道,就是无所阻拦啊。那尽量的,我还是建议大家尽量的在平时的操作中啊,都使用一个相对来说呃。比较安全的普通用户。哪怕是你使用root给他收一定权限也可以。不要直接使用超级管理员。什么时候我们做一些操作,发现没有权限时,我们可以切换到超级管理员。让超以超级管理员身份去操作,操作完了再切回来。这样。安全很多。这是我们平常的一个操作过程。
05:00
那么远程啊就更得这个注意了,由于整个远程传输过程中会传输我们的这个账户密码等一些信息,以及密钥一些信息,我们尽量的不要把root的相关信息泄露出去。所以说我们很多时候都是。不允许root远程登录,我们仅允许一个普通用户能够远程登录。然后呢,在你需要入的时候,通过普通用户内部切换,这个时候就会发现不会出现那种什么账号密码在传输过程中泄露的问题了。我们这个地方来。看一下如何禁止掉root的远程登录方式,同样还是同一个配置文件,然后呢,在配置文件当中啊,我们去找到一个叫什么。Permit root login的选项,并且呢,我们把这个对应的选项给它改成no就可以了。他们来找下配软件。呃,这个地方我们换一个,因为现在这个机器啊,已经做完实验之后啊,他已经只能通过密钥对登录了,我们换。
06:01
机型。这个幺零这个机器,现在幺零这个机器呢,这个root还是能正常登录的。我们呢,现在去限制一下,让他。不能登录,但是你要注意啊。你既然限制它的root登录了,那你肯定得有一个其他的登录的用户没有吗?暂时没有,所以说一定要注意去Uzi的一个。啊,普通的用户,比如说张三吧。然后呢,给张三设了一个密码。Password给一下张三改密码,123456。张三骂之后,我们就可以放心的去改掉。禁止聊通网。首先打开一下etcssh。目录写的D。然后在下方你去搜一下吧,比如说搜一下捞个一。搜一下我们的login。OK。Permit root login。默认注释的,我再提醒一遍。
07:02
这个配置文件里边注释的。不一定是生效的。啊,绝大多数都是默认生效。所以说将选项开启并修改成no,保存退出。重启服务。然后退出我们的这个用户。然后来登陆。先用root看还行不行。123123。这个时候会你会发现。服务器拒绝了你的密码,请再次尝试。不用试了,铁定是不行的,OK,换普通用户。普通用户叫张三。而张三的密码是123456。也就是说你用普通用户登录成功之后呢,普通用户也没有什么权限呀,不要紧啊,我们普通用户是可以使用Su命令的呀,Su切换成root不就可以了吗。内部的切换是不会受到SSH的,因为内部用户切换是没有和S任何关系的,然后这个地方填123123 OK看。
08:08
又可以变相的物。但这个时候。远程这变化这些动作就相当于变相的保护了。Root的一个安全,OK。那这个就是一个关于我们。拒绝什么?拒绝我们这个。Root远程登录一个实验,这个相对比较简单一些啊,注意。这些实验做完之后,记得改回来。像出血这些实验还是会有一定的影响,影响到我们后的实验啊,OK。好,我们就改回来了。切换到。修改一下ETCSD。找到选项。其实改成yes就可了。保存一下,重现服务。
09:00
然后exit,然后exit,然后再登录,使用root登录。然后最后一个。实验室关于修改默认端口以及限制SSH监听IP的。这个先来说第一个啊,关于修改默认端口,首先一个是SSH这个服务呢,作为一个。管理员的这么一个管理工具。不是一个说,呃。允许被很多人同时连接使用的这么一个。比如说知道的人越少越好,而不是越多越好。他这时候就有一个问题啊,这时候。我们啊,要尽量的。不让别人知道我们的SSH连接端口。默认是22。都是。那肯定就容易被人破解,你要不改很容易找到被人攻击。所以说尽量的改一个,而改端口也有一定的什么要求,首先啊,我们这个22端口它是TCPC的,我们再改肯定还是改TCP的,那关于TCP的端口的数量是什么。
10:08
一到6535反。儿这个地方我提醒一下啊。这个1000以内的端口啊,都是一些非常常见的端口。尤其是100以内的。特别常见。而且常用的几率非常大。那我建议大家改端口,是建议改一个高倍的。万围以上的,3万以上的。虽然这个范围很广,但是你改的反而要注意一下的啊,OK。然后呢,同样改端口的方式也是要通过配置文件那。我们配置里边有这样一个选项,Part。来,出来看一下。打开门的ETC ss,下载SSD confi。找一下搜一下吧。默认是注视角的咆哮上。如果你想改成你自己想要的端口。
11:01
则把这个注释取消掉,然后把22改掉,比如说我习惯改成59527。而且没有超到6535。改完之后保存就出床起伏。当我们再次通过远程连接工具连接时,重新连接时,你会发现啊,如果我直接使用SSH,然后加。IP地址的话回车。发现连不上,为啥?这个提示。Connecting two I冒号22,有时候它默认啊。帮你使用22了,这就和浏览器去访问网站时。你在网址后边加冒号八零了吗?没有,但是它默认把补齐了,而我们这个地方也是,怎么办啊。我们要使用。指定端口的方式,192.168.88。加点幺零。
