ssh的使用、配置全程實操（sftp、密鑰對驗證、TCPWrappers策略應用），可跟做

一、ssh基本配置

開兩臺centos系統7-1（服務端）、7-2（客戶端）
用xshell連接，證明sshd的22端口開放出來了
ssh的使用、配置全程實操（sftp、密鑰對驗證、TCP Wrappers策略應用），可跟做
配置文件所在位置

進入服務端配置文件，進行一系列配置：端口22功能打開等等

為區分兩個系統用戶，我們分別將其用戶名設為test01、test02，接著進行遠程登陸。
ssh的使用、配置全程實操（sftp、密鑰對驗證、TCP Wrappers策略應用），可跟做

我們注重客戶提出的每個要求，我們充分考慮每一個細節，我們積極的做好成都做網站、成都網站建設服務，我們努力開拓更好的視野，通過不懈的努力，成都創新互聯公司贏得了業內的良好聲譽，這一切，也不斷的激勵著我們更好的服務客戶。主要業務：網站建設,網站制作,網站設計,小程序設計,網站開發,技術開發實力，DIV+CSS，PHP及ASP，ASP.Net，SQL數據庫的技術開發工程師。

輸入訪問命令，即可連接并進行一系列操作
ssh的使用、配置全程實操（sftp、密鑰對驗證、TCP Wrappers策略應用），可跟做

可在對方的opt下創建abc文本，進行遠程操作
ssh的使用、配置全程實操（sftp、密鑰對驗證、TCP Wrappers策略應用），可跟做

回到7-1的服務端，進ssh配置文件，更改不允許對方用root身份登陸，保存退出。即在客戶端用root身份不可登陸，即使有密碼也無法登陸。
ssh的使用、配置全程實操（sftp、密鑰對驗證、TCP Wrappers策略應用），可跟做

但隨之而來的問題，我們先用普通用戶lisi登陸服務端，接著可切換到服務器的root用戶，可實現跳板登陸
ssh的使用、配置全程實操（sftp、密鑰對驗證、TCP Wrappers策略應用），可跟做
解決：進行pam模塊驗證，開啟功能，即不在wheel組內成員不可用su命令切換用戶。

在客戶端用lisi登陸，并用su切換root，被拒絕。并且切換同級別權限的zhangsan，也不能切換。（pam驗證開啟非常重要，加大系統安全）
ssh的使用、配置全程實操（sftp、密鑰對驗證、TCP Wrappers策略應用），可跟做

結論：不在wheel組內平級用戶也切換不了，zhangsan在wheel組內，可切換為lisi用戶，也可切換root用戶。
ssh的使用、配置全程實操（sftp、密鑰對驗證、TCP Wrappers策略應用），可跟做
開啟最大驗證次數功能，卻發現默認驗證3次。

要想驗證次數變為6，那么我們就要更改驗證次數為8，即驗證最大次數從默認的3變為了6。
ssh的使用、配置全程實操（sftp、密鑰對驗證、TCP Wrappers策略應用），可跟做
回到服務器7-1，配置文件中插入白名單，即皆可登陸服務器的zhangsan和wangwu用戶

此時我們還需在開一臺centos7-3，IP為129.168.195.130，登陸服務器wangwu（配置文件中沒設置wangwu允許登陸的ip，可從任意終端登陸）
ssh的使用、配置全程實操（sftp、密鑰對驗證、TCP Wrappers策略應用），可跟做
結論：白名單上為僅允許，名單上有的條目可以去執行，沒有的一概不能執行；反之黑名單則為僅拒絕，即名單上的條目皆不可執行。（在企業環境中建議使用白名單）

二、密鑰對進行身份驗證

在配置文件中開啟密鑰對驗證功能
ssh的使用、配置全程實操（sftp、密鑰對驗證、TCP Wrappers策略應用），可跟做
用7-2客戶端進行密鑰生成，用戶caiwu來驗證。

在家目錄下有公鑰和私鑰，推送公鑰給服務端，指定服務端用戶zhangsan，輸入對方登陸密碼，家目錄下生成一個known_hosts（內有推送的服務端ip、加密方式ecdsa等）。
ssh的使用、配置全程實操（sftp、密鑰對驗證、TCP Wrappers策略應用），可跟做
再次回到服務端，家目錄中已有公鑰導入文件。

查看當前用戶方法

只有用caiwu用戶ssh遠程訪問服務器zhangsan用戶要用密鑰對驗證（每次驗證都要密鑰對驗證）。
ssh的使用、配置全程實操（sftp、密鑰對驗證、TCP Wrappers策略應用），可跟做
防止每次都要進行密鑰驗證，我們來設置只需一次驗證，之后可直接進入。

三、ssh客戶端

若服務器的端口改為123，那么在客戶端遠程訪問就要輸入以下命令，先開啟客戶端可用root用戶登陸的權限（復制操作要用到），刪除之前建立的白名單。
ssh的使用、配置全程實操（sftp、密鑰對驗證、TCP Wrappers策略應用），可跟做

Scp遠程復制文件到服務器端。
ssh的使用、配置全程實操（sftp、密鑰對驗證、TCP Wrappers策略應用），可跟做

Scp遠程復制文件夾到服務器端。

將之前opt下文件全部刪除，進行ssh安全下載文件。進行遠程連接后，會回到對方服務器的家目錄下

首先給文件改名server，進行ssh安全上傳文件server文件
ssh的使用、配置全程實操（sftp、密鑰對驗證、TCP Wrappers策略應用），可跟做

可以直接切換用戶目錄，進行任意更改文件。為限制只可訪問對方服務器的家目錄，我們研究出了一套方法。
在配置文件中找到這一行注釋，并打開此功能。
ssh的使用、配置全程實操（sftp、密鑰對驗證、TCP Wrappers策略應用），可跟做
并輸入一系列命令。

且權限必須為755，文件屬主、屬組必須是root。

四、TCP Wrappers

在配置之前，需要將黑白名單在ssh配置文件中刪除，否則配置策略應用時會重復。在/etc/hosts.allow中進行配置
ssh的使用、配置全程實操（sftp、密鑰對驗證、TCP Wrappers策略應用），可跟做
在/etc/hosts.deny中進行配置

測試129客戶端能否訪問服務器，發現可以

測試130客戶端能否訪問服務器，發現被直接拒絕（黑白名單是允許輸入密碼，不一樣）
ssh的使用、配置全程實操（sftp、密鑰對驗證、TCP Wrappers策略應用），可跟做

現在在兩個中配置兩個一樣的內容：均為129，發現允許訪問。
ssh的使用、配置全程實操（sftp、密鑰對驗證、TCP Wrappers策略應用），可跟做
結論：先檢查allow中，找到匹配則允許訪問。否則再檢查hosts.deny，找到則拒絕訪問；若兩個文件中都沒有內容，則默認所有文件允許訪問。