13.Linux OpenSSH 服务管理

Linux OpenSSH 服务管理

环境准备

准备两台虚拟机：

• server 虚拟机，并设置ip地址为10.1.8.10/24。
• client 虚拟机，并设置ip地址为10.1.8.11/24。

设置主机名称和名称解析，以client为例：

永久设置主机名

[root@client ~ 18:49:50]# hostnamectl set-hostname client.hxl.cloud

临时设置

[root@client ~ 18:50:03]# hostname client.hxl.cloud

验证

[root@client ~ 18:49:50]# bash
[root@client ~ 18:51:50]#

准备名称解析

[root@client ~ 18:51:50]# echo "10.1.8.10 server.hxl.cloud server 
10.1.8.11 client.hxl.cloud client" >> /etc/hosts[root@client ~ 18:53:06]# cat /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain610.1.8.10 server.hxl.cloud server
10.1.8.11 client.hxl.cloud client

IP地址通过图形化配置，这里配置Client的IP地址，过程如下

在VM中打开虚拟机，中终端上输入nmtui回车

会打开一个界面

选择第一个选项回车，进入下一个界面，会出现你虚拟机的网卡名称，选择这个网卡名称进行配置

在IPv4下面有个Addresses中填入你需要的配置的IP地址，我这里是10.1.8.11/24的地址

配置完成后用方向键上下选中OK，回到上一个界面选QUIT或者按ESC退出回到初始界面选择第二个选项

在这个界面中，我们需要回车两次，让网卡重新读取我们刚才配置的IP地址，这样系统才能够重新识别

最后配置就结束了，全部退出即可

验证配置是否成功

[root@client ~ 19:02:20]# ip -br a
lo               UNKNOWN        127.0.0.1/8 ::1/128 
ens33            UP             10.1.8.11/24 fe80::20c:29ff:fe55:a3e4/64

可以看见我们的IP地址已经配置完成了

OpenSSH 服务介绍

SSH 介绍

SSH 全称是 Secure Shell，SSH协议是基于应用层的协议，为远程登录会话和其他网络服务提供安全性的协议。

实现此功能的传统方式，如 telnet (终端仿真协议)、 rcp、ftp、 rlogin、rsh都是极为不安全的，并且会使用明文传送密码。OpenSSH 提供了服务端后台程序和客户端工具，用来加密远程控件和文件传输过程中的数据，并由此来代替原来的类似服务。

SSH 建立连接的过程

主要分为下面几个阶段：

1. SSH协议版本协商阶段，SSH目前包括SSH1和SSH2两个大版本。
2. 密钥和算法协商阶段，SSH支持多种加密算法，双方根据自己和对端支持的算法进行协商，最终决定要使用的算法。
3. 认证阶段，服务器和客户端互相进行身份验证。
4. 会话请求阶段，客户端会向服务器端发送会话请求。会话请求分为这样几类：申请对数据传送进行压缩、申请伪终端、启动 X11、TCP/IP 端口转发、启动认证代理等。
5. 交互会话阶段，会话请求通过后，服务器端和客户端进行信息的交互。例如运行 shell、执行命令、传递文件。

加密类型

• 对称加密，加密和解密都使用一个钥匙。确保数据的完整性。速度快。
• 非对称加密，一对钥匙。公钥用来加密数据。私钥用来解密数据。确保数据的安全性。

双向加密过程

SSH协议是基于非对称加密方法的，服务器和客户端都会生成自己的公钥和私钥。

• 公钥用来加密数据。
• 私钥用来解密数据。

双向加密过程：

1. 服务器创建密钥对。远程服务器会在/etc/ssh目录下生成一个名为多个密钥对，例如ecdsa类型的密钥对：ssh_host_ecdsa_key.pub 公钥和 ssh_host_ecdsa_key 私钥。之后每回启动sshd服务的时候，系统会自动在此路径下查找公钥。

   客户端请求连接。服务器接到请求后，把公钥传给客户端使用。

2. 客户端记录服务器公钥并计算自己的公私钥。客户端将服务器传来的公钥记录在**~/.ssh/known_hosts** 中，若是已经记录有该服务器公钥，则比对是否一致，一致后就计算客户端自己的公私钥。

