虚拟机系统ubuntu12.04(内网环境下的虚拟主机)开

作者:电脑系统

分分快三全天计划网站 1

作者:@lxchinesszz
正文为作者原创,转发请表明出处

分分快三全天计划网站 2

2.安装公钥到服务端

  • 讲公钥安装到服务器
[root@host ~]$ cd .ssh
[root@host .ssh]$ cat id_rsa.pub >> authorized_keys
  • 设置权限
[root@host .ssh]$ chmod 600 authorized_keys  #不让其他用户写入 600 权限
[root@host .ssh]$ chmod 700 ~/.ssh           #读写执行的权限 700
  • ssh的配置文件都在/etc/ssh/ 里面

    [centos@localhost ~]$ cd /etc/ssh/
    [centos@localhost ssh]$ ls
     ssh_config #是客户单配置的
     sshd_config #是服务端配置的
    
  • sshd_config中布局利用本田CR-VSA登陆

    RSAAuthentication yes
    PubkeyAuthentication yes
    PermitRootLogin yes # 允许root用户通过ssh登录
    PasswordAuthentication no #不允许密码登录,只用使用私钥登录[一般我也用yes]
    
  • 谈到底服务端重启 ssh

    [root@host .ssh]$ service sshd restart
    
  • 先切换来root

  netstat -antl | grep 29999  发掘29999端口处于监听状态

1.制作密钥对

  • 第生龙活虎在服务器制作,须求的记名账户,然后实践以下命令
[root@host ~]$ ssh-keygen   #建立密钥对
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): #按 Enter
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase):  # 输入密钥锁码,或直接按 Enter 留空
Enter same passphrase again: # 再输入一遍密钥锁码
Your identification has been saved in /root/.ssh/id_rsa. # 私钥
Your public key has been saved in /root/.ssh/id_rsa.pub. # 公钥
The key fingerprint is:
0f:d3:e7:1a:1c:bd:5c:03:f1:19:f1:22:df:9b:cc:08 root@host

四、使用部分好像DenyHosts防守SSH暴力破解的软件(不详细介绍卡塔尔
骨子里就是七个python脚本,查看地下的记名,次数当先设置的次数自动将ip参预黑名单。
五、使用云锁(不详细介绍卡塔尔

分分快三全天计划网站 3

A.使用私钥登陆

firewall-cmd --permanent --query-port=20903/tcp 
no // 显示no  未监听
firewall-cmd --permanent --add-port=20903/tcp   // 添加端口
success

意气风发、工具筹划:

B.设置安全端口

  • 暗中同意使用22端口,那些在etc/ssh/ssh_config 就足以看出

我们能够不使用22端口,那个时候我们得以在服务珍视新制造三个端口,然后选择防火墙屏蔽别的端口

  • 敞开头口

    • 翻开二个10222端口

      /sbin/iptables -I INPUT -p tcp --dport 80 -j ACCEPT   #写入修改
      
      /etc/init.d/iptables save   #保存修改
      
      service iptables restart    #重启防火墙,修改生效
      

  • 然后能够查阅一下端口状态

    • 翻看的时候一定要用root客商,不然查看不到的,所以本身切换了10222 端口连接
    • 端口的学问归于计算机的底蕴知识,假使您能看见这里,表达你的底蕴已经够了,不过下边作者会特意写生龙活虎篇有关底层的微计算机的稿子。
[centos@localhost ssh]$ su root
密码:
[root@localhost ssh]# /etc/init.d/iptables status
表格:filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:10222
2    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:10222
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
4    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
5    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
6    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
7    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination
1    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination
  • 服务端在/etc/ssh/sshd_config 中监听10222端口,然后就足以应用
ssh -p 10222 centos@192.168.1.112 
  1. 修改/etc/ssh/sshd_config

  1.内网设想机Ubuntu12.04系统主机风姿浪漫台,开放端口为:29999

  • 密钥登陆原理:

