admin管理员组文章数量:1631721
文章目录
- *跳板机(JumpSever)
- 用途:
- 一、远程连接概述
- 1、Linux远程连接
- 1)使用SSH连接
- *2)使用Telnet连接
- *2、Windows远程连接
- 二、Linux下ssh具体使用
- 1、`ssh ....`命令
- 1)`ssh 远程主机用户名@远程主机ip`和`ssh 远程主机ip`的区别:
- 2)上述命令执行过程:
- 2、免密连接实现方法
- 1)原理:
- 2)具体过程
- 3、SSH安全、性能优化
*跳板机(JumpSever)
用途:
架构图中除了负载均衡服务器配置连接公网ip网卡和连接内网ip的网卡外,再单独一台机器也这样配置,作为跳板机,这样以后公司内部人员若要访问操作内网的其他机器的话,那么就先远程连接这台跳板机,然后通过跳板机来访问操作内网的其他机器(跳板机需要事先配置好实现免密连接内网其他机器,使内网的关机服务器密码对公司内部人员隐藏)
一、远程连接概述
1、Linux远程连接
1)使用SSH连接
- 端口:22
- 服务:sshd
- 特点:安全,数据在网络传输是加密的
*2)使用Telnet连接
- 端口:23
- 服务:telnet-server
- 特点:不安全,数据在网络传输是明文的
*2、Windows远程连接
使用RDP(remote desktop protocol)协议连接
端口:3389
二、Linux下ssh具体使用
1、ssh ....
命令
1)ssh 远程主机用户名@远程主机ip
和ssh 远程主机ip
的区别:
后者的远程主机用户名是默认当前主机使用这个命令的用户名来连接远程主机的,如果远程主机没有这个用户,那么就无法连接
2)上述命令执行过程:
-
进行公钥指纹确认
- 请求远程需要连接的主机发送它的公钥的公钥指纹,默认存储到家目录的“.ssh”的known_host,便于后续的快速确认连接的安全性
- 只在第一次进行确认,第二次的话就没有了
*注:ECDSA公钥指纹?
注意:如果以前连接过一个ip的主机,就会将其公钥存储起来,内容是含有这个ip信息的,如果因某些原因,要连接相同ip的另一个主机,那么就会报错
-
输入远程主机用户名的密码
2、免密连接实现方法
1)原理:
公钥:理解为锁
私钥:理解为钥匙
这样就可以通过密钥对的方式来认证
2)具体过程
- 生成密钥对
ssh-keygen
(key generate)
step1. 输入存储密钥对的存储位置:
默认是存储到当前登录用户家目录下的“.ssh”下,并生成私钥文件“id_rsa”
step2. 输入并确认密钥对的密码
然后就生成了公钥文件“id_rsa.pub”,存放至上一步的位置
- 向想要免密连接哪台机器复制公钥文件
ssh-copy-id 远程主机用户名@远程主机这个用户的密码
“-i”指定公钥文件位置
ssh-copy-id -i 指定公钥文件位置 远程主机用户名@远程主机这个用户的密码
这样的话,那台机器的用户家目录下就会有一个文件叫做“authorized_keys”,内容和本机的指定的或默认的“id_rsa.pub”公钥文件是一样的
注:“ssh-copy-id”加i选项和不加的区别
3、SSH安全、性能优化
修改“/etc/ssh/sshd_config”内容:
-
是否端口不改默认端口(安全优化)
“Port 22”
防止恶意通过默认端口22来扫描到SSH的服务
-
是否禁止客户端使用root用户连接(安全优化)
“PermitRootLogin no”
如果配置了,想要用root,必须用普通用户登录后,“su root”切换到root登录即可 -
是否禁止客户端通过密码连接(安全优化)
“PasswordAuthentication no”
如果配置了这个,那么客户端就只能用密钥方式认证连接了(如果密钥连接没有被禁用) -
是否禁止DNS反向解析(性能优化)
“UserDNS no”
配置了这个,会使速度提高一点 -
是否禁止GSSAPI认证(性能优化)
“GSSAPIAuthentication no”
*注:GSSAPIAuthentication介绍及其对SSH性能的影响
版权声明:本文标题:跳板机介绍_远程连接介绍_SSH命令及SSH实现免密远程连接_生产过程中SSH配置优化 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1729100650a1186590.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论