3. 客户端使用服务器的公钥加密自己的公钥并发送给服务器。服务器端拥有客户端公钥+自己私钥，客户端拥有服务器公钥+自己私钥，组成了非对称加密系统。

4. 双向加解密。服务器发送数据：用客户端公钥加密，客户端收到数据后用自己私钥解密。客户端发送数据：用服务器公钥加密，服务器收到数据后用自己私钥解密。

使用 ssh 访问远端CLI

ssh 工具演示

方式一：只指定IP或主机名

# 通过IP地址
[hxl@client ~ 19:11:26]$ ssh 10.1.8.11
The authenticity of host '10.1.8.11 (10.1.8.11)' can't be established.
ECDSA key fingerprint is SHA256:EkLOT5mPnO2nbsKsf+rIY5J1bXO8pm0taNJxf2MhTU8.
ECDSA key fingerprint is MD5:4e:84:fc:63:a0:ea:b0:a9:35:0e:da:33:d5:bb:2a:8d.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '10.1.8.11' (ECDSA) to the list of known hosts.
hxl@10.1.8.11's password: 
Last login: Sat Sep 13 19:11:26 2025# 通过主机名称
[hxl@client ~ 19:12:53]$ ssh server
The authenticity of host 'server (10.1.8.10)' can't be established.
ECDSA key fingerprint is SHA256:EkLOT5mPnO2nbsKsf+rIY5J1bXO8pm0taNJxf2MhTU8.
ECDSA key fingerprint is MD5:4e:84:fc:63:a0:ea:b0:a9:35:0e:da:33:d5:bb:2a:8d.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'server,10.1.8.10' (ECDSA) to the list of known hosts.
hxl@server's password: 
Last login: Sat Sep 13 19:12:02 2025

方式二：额外指定用户名

# 指定root用户登录
[hxl@client ~ 19:13:23]$ ssh root@server
root@server's password: 
Last login: Sat Sep 13 19:10:29 2025 from client.hxl.cloud
# 或者
[hxl@client ~ 19:13:47]$ ssh -l root server
root@server's password: 
Last login: Sat Sep 13 19:13:32 2025 from client.hxl.cloud

方式三：额外指定命令

# 同时指定用户和命令
[hxl@client ~ 19:14:12]$ ssh hxl@server hostname
hxl@server's password: 
server.hxl.cloud# shell提示符，仍然是本机。
[hxl@client ~ 19:14:44]$ 

ssh工具配置文件

参考 SSH_CONFIG(5) 。

[root@client ~ 19:15:16]# man ssh_config

• ~/.ssh/config，用户自己的配置，优先级高于全局配置。文件权限不得高于640。

• /etc/ssh/ssh_config，全局配置，应用于所有用户。

• 示例：

  [hxl@client ~ 11:49:54]$ vim .ssh/config
  Host *User rootStrictHostKeyChecking no# 清空其他主机秘钥
  [root@client ~ 10:32:42]# > .ssh/known_hosts# 再次登录不会提示主机key是否校验，验证用户也是root
  [root@client ~ 11:50:13]# ssh server
  Warning: Permanently added 'server,10.1.8.10' (ECDSA) to the list of known hosts.
  root@server's password: 
  

  参数说明：

  • **Host ***，匹配所有目标服务器。
  • StrictHostKeyChecking no，连接目标服务器不校验主机key，直接接受。
  • User root，连接目标服务器默认使用laoma账户。
  • PreferredAuthentications password，连接目标服务器使用密码认证。
  • IdentityFile，指定私钥位置。

  配置文件权限：建议设置为只能用户自己读写。

  [hxl@client ~ 12:50:13]$ ssh server
  Bad owner or permissions on /home/laoma/.ssh/config[hxl@client ~ 12:51:25]$ chmod 600 .ssh/config 
  [hxl@client ~ 12:51:50]$ ssh server
  root@server's password: 
  

