1、Linux網絡操作系統項目教程項目六 配置網絡和使用ssh服務2項目導入掌握常見網絡服務的配置方法。掌握遠程控制服務。掌握不間斷會話服務。職業能力目標和要求 作為Linux系統的網絡管理員，學習Linux服務器的網絡配置是至關重要的，同時管理遠程主機也是管理員必須熟練掌握的。這些是后續網絡服務配置的基礎，必須要學好。 本項目講解了如何使用nmtui命令配置網絡參數，以及通過nmcli命令查看網絡信息并管理網絡會話服務，從而讓您能夠在不同工作場景中快速地切換網絡運行參數的方法；還講解了如何手工綁定mode6模式雙網卡，實現網絡的負載均衡的方法。本項目還深入介紹了SSH協議與sshd服務程序的理論

2、知識、Linux系統的遠程管理方法以及在系統中配置服務程序的方法。項目六 配置網絡和使用ssh服務36.1 配置網絡服務6.2 創建網絡會話實例6.3 綁定兩塊網卡6.4 配置遠程控制服務6.5 項目實錄46.1 任務1 配置網絡服務 Linux主機要與網絡中其他主機進行通信，首先要進行正確的網絡配置。網絡配置通常包括主機名、IP地址、子網掩碼、默認網關、DNS服務器等。6.1.1 檢查并設置有線處于連接狀態單擊桌面右上角的“啟動”按鈕，單擊“Connect”按鈕，設置有線處于連接狀態，如圖6-1所示。圖6-1 設置有線處于連接狀態設置完成后，右上角將出現有線連接的小圖標，如圖6-2所示。圖6

3、-2 有線處于連接狀態特別提示：必須首先使有線處于連接狀態，這是一切配置的基礎，切記。56.1.2 設置主機名RHEL 7有以下3種形式的主機名。靜態的（static）：“靜態”主機名也稱為內核主機名，是系統在啟動時從/etc/hostname自動初始化的主機名。瞬態的（transient）：“瞬態”主機名是在系統運行時臨時分配的主機名，由內核管理。例如，通過DHCP或DNS服務器分配的localhost就是這種形式的主機名。靈活的（pretty）：“靈活”主機名是UTF8格式的自由主機名，以展示給終端用戶。與之前版本不同，RHEL 7中的主機名配置文件為/etc/hostname，可以在配置

4、文件中直接更改主機名。61使用nmtui修改主機名rootRHEL7-1 # nmtui圖6-3 配置hostname 圖6-4 修改主機名為RHEL 7-1在圖6-3、圖6-4所示的界面中進行配置。 使用NetworkManager的nmtui接口修改了靜態主機名后（/etc/hostname文件），不會通知hostnamectl。要想強制讓hostnamectl知道靜態主機名已經被修改，需要重啟hostnamed服務。rootRHEL7-1 # systemctl restart systemd-hostnamed72使用hostnamectl修改主機名（1）查看主機名rootRHEL7-

5、1 # hostnamectl status Static hostname: RHEL7-1 Pretty hostname: RHEL7-1 （2）設置新的主機名rootRHEL7-1 # hostnamectl set-hostname （3）查看主機名rootRHEL7-1 # hostnamectl status Static hostname: 83使用NetworkManager的命令行接口nmcli修改主機名nmcli可以修改/etc/hostname中的靜態主機名。/查看主機名rootRHEL7-1 # nmcli general hostname/設置新主機名rootRHE

6、L7-1 # nmcli general hostname RHEL7-1rootRHEL7-1 # nmcli general hostnameRHEL7-1/重啟hostnamed服務讓hostnamectl知道靜態主機名已經被修改rootRHEL7-1 # systemctl restart systemd-hostnamed96.1.3 使用系統菜單配置網絡在Linux系統上配置服務之前，必須先保證主機之間能夠順暢地通信?？梢詥螕糇烂嬗疑辖堑木W絡連接圖標，打開網絡配置界面，一步步完成網絡信息查詢和網絡配置。具體過程如圖6-5圖6-8所示。圖6-5 單擊有線連接設置（Wired Sett