12:02
九五。你看这个时候你会发现什么。就发现他。他让我们连接时使用新的端口连接。OK,由于端口变新了。密钥也变形了。重新接收一下。用户名叫root。123123。然后呢,我们来看一下监听端口net state-an TP。你会发现我们现在SSH监听的端口是。2925272不在是。不再说耍了。而这个时候,比如说。那比如说。我们通过其他的主机去扫描一下关于这个幺零的端口时,你会发现我们扫不到22了。呃,上上节课吧。应该是上上上节课。
13:00
讲过关于n map的使用方式。比如说我们用。Install安装一下ma。安装一下。那我们拿n map这个工具啊,来去扫描一下这个88.10这个主机所开放的端口。C到根下的。Media。还可以直行。直接用RPM港IV安装。安装完之后我们使用n map杠什么。小S大T。嗯,小S大去扫描一下192。八点。幺零。
14:05
这个时候你会发现只扫描到了其中一个111。啊,之所买到了七中药,关于5957病草买不到。这个呀,有两方面原因,第一个是什么呢?关于这个首先不是默认端口的地位端口22它扫描不到也也没开嘛,第二个是这个map默认不会去扫描高位端口。只扫描常规端口,所以说你会发现这个时候啊。就相对而言要安全一些,那相对而言要安全。那如果说我想通过这个。Linux去连另外一个Linux,我用。207088.10。我的SS的命令应该怎么填呢?SSH?Root at192.168点。88.10。22没有啊,怎么办啊?那我们的SS命令其实也是有选项,可以指定端口的,用什么钢坯。
15:01
端口是五。952。123123OK。关于我们的这个。端口修改以及SSH命令,如果要指定端口的时候。钢坯来制定端口。是我们的这个关于。修改默认进程端口的一个方式。第二个是关于限制SS监听IP的。呃,这个呢,是生产环境,是这个原因,生产环境中啊,我们绝大多数的服务器都是至少两张网卡,甚至甚至有的有三张四张网卡。那这个时候呢,有一些服务器安全等级比较高一些。那这个时候我们要求这些服务器尽量的不能直接通过互联网原产链接,而是仅允许。以局域网的身份进行管理。
16:01
那也就是说呢,只能从局域网管理,我是不是每次都得去机房,其实也不用,我们可以这样,我们要在机房啊,或者在机房里啊,找一台机器把。把这台机器设置为可以允许吗?外网,也就说互联网访问。当我们想访问其他主机时,我们先远程连接到这台允许外网访问的服务器上,再以这台服务器的身份。然后拿着这台机器去局域网连接其他服务器,不就可以连接了吗?这样的话,其他服务器就相当于。虽然不能直接连接,但是可以变相的,而只有我知道哪台服务器可以连接那些内网服务器,别人是不知道的,相当于又增加了一层一层安全防护的一个策略。又从。而这个时候呢,我们怎么来设置这。比如说。我们这个,呃。我们这个服务器的,嗯。哪个网卡能接收,哪个网卡不能接收呢?这样来设置。
17:05
还是那个同样的配软件啊,还是。你做实验啊。一下ETC下的下的SSH下的SHD康复。这里有个叫listen address address的对象就是本机的哪个网卡的。默认它没有生效,不是默认它使用的是四个零,就代表所有网卡的所有IP那。小说给他写一个192.168.8,八点多少呢。您说你这个主机有2IP吗?诶没有。这机马上有了,我只要不重启就不会出事啊。首先我们来看一下,本期现在只有一个800.20。如果想要这个主机有多个IP地址,那。真正的生产环境中就是Java。而我们在这个地方呀。没必要说出去去增加一张虚拟网卡,而是我们通过一个简单命令就可以if大家应该还记得吧,对吧。
18:05
If config有一个特殊的功能是可以将一个网卡。设置。两个。叫。就是类似于Windows里边一个网卡多个IP啊那样。叫子端口ETH0820。192.168.88.2。你find。这是没?有RP地址了。然后呢?我去ERV叫SST重启我们的SH服务。然后我去。分页连接不了。我的服务器是不是说我监听时只监听那个访问到我的88.22那个网卡的那个信息啊。如果你访问是8.2,我可能会接受你访问的,不是8.2我就不管了,OK,你们去访问一下吧,点二。
19:17
220那个网卡没有人监听。我只进去了八二,也就是说只有去访问22IP的那个远程登录请求才会被处理其。这就是一个关于。SS是监听的一个IP地那个。这个呢,就是我们关于。SSH当中的一些相关的一些实验,那讲到这儿呢,其实我们SSH相关的一些,呃。配置内容就已经讲完了。剩下呢,还有一个关于SSH服务的相关实验,比如说SSH衍生出来的两个命令。
20:00
呢,我们下一节课来讲啊。好,下节课再见。
我来说两句