openssh属于用户级别认证
从Linux系统层面看SSH公钥验证交互过程:
建议openssh-clients和openssh-server都安装
yum install openssh-clients -yyum install openssh-server -y例如: Port 3721
建议: 只监听内网IP
建议: LoginGraceTime 1m
PasswordAuthentication no
建议: 用加密的U盘离线拷贝公钥
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
例如: ClientAliveInterval 300 ClientAliveCountMax 0
根据上述最佳实践, 建议修改项如下(很多配置是默认的, 所以实际需要修改的不多):
服务端配置文件: /etc/ssh/sshd_config
Port
ListenAddress
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
LoginGraceTime 1m
PasswordAuthentication no # 在客户端公钥成功上传到服务端上, 测试可以成功连接后再修改该项
ClientAliveInterval 300
ClientAliveCountMax 0
客户端生成密钥对
ssh-keygen -t rsa
客户端复制公钥至服务端(远程主机)
ssh-copy-id [user@]<host> [-p port]
ssh
ssh [user@]<host> [-p port] [command] scp
依赖于openssh-clients和openssh-server
scp <Src file1 ...> <Dst file2>
Options:
-r # recursive
-P # port
-p # preserve
-C # Compression enablesftp
服务端配置文件要有以下项(默认开启), 则代表支持sftp
Subsystem sftp /usr/libexec/openssh/sftp-server
sftp [user@]<host> [-P port]
参考:
last命令(http://man.linuxde.net/last)
lastlog命令(http://man.linuxde.net/lastlog)
lastb命令(http://man.linuxde.net/lastb)
last # 显示用户最近登陆信息(读取/var/log/wtmp并格式化输出)
Options:
-n # 设置列出名单的显示列数
-x # 显示系统开关机, 以及执行等级的改变等信息 
lastlog # 显示系统中所有用户最近一次登陆信息(读取/var/log/lastlog并格式化输出)
Options:
-h, --help
-b, --before DAYS
-t, --time DAYS
-u, --user LOGIN
lastb # 显示用户错误登陆列表(读取/var/log/btmp并格式化输出), 通过该命令可以发现恶意尝试登陆IP信息(然后我们就可以用防火墙屏蔽)
Options:
-n # 设置列出名单的显示列数
-x # 显示系统开关机, 以及执行等级的改变等信息首次运行命令可能会报如下错误:
lastb: /var/log/btmp: No such file or directory
Perhaps this file was removed by the operator to prevent logging lastb info.解决办法:
touch /var/log/btmp
原文:https://www.cnblogs.com/zakzhu/p/11616629.html
