在CentOS系统中,SSH(Secure Shell)是一种加密的网络协议,用于安全地访问远程计算机,本文将详细介绍如何在CentOS下配置SSH服务,包括安装、配置和优化等方面的内容。
1. SSH安装
在CentOS系统中,可以通过以下命令安装OpenSSH:
sudo yum install opensshserver opensshclients
安装完成后,可以使用以下命令检查SSH服务是否已经启动:
sudo systemctl status sshd
如果SSH服务没有启动,可以使用以下命令启动SSH服务:
sudo systemctl start sshd
2. SSH配置文件解析
SSH的配置文件位于/etc/ssh/目录下,主要包括以下几个文件:
sshd_config:SSH服务器配置文件
ssh_config:SSH客户端配置文件
moduli:指定RSA密钥模数的文件
ssh_host_ecdsa_key、ssh_host_ed25519_key等:SSH服务器密钥文件
sshd_config是最重要的配置文件,用于设置SSH服务器的各项参数,以下是一些常用参数的解释:
| 参数 | 解释 |
Port |
SSH服务的端口号,默认为22 |
ListenAddress |
SSH服务监听的IP地址 |
PermitRootLogin |
是否允许root用户登录,默认为禁止 |
PasswordAuthentication |
是否允许使用密码验证,默认为允许 |
PubkeyAuthentication |
是否允许使用公钥验证,默认为允许 |
AllowUsers |
允许登录的用户列表,多个用户用空格分隔 |
DenyUsers |
禁止登录的用户列表,多个用户用空格分隔 |
MaxAuthTries |
最大认证尝试次数,默认为6次 |
LogLevel |
日志级别,默认为INFO |
Banner |
登录前显示的横幅信息的文件路径 |
3. SSH配置示例
假设我们希望修改SSH服务的端口号为2222,禁止root用户登录,并限制只有用户user1可以登录,可以按照以下步骤进行配置:
1、使用文本编辑器打开sshd_config文件:
“`bash
sudo vi /etc/ssh/sshd_config
“`
2、修改配置文件,将Port改为2222,将PermitRootLogin改为no,将AllowUsers改为user1:
“`
Port 2222
PermitRootLogin no
AllowUsers user1
“`
3、保存并退出编辑器。
4、重启SSH服务使配置生效:
“`bash
sudo systemctl restart sshd
“`
4. SSH优化建议
为了提高SSH服务的安全性和性能,可以考虑以下优化建议:
禁用密码验证,只允许公钥验证:将PasswordAuthentication改为no,将PubkeyAuthentication改为yes。
启用SSH密钥对登录:生成SSH密钥对,并将公钥添加到远程主机的~/.ssh/authorized_keys文件中。
限制特定用户或IP地址访问:使用AllowUsers或DenyUsers参数限制特定用户访问,使用ListenAddress参数限制特定IP地址访问。
启用防火墙规则:配置防火墙规则,只允许特定IP地址或端口访问SSH服务。
定期更换SSH密钥:定期更换SSH密钥对,以提高安全性。
FAQs
Q1: SSH连接时提示"Connection refused",如何解决?
A1: "Connection refused"通常是由于SSH服务未启动或防火墙阻止了SSH连接请求导致的,检查SSH服务是否已启动,可以使用以下命令查看SSH服务状态:
sudo systemctl status sshd
如果SSH服务未启动,可以使用以下命令启动SSH服务:
sudo systemctl start sshd
检查防火墙规则是否阻止了SSH连接请求,可以使用以下命令查看防火墙状态:
sudo firewallcmd state
如果防火墙处于运行状态,可以使用以下命令添加SSH服务的防火墙规则:
sudo firewallcmd permanent addservice=ssh sudo firewallcmd reload
Q2: SSH连接时提示"Too many authentication failures",如何解决?
原创文章,作者:未希,如若转载,请注明出处:https://www.kdun.com/ask/683569.html
微信扫一扫