7、ings）圖6-6 網絡配置：ON激活連接、單擊齒輪進行配置圖6-7 配置有線連接10 設置完成后，單擊“Apply”按鈕應用配置回到圖6-9所示的界面。注意網絡連接應該設置在“ON”狀態，如果在“OFF”狀態，請進行修改。注意，有時需要重啟系統配置才能生效。圖6-9 網絡配置界面建議：首選使用系統菜單配置網絡。因為從RHEL 7開始，圖形界面已經非常完善，所以在Linux系統桌面，依次單擊“Applications”“System Tools”“Settings”“Network”同樣可以打開網絡配置界面。圖6-8 配置IPv4等信息116.1.4 通過網卡配置文件配置網絡在RHEL 7中，

8、網卡配置文件的前綴則以ifcfg開始，加上網卡名稱共同組成了網卡配置文件的名字，如ifcfg-ens33?，F在有一個名稱為ifcfg-ens33的網卡設備，我們將其配置為開機自啟動，并且IP地址、子網、網關等信息由人工指定，其步驟如下。（1）切換到/etc/sysconfig/network-scripts目錄中（存放著網卡的配置文件）。（2）使用vim編輯器修改網卡文件ifcfg-ens33，逐項寫入下面的配置參數并保存退出。由于每臺設備的硬件及架構是不一樣的，所以請讀者使用ifconfig命令自行確認各自網卡的默認名稱。設備類型：TYPE=Ethernet。地址分配模式：BOOTPROTO

9、=static。網卡名稱：NAME=ens33。是否啟動：ONBOOT=yes。IP地址：IPADDR=。子網掩碼：NETMASK=。網關地址：GATEWAY=。DNS地址：DNS1=。12（3）重啟網絡服務并測試網絡是否聯通。進入到網卡配置文件所在的目錄，然后編輯網卡配置文件，在其中填入下面的信息：rootRHEL7-1 # cd /etc/sysconfig/network-scripts/rootRHEL7-1 network-scripts# vim ifcfg-ens33TYPE=EthernetPROXY_METHOD=noneBROWSER_ONLY=noBOOTPROTO=st

10、aticNAME=ens33UUID=9d5c53ac-93b5-41bb-af37-4908cce6dc31DEVICE=ens33ONBOOT=yesIPADDR=NETMASK=GATEWAY=DNS1=13 執行重啟網卡設備的命令（在正常情況下不會有提示信息），然后通過ping命令測試網絡能否聯通。由于在Linux系統中ping命令不會自動終止，所以需要手動按下“Ctrl+C”組合鍵來強行結束進程。rootRHEL7-1 network-scripts# systemctl restart networkrootRHEL7-1 network-scripts# ping PING ()

11、 56(84) bytes of data.64 bytes from : icmp_seq=1 ttl=64 time=0.095 ms64 bytes from : icmp_seq=2 ttl=64 time=0.048 ms注意：使用配置文件進行網絡配置，需要啟動network服務，而從RHEL 7以后，network服務已被NetworkManager服務替代，所以不建議使用配置文件配置網絡參數。146.1.5 通過網卡配置文件配置網絡（1）上節我們使用網絡配置文件配置網絡服務，本節我們使用nmtui命令來配置網絡。rootRHEL7-1network-scripts#nmtui（2

12、）顯示圖6-10所示的圖形配置界面。（3）配置過程如圖6-11、圖6-12所示。圖6-10 選中“Edit a connection”并按下“Enter鍵”圖6-11 選中要編輯的網卡名稱，然后按下“Edit”（編輯）按鈕圖6-12 把網絡IPv4的配置方式改成Manual（手動）注意：本書中所有的服務器主機IP地址均為，而客戶端主機一般設為0及0。之所以這樣做，就是為了后面服務器配置的方便。15（4）按下“Show”（顯示）按鈕，顯示信息配置框，如圖6-13所示。在服務器主機的網絡配置信息中填寫IP地址/24等信息，單擊“OK”按鈕，如圖6-14所示。圖6-13 填寫IP地址圖6-14 單擊

13、“OK”按鈕保存配置（5）按“”按鈕回到nmtui圖形界面初始狀態，選中“Activate a connection”選項，激活剛才的連接“ens33”。前面有“*”號表示激活，如圖6-15、圖6-16所示。圖6-15 選擇“Activate a connection”選項圖6-16 激活（Activate）連接或使連接失效（Deactivate）16（6）至此，在Linux系統中配置網絡的步驟就結束了。rootRHEL7-1 # ifconfigens33: flags=4163 mtu 1500 inet netmask broadcast 55 inet6 fe80:c0ae:d7f4:

14、8f5:e135 prefixlen 64 scopeid 0 x20 ether 00:0c:29:66:42:8d txqueuelen 1000 (Ethernet) RX packets 151 bytes 16024 (15.6 KiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 186 bytes 18291 (17.8 KiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0176.1.6 使用nmcli命令配置網絡NetworkManager是管理和監控

15、網絡設置的守護進程，設備即網絡接口，連接是對網絡接口的配置。一個網絡接口可以有多個連接配置，但同時只有一個連接配置生效。1常用命令 nmcli connection show：顯示所有連接。nmcli connection show -active：顯示所有活動的連接狀態。nmcli connection show ens33：顯示網絡連接配置。nmcli device status：顯示設備狀態。nmcli device show ens33：顯示網絡接口屬性。nmcli connection add help：查看幫助。nmcli connection reload：重新加載配置。nmcl

16、i connection down test2：禁用test2的配置，注意一個網卡可以有多個配置。nmcli connection up test2：啟用test2的配置。nmcli device disconnect ens33：禁用ens33網卡，物理網卡。nmcli device connect ens33：啟用ens33網卡。182創建新連接配置 （1）創建新連接配置default，IP通過DHCP自動獲取 rootRHEL7-1 # nmcli connection showNAME UUID TYPE DEVICE ens33 9d5c53ac-93b5-41bb-af37-490

17、8cce6dc31 802-3-ethernet ens33 virbr0 f30a1db5-d30b-47e6-a8b1-b57c614385aa bridge virbr0 rootRHEL7-1 # nmcli connection add con-name default type Ethernet ifname ens33Connection default (ffe127b6-ece7-40ed-b649-7082e86c0775) successfully added.（2）刪除連接rootRHEL7-1 # nmcli connection delete defaultConn

18、ection default (ffe127b6-ece7-40ed-b649-7082e86c0775) successfully deleted.19（3）創建新的連接配置test2，指定靜態IP，不自動連接 rootRHEL7-1 # nmcli connection add con-name test2 ipv4.method manual ifname ens33 autoconnect no type Ethernet ipv4.addresses 00/24 gw4 Connection test2 (7b0ae802-1bb7-41a3-92ad-5a1587eb367f) s

19、uccessfully added.（4）參數說明con-name：指定連接名字，沒有特殊要求。ipv4.methmod：指定獲取IP地址的方式。ifname：指定網卡設備名，也就是次配置所生效的網卡。autoconnect：指定是否自動啟動。ipv4.addresses：指定IPv4地址。gw4：指定網關。203查看/etc/sysconfig/network-scripts/目錄rootRHEL7-1 # ls /etc/sysconfig/network-scripts/ifcfg-*/etc/sysconfig/network-scripts/ifcfg-ens33 /etc/sysc

20、onfig/network-scripts/ifcfg-test2/etc/sysconfig/network-scripts/ifcfg-lo多出一個文件/etc/sysconfig/network-scripts/ifcfg-test2，說明添加確實生效了。4啟用test2連接配置 rootRHEL7-1 # nmcli connection up test2Connection successfully activated (D-Bus active path: /org/freedesktop/ NetworkManager/ActiveConnection/6)rootRHEL7-1

21、 # nmcli connection showNAME UUID TYPE DEVICE test2 7b0ae802-1bb7-41a3-92ad-5a1587eb367f 802-3-ethernet ens33 virbr0 f30a1db5-d30b-47e6-a8b1-b57c614385aa bridge virbr0 ens33 9d5c53ac-93b5-41bb-af37-4908cce6dc31 802-3-ethernet - 215查看是否生效rootRHEL7-1 # nmcli device show ens33GENERAL.DEVICE: ens33基本的IP

22、地址配置成功。6修改連接設置 （1）修改test2為自動啟動 rootRHEL7-1 # nmcli connection modify test2 connection.autoconnect yes（2）修改DNS為 rootRHEL7-1 # nmcli connection modify test2 ipv4.dns 22（3）添加DNS 14 rootRHEL7-1 # nmcli connection modify test2 +ipv4.dns 14（4）看下是否成功rootRHEL7-1 # cat /etc/sysconfig/network-scripts/ifcfg-te

