安装SSH,工作端口监听在192101。
apt install -y ssh
vim /etc/ssh/sshd_config
修改port 192101
仅允许InsideCli客户端进行ssh访问,其余所有主机的请求都应该拒绝。
vim /etc/hosts.allow
最后一行添加
sshd:192.168.0.110:allow
:x 保存退出
vim /etc/hosts.deny
最后一行添加
sshd:ALL
:x 保存退出
在cskadmin用户环境下可以免秘钥登录,并且拥有root控制权限。
vim /etc/ssh/sshd_config
取消pubkeyauthent的注释
:x 保存退出
创建免密钥用户
useradd cskadmin
passwd cskadmin
vim /etc/passwd
修改cskadmin的权限跟root一样
cskadmin:x:0:0:cskadmin:/root:/bin/sh
:x 保存退出
生成ssh密钥
ssh-genkey -t rsa
cd ~/.ssh/
拷贝授权文件
cat id_rsa.pub > authorzed_keys
客户端同样生成ssh密钥
ssh-genkey -t rsa
拷贝密钥文件到服务端
ssh-copy-id cskadmin@192.168.100.100 -p 192101
免密钥登录完成并拥有root权限
· 只允许用户user01,密码ChinaSkill21登录到router。其他用户(包括root)不能登录,创建一个新用户,新用户可以从本地登录,但不能从ssh远程登录。
vim /etc/ssh/sshd_config
添加
AllowUsers user01
DenyUsers all
:x 保存退出
useradd -m user01
passwd user01
· 通过ssh登录尝试登录到RouterSrv,一分钟内最多尝试登录的次数为3次,超过后禁止该客户端网络地址访问ssh服务。
vim /etc/ssh/sshd_config
修改
LoginGracetime 1m
Maxauthtries 3
· 记录用户登录的日志到/var/log/ssh.log,日志内容要包含:源地址,目标地址,协议,源端口,目标端口。
vim /etc/ssh/sshd_config
取消syslogFacility的注释并修改
syslogFacility local1
syslogFacility AUTHPRIV
:x 保存退出
vim /etc/rsyslog.conf
在user.*下面添加一行
local1.* /var/log/ssh.log
:x 保存退出
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