    • 密钥常是后生可畏没错,即公钥和私钥,将公钥增多到服务器上的某部账户,然后顾客端连接的时候,使用私钥落成认证就足以登录
  • 小编笔者的七个大意主机风流洒脱台设想主机和手提式有线电电话机都以这么连接起来的

vi /etc/ssh/sshd_config
#Port 22         //这行去掉#号
Port 51866      //下面添加这一行

  7.登陆成功后的分界面

3.操作客商端

  • 3.1把服务端私钥复制到客商端,cat id_rsa,正是转眼之间内容
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,A757691CABE05419

yvEX5nQY3 OeZ56kTt8i41YChrQgL9OwglA3SIU2ymrWvY 5IxXMOQbjJmoSFtRz
Or0lB1eWZx8ZimGdG y9KoN4AkUzX HqzaC8/eMczrv2KXP6DpOvV6MTdHoBrTb8
pJOSVzw1K1jmGPaCdWg3XJ7iNSdYr FVHC6gmJhCCvSHjXLHYBseTSJNXzs4DpQr
rTAnU1NXVt0ce3R7DCO/hGClS5zeQ7j7fpQ48cwBgNJumCcr5eU/TWlUMKm7Q8Za
zLaugTg387qKaieFY6v8CvpqT4Oqt j1 6B05sr2S4XiiWHdlcieG4fgSRc5I7kp
EhzZWM2LdK6NtxkbWVzd0ZOu5dZDIaMykC2KJJwT NW3yKZvN1iebm7jzLC3Pv1B
dAqnzxMuwBVNbkvrmVWzi8 OvSfH3ttCoRVnshAAvPylBazAZpWn5k6f0QC8MkUQ
AIEFex80xBPJTT L6HuijrO2Z1K6qeWe ptUAqX3FrcuneH1Nn3MnOhNVb4HZvk0
xoy3/ 2xe3sYKOUsMqjpWlI3DzGnZ81R8z1sTquRQy3hHDZ8cA6k1wUWoVTpJArb
CLphYurek YN3kFGLhvKnd6YjnH3d2sq/qSIMp4m3T8iBkex5raf4iNpFwKzb3S9
D6QSWl9Nfnd2tAWkApXU4TPOcbX7XtX1P5yexyNxAZaUHuDsPStO/53WHfu8G2BP
nM2Pefaj1sUcODLK 4JR edmtA9rjHXVx7Kd3OKRmpocmzYWgEOQJtklr cL7SJJ
HzoKBjx0NB5/iW23KxSnj7gJhnrDbcD9wY5g63DuMsNnreMfk6trTbXe5ck/mfYN
6bTCXkVczm5Q8BKY0cJF2n/2dJyow9RFJtxDTzm11SvqdXtZoanC5mttePViu3J8
8dbNETFw0DwutyY3KPq3taX40Ps76Ahh6BTb5QD8ctxpYx63MOfQG/BrPFD9M6Al
l5YLzi1In3hc0s6GN2yvx/fdjNZpYFgxA0GH66evtlo3HMr/Id8zgZ ZSikHMXpv
piXS4uBIgeCZeRaTbq/Bd2V2sN3ENQgV7UTVrnHDc5IWH qpg8AZxnvmP6BBATNQ
2WAc6I10JqkrtfwjKuSYGyJmg6fY5uSKkZo9JQ1uviWEyhdKDhtYgStxyoIznrbJ
E7PQ3iE3VanB0zmhJHdFJ9xsy5yggMSnRfLCmLsXrczJX0ALwtCDGrrAR3wAg1fn
7WmdUfyfnAugJGOBMx25vOLASL3q5zKoxEr7ayln51uuWRE2oK63low68lcWt42a
S/ozMsev6Wg7QQjg7HRYEavYZGmCv9OBAblOmneUQjajT2F6zY1R4Cajkk3XmBO2
GHXJ685hTiBMQsGf81NMtGd2Zkd5jbcHYhfOe1TKRhgp9cxtzKuyzD2Hj5Bltw8P
q26JVqhLAXZpy73kVsCpU8KplyvZM349kM VwzOwvvuoWuS pi9iYYv2f4CjDWZ4
dfzg30 ekEc2QTwsZrYbG8SyIOn4oZSE ygFNge/o2ftqwpRSwJhV8sUlrhBHQb/
plePpQQfRQlnifiqR/z2JQ4y28purVt5GKPuwsK4SpHCQTpXW3OkdA==
-----END RSA PRIVATE KEY-----
  • 把内部的开始和结果复制(这一个是自己的)自个儿的文本下
1.你也可以把服务端的id_rsa 下载到你的客户端,放在当前用户的.ssh目录下
2.也可以复制里面的内容然后再.ssh目录下,重新创建一个id_rsa

vi ~/.ssh/id_rsa # 创建私钥
firewall-cmd --permanent --query-port=20903/tcp

二、开启步骤:

连接上文,上文的机要不是连连,而是怎么样在局域网中用放任的微机搭建,是否以为很easy,那么那篇文章大家的根本就放在了百色上了,因为终归服务器是我们放应用恐怕数据库之处,安全性自然要可靠。作者是做Java开辟的,一头心爱手艺的小新手,因为做事中时时要一站式服务,即,本人写须求文档,本人码代码,本人测验,本身配置,自个儿维护。尽管很累,可是很充实,很能增高本身。笔者也指望把团结的劳作经历分享出来,对那几个想小编相像爱护技巧的年轻人,有所扶助。说半天废话,上边发轫。

  注:作者的虚构主机开启了29999端口的mysql服务,所以得先停止此服务:命令为/etc/init.d/mysql stop

4.一贯可以登入了【然后就能够意识标题】

✘  mac@MacBook-Air ~/.ssh ssh centos@192.168.1.112
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0644 for '/Users/mac/.ssh/id_rsa' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Load key "/Users/mac/.ssh/id_rsa": bad permissions
centos@192.168.1.112's password:

# 遇到这个问题一般就是权限问题 赋权700 ,然后就ok了
 mac@MacBook-Air ~/.ssh chmod 700 id_rsa
 mac@MacBook-Air ~/.ssh ssh centos@192.168.1.112
Enter passphrase for key '/Users/mac/.ssh/id_rsa':
Last login: Sun Feb 19 12:56:05 2017 from 192.168.1.113

  4.重启ssh服务:sudo service  ssh restart

  5.查看端口使用意况,假诺有其它应用占用29999端口,则关闭那么些服务或涂改提供该服务的端口号,这里看看sshd已经打起初口为29999的远程访谈服务了

firewall-cmd --permanent --zone=public --remove-port=22/tcp

 

vi /etc/ssh/sshd_config
PermitRootLogin no    // 设为no
Systemctl restart sshd  // 重启sshd

分分快三全天计划网站 4

一. 关闭Ping 扫描

  1.翻看端口状态消息:

  1. 禁止root登录

  3.配置sshd_config将暗许端口22装置为29999,假若想远程root账户,则设置PermitRootLogin yes,就能够远程登陆root账户

  • 第风流倜傥查看防火墙是还是不是监听20903端口

  2.远程连接软件:mobaxterm

这么就成功了第一步,之后root就不可能登陆服务器只能通过普通客户su切换

分分快三全天计划网站 5

以下将端口改为20903能够依靠须求团结退换,我们改正端口时候最佳挑10000~65535以内的端口号,10000以下轻松被系统或局地出奇软件占用,或是现在新应用希图占用该端口的时候,却被你先占用了,引致软件不能够运营

   6.使用远程登陆软件putty或maboxterm登入此设想主机

  • 用iptables
  • 举办成功后,查看20903端口是否被翻开:

干什么不先删除22,避防其余端口没布署成功,而又把22的删减了,不大概再一次进入服务器

  1. 纠正SeLinux,关闭可忽视
  2. 要是您关闭了防火墙,能够忽视第三步,话说防火墙不开启太危殆了,建议拉开
  1. 在root下增添普通账户
systemctl restart sshd  
systemctl restart firewalld.service  
shutdown -r now  

三、 订正ssh的默许端口22,因为ssh的端口是22,我们如若改造了该端口,他们就需求开销一点光阴来围观,微微扩充了点难度

firewall-cmd --reload 
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
1代表关闭,0代表开启
  • 双重加载防火墙计策
useradd lidi    // 添加一个普通账户lidi,并设置密码
passwd lidi
  • 接下来测量试验试试,能或无法通过20903签到,若能登陆进来,表明成功,接着删除ssh 22端口,同有的时候间关闭防火墙22端口

二. 创制普通客户,禁绝root客户登入,只允许普通顾客使用su命令切换成root
那般做的裨益是再度密码爱抚,黑客正是知道了普通顾客的密码,若无root密码,对服务器上攻击也比较轻便。

  • 重启SSH服务和防火墙,最佳也重启下服务器
iptables -I INPUT -p icmp -j DROP

本文由分分快三计划发布,转载请注明来源

关键词: 分分快三计划 Linux学习