23、st2TYPE=EthernetPROXY_METHOD=noneBROWSER_ONLY=noBOOTPROTO=noneIPADDR=00PREFIX=24GATEWAY=DEFROUTE=yesIPV4_FAILURE_FATAL=noIPV6INIT=yesIPV6_AUTOCONF=yesIPV6_DEFROUTE=yesIPV6_FAILURE_FATAL=noIPV6_ADDR_GEN_MODE=stable-privacyNAME=test2UUID=7b0ae802-1bb7-41a3-92ad-5a1587eb367fDEVICE=ens33ONBOOT=yesDNS1=D

24、NS2=1423（5）刪除DNSrootRHEL7-1 # nmcli connection modify test2 -ipv4.dns 14（6）修改IP地址和默認網關rootRHEL7-1 # nmcli connection modify test2 ipv4.addresses 00/24 gw4 54 （7）還可以添加多個IProotRHEL7-1 # nmcli connection modify test2 +ipv4.addresses 50/24rootRHEL7-1 # nmcli connection show test2rootRHEL7-1 # nmcli conn

25、ection modify test2 -ipv4.dns 14247nmcli命令和/etc/sysconfig/network-scripts/ifcfg-*文件的對應關系 nmcli命令/etc/sysconfig/network-scripts/ifcfg-*文件ipv4.method manualBOOTPROTO=none ipv4.method autoBOOTPROTO=dhcpipv4.addresses /24IPADDR=PREFIX=24gw4 54GATEWAY=54 ipv4.dns DNS0=ipv4.dns-search DOMAIN= ipv4.ignore-

26、auto-dns truePEERDNS=no connection.autoconnect yesONBOOT=yes connection.id eth0NAME=eth0 erface-name eth0DEVICE=eth0 802-3-ethernet.mac-address . . .HWADDR= . . .256.2 任務2 創建網絡會話實例 RHEL和CentOS系統默認使用NetworkManager來提供網絡服務，這是一種動態管理網絡配置的守護進程，能夠讓網絡設備保持連接狀態。 nmcli是一款基于命令行的網絡配置工具，功能豐富，參數眾多。它可以輕松地查看網絡信息或網絡狀

27、態：rootRHEL7-1 # nmcli connection showNAME UUID TYPE DEVICE ens33 9d5c53ac-93b5-41bb-af37-4908cce6dc31 802-3-ethernet - RHEL 7系統支持網絡會話功能，允許用戶在多個配置文件中快速切換（非常類似于firewalld防火墻服務中的區域技術）。26（1）使用con-name參數指定公司所使用的網絡會話名稱company，然后依次用ifname參數指定本機的網卡名稱（千萬要以實際環境為準，不要照抄書上的ens33）。用autoconnect no參數設置該網絡會話默認不被自動激活，

28、以及用ip4及gw4參數手動指定網絡的IP地址：rootRHEL7-1 # nmcli connection add con-name company ifname ens33 autoconnect no type ethernet ip4 /24 gw4 Connection company (69bf7a9e-1295-456d-873b-505f0e89eba2) successfully added.（2）使用con-name參數指定家庭所使用的網絡會話名稱home。我們想從外部DHCP服務器自動獲得IP地址，因此這里不需要進行手動指定。rootRHEL7-1 # nmcli con

29、nection add con-name home type ethernet ifname ens33Connection home(7a9f15fe-2f9c-47c6-a236-fc310e1af2c9) successfully added. 可以使用nmcli命令并按照“connection add con-name type ifname”的格式來創建網絡會話。假設將公司網絡中的網絡會話稱之為company，將家庭網絡中的網絡會話稱之為home，依次創建各自的網絡會話。27（3）在成功創建網絡會話后，可以使用nmcli命令查看創建的所有網絡會話：rootRHEL7-1 # nmcl

30、i connection showNAME UUID TYPE DEVICE ens33 9d5c53ac-93b5-41bb-af37-4908cce6dc31 802-3-ethernet ens33 virbr0 a3d2d523-5352-4ea9-974d-049fb7fd1c6e bridge virbr0 company 70823d95-a119-471b-a495-9f7364e3b452 802-3-ethernet - home cc749b8d-31c6-492f-8e7a-81e95eacc733 802-3-ethernet - （4）使用nmcli命令配置過的網絡

31、會話是永久生效的，這樣當我們下班回家后，順手啟用home網絡會話，網卡就能自動通過DHCP獲取到IP地址了。rootRHEL7-1 # nmcli connection up homeConnection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/6)rootRHEL7-1 # ifconfigens33: flags=4163 mtu 1500 inet 4 netmask broadcast 55 inet6 fe80:c70:8b8f:3261:6