配置 ssh 密钥认证

client配置秘钥登录服务器

[hxl@client ~ 19:15:35]$ vim .ssh/config
Host *StrictHostKeyChecking noUser root# 查看并修改文件权限[hxl@client ~ 19:32:31]$ ll -d .ssh/config
-rw-rw-r-- 1 hxl hxl 46 9月  13 19:32 .ssh/config
[hxl@client ~ 19:32:37]$ chmod 640 .ssh/config
[hxl@client ~ 19:32:55]$ ll -d .ssh/config
-rw-r----- 1 hxl hxl 46 9月  13 19:32 .ssh/config

[hxl@client ~ 19:32:56]$ ssh-keygen
Generating public/private rsa key pair.# 私钥保存位置
Enter file in which to save the key (/home/hxl/.ssh/id_rsa): `回车`Enter passphrase (empty for no passphrase): `回车`
Enter same passphrase again: `回车`Your identification has been saved in /home/hxl/.ssh/id_rsa.
Your public key has been saved in /home/hxl/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:+kqbNN01EK5SKgVWDdDL0hFEQAF+viCmaLOGz71PvpE hxl@client.hxl.cloud
The key's randomart image is:
+---[RSA 2048]----+
|  .oBO*+  .      |
| . . .o .. .     |
|  . .o.o. o      |
|   o..+o . .     |
|... o.o S   o    |
|+. . o = . . .   |
|+o  . E . .      |
|ooo. = *         |
|.oo ooBo.        |
+----[SHA256]-----+# 查看生成的文件
[hxl@client ~ 19:35:44]$ ls .ssh/
config  id_rsa  id_rsa.pub  known_hosts# 将公钥推送给目标服务器上的目标用户
[hxl@client ~ 19:38:25]$ ssh-copy-id hxl@server
/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/home/hxl/.ssh/id_rsa.pub"
/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
hxl@server's password: Number of key(s) added: 1Now try logging into the machine, with:   "ssh 'hxl@server'"
and check to make sure that only the key(s) you wanted were added.

注意：推给哪个用户就是哪个用户，没有说将密码推给root用户，其他普通用户也可以免输入进行登陆

验证

[hxl@client ~ 19:38:58]$ ssh hxl@server hostname
server.hxl.cloud
# 验证成功

推送公钥相当于：将公钥内容保存到目标服务器上目标用户家目录下.ssh/authorized_keys中

[hxl@client ~ 12:59:23]$ cat .ssh/id_rsa.pub 
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCt6I79/d3E9jw/bv0bAJV6FCytohv8ycJ2HBwVXm547dPIVUbDEDYfnzFUGTNtwMF0yUaIZ5YdUwuc114vgQ1KS+pdEpfRaQltunmtWDh58lxyTFKWfQ1WzjzZwYZbECGZ58zsDcS+egvX7mZ9d8bulvMBa4Ye+L8mSLE90xkPfYKdkTpuBHWn4dtVJGSfan78b+MSRIyykmUNkJrvaZgTc5zut9FFxGaAht/DncR6mflYKzdyQCoI5tuqNEMGRFAUSzrvQovXxlPtUx5NOXzlRQvpExUFK/pjYIPXZ3174Lggg1utnaCbBQGBS3wLzdHcFNBpZK9B6bJExKFH3amr hxl@client.hxl.cloud# 在server端查看
[hxl@server ~ 13:00:08]$ cat .ssh/authorized_keys 
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCt6I79/d3E9jw/bv0bAJV6FCytohv8ycJ2HBwVXm547dPIVUbDEDYfnzFUGTNtwMF0yUaIZ5YdUwuc114vgQ1KS+pdEpfRaQltunmtWDh58lxyTFKWfQ1WzjzZwYZbECGZ58zsDcS+egvX7mZ9d8bulvMBa4Ye+L8mSLE90xkPfYKdkTpuBHWn4dtVJGSfan78b+MSRIyykmUNkJrvaZgTc5zut9FFxGaAht/DncR6mflYKzdyQCoI5tuqNEMGRFAUSzrvQovXxlPtUx5NOXzlRQvpExUFK/pjYIPXZ3174Lggg1utnaCbBQGBS3wLzdHcFNBpZK9B6bJExKFH3amr hxl@client.hxl.cloud# 推给目标主机root用户
[root@server ~ 12:59:50]# mkdir -m 700 .ssh
[root@server ~ 13:02:05]# cp ~laoma/.ssh/authorized_keys .ssh# 客户端验证
[laoma@client ~ 13:02:59]$ ssh root@server hostname
server.laoma.cloud

