本专题我将讨论一下开源服务，随着开源社区的日趋丰富，开源软件、开源服务，已经成为人类的一种公共资源，发展势头可谓一日千里，所以不可不知。SSHD服务，在我们的linux服务器上经常用到，很重要，涉及到服务器的安全，对这个服务的安全配置要高度重视。本文将从以下三个方面进行阐述开源服务及ssh服务。

• 一、学习开源服务的步骤和方法
• 二、SSHD服务安装、配置、使用
• 三、设置安全的SSHD服务

1、 了解服务的作用：名称，功能，特点

2、 安装

3、 配置文件位置，端口

4、 服务启动关闭的脚本

5、 此服务的使用方法

6、 修改配置文件，实战举例

7、 排错(从下到上，从内到外)。 

二、SSHD服务安装、配置、使用

SSHD服务

介绍：SSH 协议：安全外壳协议。为 Secure Shell 的缩写。SSH 为建立在应用层和传输层基础上的安全协议。

作用：sshd服务使用SSH协议可以用来进行远程控制， 或在计算机之间传送文件

相比较之前用telnet方式来传输文件要安全很多，因为telnet使用明文传输，是加密传输。

服务安装：

需要安装OpenSSH 四个安装包：

OpenSSH软件包，提供了服务端后台程序和客户端工具，用来加密远程控件和文件传输过程中的数据，并由此来代替原来的类似服务。

安装包：

OpenSSH 服务需要4 个软件包

openssh-askpass-5.3p1-118.1.el6_8.x86_64  #支持对话框窗口的显示，是一个基于X 系统的密码诊断工具

openssh-ldap-5.3p1-118.1.el6_8.x86_64      #这个包不是必须的，我在yum install openssh* -y 安装时，顺带将这个包装了。

openssh-5.3p1-118.1.el6_8.x86_64              #包含OpenSSH 服务器及客户端需要的核心文件

openssh-clients-5.3p1-118.1.el6_8.x86_64    #OpenSSH 客户端软件包

openssh-server-5.3p1-118.1.el6_8.x86_64     #OpenSSH 服务器软件包

这四个软件包在我们的RHEL镜像软件安装包里有。

[root@xiaolyu77 ~]# ll /mnt/Packages/openssh*
-r--r--r-- 3 root root 264144 Nov 25 2013 /mnt/Packages/openssh-5.3p1-94.el6.x86_64.rpm
-r--r--r-- 2 root root 55748 Nov 25 2013 /mnt/Packages/openssh-askpass-5.3p1-94.el6.x86_64.rpm
-r--r--r-- 3 root root 411336 Nov 25 2013 /mnt/Packages/openssh-clients-5.3p1-94.el6.x86_64.rpm
-r--r--r-- 3 root root 318860 Nov 25 2013 /mnt/Packages/openssh-server-5.3p1-94.el6.x86_64.rpm
[root@xiaolyu77 ~]#

说明：这里我给出我的xshell的配色方案，因为作为程序人，整天对着一个白底黑字还是黑底黄字，对眼睛的伤害非常大。

我的配色方案是眼科专家给出的，最利于眼睛保护的。xshell最佳配色方案下载   下载完成后，直接在xshell中导入即可。

 因为在上一篇博文中我已经讲了如何配置本地和在线yum源，这里直接用yum安装方式来安装openssh软件包。

yum install  openssh*    -y

因为我的openssh安装过，而我又配置了网络yum源，所以这里会更新旧的安装包。

确认软件包是否已经安装：

rpm -qa | grep openssh

查看软件安装生产的文件：

rpm -ql openssh

OpenSSH 配置文件

ll   /etc/ssh 

OpenSSH 常用配置文件有两个/etc/ssh/ssh_config 和/etc/ssh/sshd_config。

ssh_config 为客户端配置文件

sshd_config 为服务器端配置文件

服务启动关闭脚本：

方法1：

service sshd restart/stop/start/status

方法2：

 /etc/init.d/sshd restart/stop/start/status

设置开机启动服务：

 chkconfig sshd on

 chkconfig --list sshd

如何使用ssh来远程连接主机：

方法一、

1、ssh  [远程主机用户名] @[远程服务器主机名或IP地址]

