11. Linux-RHCE精讲教程之SSHD服务（下）- SSH的访问控制

# 1. SSH服务简介

## 1.1 SSH服务的作用和原理
Secure Shell（SSH）是一种加密网络协议，用于在不安全的网络上安全地进行远程访问和数据交换。SSH通过使用客户端和服务器之间的公钥加密和私钥解密的方式，确保了通信过程中的数据安全性。

SSH服务主要用于远程登录和执行命令，还可以用于文件传输和端口转发等功能。其作用在于加密通信，防止信息被窃听、修改或篡改。

## 1.2 SSH服务的安全性介绍
SSH服务采用了公钥加密和私钥解密的方式，确保了通信数据的机密性和完整性。同时，SSH还可以通过设置访问控制、用户认证等措施提高系统的安全性。

SSH服务还具有防止中间人攻击，防止DNS欺骗等安全功能。在传输数据过程中，即使数据被拦截，黑客也无法解密数据内容。

## 1.3 SSH服务的应用场景
SSH服务广泛应用于服务器管理、远程运维、数据传输等场景。通过SSH，管理员可以远程登录服务器进行管理和维护，同时可以安全地传输文件和数据。

在云计算、容器技术等领域，SSH也是一种重要的远程管理工具。用户可以通过SSH客户端连接到云服务器或容器实例，进行操作和管理。

# 2. SSH服务的安装与配置

## 2.1 安装OpenSSH服务

在Linux系统中，安装OpenSSH服务非常简单，只需要使用系统自带的包管理工具即可完成。以Ubuntu系统为例，可以使用以下命令进行安装：

sudo apt update
sudo apt install openssh-server

安装完成后，可以使用以下命令验证SSH服务是否已经启动：

sudo systemctl status ssh

## 2.2 SSH服务的配置文件详解

SSH服务的配置文件位于`/etc/ssh/sshd_config`，这个文件包含了SSH服务的各种配置选项，可以根据实际需求进行修改。以下是几个常用的配置选项：

- **Port**: 设置SSH服务的端口号，默认为22。
- **PermitRootLogin**: 控制是否允许root用户登录SSH，默认为yes。
- **PubkeyAuthentication**: 是否允许使用公钥进行身份验证。
- **PasswordAuthentication**: 是否允许使用密码进行身份验证。

修改配置文件后，需要重新加载SSH服务以使配置生效：

sudo systemctl restart ssh

## 2.3 SSH密钥认证设置

使用SSH密钥认证可以提高安全性并允许无密码登录SSH。下面是设置SSH密钥认证的步骤：

1. 生成SSH密钥对：

ssh-keygen -t rsa -b 2048

2. 将公钥文件`~/.ssh/id_rsa.pub`内容添加到目标主机的`~/.ssh/authorized_keys`文件中，确保该文件的权限为600。

3. 确保目标主机的`sshd_config`配置文件中的`PubkeyAuthentication`为yes。

4. 重新加载SSH服务以使配置生效：

sudo systemctl restart ssh

以上就是SSH服务的安装与配置的内容，通过合理的配置和使用，可以提高SSH服务的安全性和灵活性。

# 3. SSH远程访问控制

SSH远程访问控制是保障系统安全的重要手段之一，通过对SSH配置文件进行访问控制设置、IP地址的白名单和黑名单配置以及SSH连接的限制和超时设置等方法，可以有效地控制远程用户的访问权限，提高系统的安全性。

#### 3.1 SSH配置文件的访问控制设置

SSH服务通过配置文件来进行访问控制的设置，常见的配置文件有`/etc/ssh/sshd_config`，具体的访问控制设置包括：

# 只允许特定用户登录
AllowUsers user1 user2 user3

# 禁止特定用户登录
DenyUsers user4 user5

# 只允许登录特定组的用户
AllowGroups group1 group2

# 禁止登录特定组的用户
DenyGroups group3 group4

**代码场景：** 设置SSH配置文件的用户访问控制，只允许特定用户登录。

# 打开SSH配置文件
sudo vi /etc/ssh/sshd_config