以非交互方式生成密钥对

[hxl@client ~ 13:05:05]$ ssh-keygen -t rsa -N '' -f id_rsa_new[hxl@client ~ 13:05:31]$ ls *new*
id_rsa_new  id_rsa_new.pub

其他选项

# -p选项指定目标服务器 sshd 服务端口号，默认22
[hxl@client ~ 13:05:45]$ ssh -l root -p 1022 server hostname
root@server's password: 
server.laoma.cloud# -i 指定私钥位置
[hxl@client ~ 13:07:18]$ mv .ssh/id_rsa /tmp
[hxl@client ~ 13:10:25]$ ssh -i /tmp/id_rsa root@server hostname
server.laoma.cloud# 如果找不到密钥，则使用密码登录
[hxl@client ~ 13:10:40]$ ssh root@server hostname
root@server's password: 

ssh 故障模拟

你是某金融科技公司的 Linux 运维工程师，负责维护核心生产服务器集群。

发现某台服务器无法通过ssh远程登录。

请排查故障，并修复问题。

故障模拟

server设置

可以新添加一个用户用来模拟故障，这里我接着使用我自己的用户来模拟

[root@server ~ 08:25:18]# useradd -s /sbin/nologin zhangsan
[root@server ~ 08:26:56]# echo redhat | passwd --stdin zhangsan[root@server ~ 08:27:05]# systemctl stop sshd

client 设置

如果选择上面的新添加用户，下面的User 后面写 zhangsan

[hxl@client ~ 09:24:49]$ chmod 666 .ssh/config 
[hxl@client ~ 09:25:40]$ cat > .ssh/config <<EOF 
Host *User hxlStrictHostKeyChecking yes
EOF
[hxl@client ~ 09:31:56]$ > .ssh/known_hosts 

排故故障

1. 错误现象：

[hxl@client ~ 09:32:01]$ ssh server
Bad owner or permissions on /home/hxl/.ssh/config

处理方法：

[hxl@client ~ 09:33:02]$ ll -d .ssh/config 
-rw-rw-rw- 1 hxl hxl 48 9月  15 09:30 .ssh/config
[hxl@client ~ 09:33:34]$ chmod 600 .ssh/config 
[hxl@client ~ 09:34:09]$ ll -d .ssh/config 
-rw------- 1 hxl hxl 48 9月  15 09:30 .ssh/config

1. 错误现象：

[hxl@client ~ 09:34:34]$ ssh server
ssh: connect to host server port 22: Connection refused

处理方法：

[hxl@client ~ 09:36:35]$ ping -c 1 server
PING server.hxl.cloud (10.1.8.10) 56(84) bytes of data.
64 bytes from server.hxl.cloud (10.1.8.10): icmp_seq=1 ttl=64 time=0.279 ms--- server.hxl.cloud ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.279/0.279/0.279/0.000 ms[root@server ~ 09:31:06]# systemctl is-active sshd
inactive
[root@server ~ 09:37:09]# systemctl restart sshd
[root@server ~ 09:37:21]# systemctl is-active sshd
active

1. 错误现象：

[hxl@client ~ 09:37:49]$ ssh server
No ECDSA host key is known for server and you have requested strict checking.
Host key verification failed.

处理方法：

[hxl@client ~ 09:38:03]$ vim .ssh/config 
Host *
User hxl
#StrictHostKeyChecking yes
StrictHostKeyChecking no

1. 错误现象：

[hxl@client ~ 09:40:59]$ ssh server
Last login: Mon Sep 15 09:04:57 2025 from 10.1.8.1
This account is currently not available.
Connection to server closed.