如果用root进程登录远程主机可以这样：就是直接写要登录远程主机的ip地址，不用带远程主机的用户名。

root用户登录：

[root@xiaolyu77 ~]# ssh 192.168.31.76

查看生成的knows-hosts文件。

cat  .ssh/known_hosts

普通用户登录：

[root@xiaolyu76 ~]# useradd xiao && echo 123456 | passwd --stdin xiao

因为我第一次用root用户登录，.ssh/known_hosts文件已经生成，所以当我再用普通用户xiao登录时，不会出现RSA指纹签名的信息。

下面我删掉/root/.ssh/known_hosts文件，再用普通用户登陆一下。

重新换一个窗口登录77主机，发现/root/.ssh/knows_hosts文件又重新生成了。

总结：

1. 第一次登录服务器时系统没有保存远程主机的信息，为了确认该主机身份会提示用户是否继续连接，输入yes 后登录，这时系统会将远程服务器信息写入用户目录下： $HOME/.ssh/known_hosts 文件中，下次再进行登录时因为保存有该主机信息就不会再提示了.

如果是root用户，known_hosts会写在/root/.ssh/known_hosts文件中。

2. RSA算法基于一个十分简单的数论事实：将两个大素数相乘十分容易，但是想要对其乘积进行因式分解却极其困难，因此可以将乘积公开作为加密密钥。

方法二、

ssh -l [远程主机用户名] [远程服务器主机名或IP 地址]

[root@xiaolyu77 ~]# ssh -l xiao xiaolyu76

说明：两种登录方式效果相同，推荐第一种，因为第一种登录方法和大多数服务的登录方法相同，本人也习惯用第一种。

三、SSHD配置文件及安全配置:

介绍下配置文件，以及需要安全调优的地方

注：参数前面有#，表示是默认值。  当然#号也表示注示。

 /etc/ssh/sshd_config 配置文件

说明：这里以xiaolyu76作为服务器，xiaolyu77作为客户端。

#下面是系统默认的sshd_config的配置文件：
[root@xiaolyu76 ~]# cat /etc/ssh/sshd_config
#    $OpenBSD: sshd_config,v 1.80 2008/07/02 02:24:18 djm Exp $

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options change a
# default value.

#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

# Disable legacy (protocol version 1) support in the server for new
# installations. In future the default will change to require explicit
# activation of protocol 1
Protocol 2

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 1024

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile    .ssh/authorized_keys
#AuthorizedKeysCommand none
#AuthorizedKeysCommandRunAs nobody

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no
PasswordAuthentication yes

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
ChallengeResponseAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no
#KerberosUseKuserok yes

# GSSAPI options
#GSSAPIAuthentication no
GSSAPIAuthentication yes
#GSSAPICleanupCredentials yes
GSSAPICleanupCredentials yes
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no

# Set this to 'yes' to enable PAM authentication, account processing, 
# and session processing. If this is enabled, PAM authentication will 
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
#UsePAM no
UsePAM yes

# Accept locale-related environment variables
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS

#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
#X11Forwarding no
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#ShowPatchLevel no
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10:30:100
#PermitTunnel no
#ChrootDirectory none

# no default banner path
#Banner none

# override default of no subsystems
Subsystem    sftp    /usr/libexec/openssh/sftp-server

# Example of overriding settings on a per-user basis
#Match User anoncvs
#    X11Forwarding no
#    AllowTcpForwarding no
#    ForceCommand cvs server