处理方法：

[root@server ~ 09:37:24]# cat /etc/passwd | grep hxl
hxl:x:1000:1000:hxl:/home/hxl:/sbin/nologin
[root@server ~ 09:42:43]# usermod -s /bin/bash hxl
[root@server ~ 09:42:59]# cat /etc/passwd | grep hxl
hxl:x:1000:1000:hxl:/home/hxl:/bin/bash

1. 问题解决：

[hxl@client ~ 09:43:49]$ ssh server
Last login: Mon Sep 15 09:43:46 2025 from client.hxl.cloud
[hxl@server ~ 09:44:23]$ 

自定义 SSH 服务

配置文件

sshd服务配置文件：/etc/ssh/sshd_config。帮助 sshd_config(5)

常见配置：

• PermitRootLogin no，禁止 root 用户登录。
  • root用户权限不受限制。
  • root用户存在每个linux系统，只需要猜密码就可以。
  • 从审计角度来看，很难跟踪哪个授权用户以root身份登录并进行了更改。 如果用户必须以普通用户身份登录并切换到root帐户，则会生成一个日志事件，可用于帮助提供问责制。
• PermitRootLogin prohibit-password，禁止root用户通过密码登录。
• PasswordAuthentication no，禁止用户使用密码登录。
• AllowUsers exampleuser，允许特定用户登录，该用户可以提权为root。
• UseDNS no，客户端连接服务器的时候，服务器不需要反向解析服务端IP地址，提高连接速度。

禁止 root 登录

进入sshd服务的配置文件中进行配置

[root@server ~ 16:54:35]# vim /etc/ssh/sshd_config
[root@server ~ 16:55:57]# systemctl restart sshd

# 即使配置了免密登录，也无法远程登录
[hxl@client ~ 16:53:10]$ ssh root@server
root@server's password: 
Permission denied, please try again.
root@server's password: 
Permission denied, please try again.
root@server's password: 
Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).# 使用普通用户登录，然后提权为root用户
[hxl@client ~ 16:56:54]$ ssh hxl@server
Last login: Mon Sep 15 13:00:09 2025 from 10.1.8.1
[hxl@server ~ 16:57:01]$ su -
密码：
上一次登录：一 9月 15 16:52:57 CST 2025从 client.hxl.cloudpts/4 上
最后一次失败的登录：一 9月 15 16:56:31 CST 2025从 client.hxl.cloudssh:notty 上
最有一次成功登录后有 3 次失败的登录尝试。
[root@server ~ 16:57:08]#

禁止密码登录

[root@server ~ 16:57:41]# vim /etc/ssh/sshd_config 
[root@server ~ 16:58:43]# systemctl restart sshd

# laowang账户未配置密钥登录，直接拒绝
[hxl@client ~ 17:05:50]$ ssh laowang@server
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).

只允许特定用户登录

例如hxl用户。

[root@server ~ 17:12:05]# vim /etc/ssh/sshd_config 
[root@server ~ 17:13:16]# systemctl restart sshd

# laowang输入正确的密码也无法登录
[hxl@server ~ 17:14:01]$ ssh laowang@server
laowang@server's password: 
Permission denied, please try again.
laowang@server's password: 
Permission denied, please try again.
laowang@server's password: 
Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).[hxl@server ~ 17:14:18]$ ssh hxl@server hostname
hxl@server's password: 
server.hxl.cloud

l用户。

[root@server ~ 17:12:05]# vim /etc/ssh/sshd_config 
[root@server ~ 17:13:16]# systemctl restart sshd

[外链图片转存中…(img-mmRSjzry-1757933486754)]

# laowang输入正确的密码也无法登录
[hxl@server ~ 17:14:01]$ ssh laowang@server
laowang@server's password: 
Permission denied, please try again.
laowang@server's password: 
Permission denied, please try again.
laowang@server's password: 
Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).[hxl@server ~ 17:14:18]$ ssh hxl@server hostname
hxl@server's password: 
server.hxl.cloud