1. 端口：Port 22

设置sshd 监听端口号

# SSH 预设使用 22 这个port，也可以使用多个port，即重复使用 port 这个设定项目！

# 例如想要开放 sshd 端口为 22和 222 ，则多加一行内容为： Port 222 即可

# 然后重新启动 sshd 这样就好了。 建议修改 port number 为其它端口。防止别人暴力破解。

eg：修改sshd服务默认监听的端口为222

vim /etc/ssh/sshd_config 

将Port 22修改为Port 222

重启sshd服务： service sshd restart

测试sshd服务的端口是否已经改变了： netstat -tlunp | grep sshd

修改完端口默认端口后，登录方法：

ssh -p 222 192.168.31.76   #-p后面跟的就是修改后的端口号。

2. 设置sshd 服务器绑定的本地IP 地址。

  当本地有多个网卡时，就会出现多个ip地址，可以选择一个ip地址作为sshd服务器的ip地址。

   当然了，0.0.0.0 表示本地所有的ip地址。

 ListenAddress 是监听本地ip地址的，而不是远端ip地址的。

这个值可以写成本地某一个 ip地址或所有地址（0.0.0.0）。

 #Protocol 2  

 选择的 SSH 协议版本，可以是 1 也可以是 2 ，CentOS 5.x 预设是仅支援 V2。出于安全考虑，设置为最新的协议版本

#HostKey /etc/ssh/ssh_host_key

设置包含计算机私人密匙的文件

#SyslogFacility AUTHPRIV

 当有人使用 SSH 登入系统的时候，SSH 会记录信息，这个信息要记录的类型为AUTHPRIV。

在这个配置文件中，没有看到登录系统的默认日志存放路径，那么登录系统的默认日志存放在哪？

sshd服务日志存放在： /var/log/secure 。

ls /var/log/secure 

例： 为什么sshd配置文件中没有指定日志，但日志却存放在了： /var/log/secure ？

 vim /etc/rsyslog.conf 

就是在这个/etc/rsyslog.conf定义了sshd服务日志的存放路径。

#LogLevel INFO

# 登录记录的等级！INFO级别以上。

3.下面是安全调优的重点：

#LoginGraceTime 2m       

# 当使用者连上 SSH server 之后，会出现输入密码的画面

# 在多久时间内没有成功连上 SSH server 就强迫断线！若无单位则默认时间为秒！

可以根据实际情况来修改实际

# PermitRootLogin yes

#是否允许 root 登入！预设是允许的，但是建议设定成 no ！

真实的生产环境服务器，是不允许root账号登陆的！！！

#PasswordAuthentication yes

# 密码验证当然是需要的！所以这里写 yes，也可以设置为no

#在真实的生产服务器上，根据不同安全级别要求，有的是设置不需要密码登陆的，通过认证的秘钥来登陆

# PermitEmptyPasswords no

# 若上面那一项如果设定为 yes 的话，这一项就最好设定为 no ，

# 这个项目在是否允许以空的密码登入！当然不许！

# PrintMotd yes

# 登入后是否显示出一些信息呢？例如上次登入的时间、地点等等，预设是 yes

# 亦即是打印出 /etc/motd 这个文档的内容。

例：给sshd服务添加一些警告信息

#服务器端：
[root@xiaolyu76 ~]# cat /etc/motd
[root@xiaolyu76 ~]# echo 'Warning ! From now on, all of your operations have been recorded!'> /etc/motd
#客户端：
[root@xiaolyu77 ~]# ssh -p222 xiaolyu76
root@xiaolyu76's password: 
Last login: Mon Sep 19 02:08:16 2016 from xiaolyu77
Warning ! From now on, all of your operations have been recorded!

# PrintLastLog yes

# 显示上次登入的信息！预设也是 yes ！实际生产上也是yes!  从上面可以明显的看到这个参数的效果。

# UseDNS yes

#一般来说，为了要判断客户端来源是正常合法的，因此会使用 DNS 去反查客户端的主机名

 # 不过如果是在内网互连，这项目设定为 no 会让联机速度比较快。