32、f18 prefixlen 64 scopeid 0 x20 ether 00:0c:29:66:42:8d txqueuelen 1000 (Ethernet) RX packets 457 bytes 41358 (40.3 KiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 131 bytes 17349 (16.9 KiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 rootRHEL7-1 # nmcli connection up homeConnect

33、ion successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/6)rootRHEL7-1 # ifconfigens33: flags=4163 mtu 1500 inet 4 netmask broadcast 55 inet6 fe80:c70:8b8f:3261:6f18 prefixlen 64 scopeid 0 x20 ether 00:0c:29:66:42:8d txqueuelen 1000 (Ethernet) RX packets 457 by

34、tes 41358 (40.3 KiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 131 bytes 17349 (16.9 KiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 28（5）如果大家使用的是虛擬機，請把虛擬機系統的網卡（網絡適配器）切換成橋接模式，如圖6-17所示，然后重啟虛擬機系統即可。圖6-17 設置虛擬機網卡的模式（6）如果回到公司，可以停止home會話，啟動company會話（連接）。rootRHEL7-1 # nmcli connecti

35、on down homeConnection home successfully deactivated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/4)rootRHEL7-1 # nmcli connection up companyConnection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/6)rootRHEL7-1 # ifconfigens33: f

36、lags=4163 mtu 1500 inet netmask broadcast 55 inet6 fe80:7ce7:c434:4c95:7ddb prefixlen 64 scopeid 0 x20 ether 00:0c:29:66:42:8d txqueuelen 1000 (Ethernet) RX packets 304 bytes 41920 (40.9 KiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 429 bytes 47058 (45.9 KiB) TX errors 0 dropped 0 overrun

37、s 0 carrier 0 collisions 029（7）如果要刪除會話連接，請執行nmcli命令，執行“Edit a connection”命令，然后選中要刪除的會話，按“Delete”按鈕即可，如圖6-18所示。圖6-18 刪除網絡會話連接306.3 任務3 綁定兩塊網卡 一般來講，生產環境必須提供724小時的網絡傳輸服務。借助于網卡綁定技術，不僅可以提高網絡傳輸速度，更重要的是，還可以確保在其中一塊網卡出現故障時，依然可以正常提供網絡服務。假設我們對兩塊網卡實施了綁定技術，這樣在正常工作中它們會共同傳輸數據，使得網絡傳輸的速度變得更快；而且即使有一塊網卡突然出現了故障，另外一塊網卡便

38、會立即自動頂替上去，保證數據傳輸不會中斷。14綁定兩塊網卡316.4 任務4 配置遠程控制任務6.4.1 配置sshd服務 SSH（Secure shell）是一種能夠以安全的方式提供遠程登錄的協議，也是目前遠程管理Linux系統的首選方式。在此之前，一般使用FTP或Telnet來進行遠程登錄。但是因為它們以明文的形式在網絡中傳輸賬戶密碼和數據信息，所以很不安全，很容易受到黑客發起的中間人攻擊。輕則篡改傳輸的數據信息，重則直接抓取服務器的賬戶密碼。 想要使用SSH協議來遠程管理Linux系統，則需要部署配置sshd服務程序。sshd是基于SSH協議開發的一款遠程管理服務程序，不僅使用起來方便快

39、捷，而且能夠提供了以下兩種安全驗證的方法?；诳诹畹尿炞C用賬戶和密碼來驗證登錄?；诿荑€的驗證需要在本地生成密鑰對，然后把密鑰對中的公鑰上傳至服務器，并與服務器中的公鑰進行比較；該方式相較來說更安全。32參 數作 用Port 22默認的sshd服務端口ListenAddress 設定sshd服務器監聽的IP地址Protocol 2SSH協議的版本號HostKey /etc/ssh/ssh_host_keySSH協議版本為1時，DES私鑰存放的位置HostKey /etc/ssh/ssh_host_rsa_keySSH協議版本為2時，RSA私鑰存放的位置HostKey /etc/ssh/ssh_

40、host_dsa_keySSH協議版本為2時，DSA私鑰存放的位置PermitRootLogin yes設定是否允許root管理員直接登錄StrictModes yes當遠程用戶的私鑰改變時直接拒絕連接MaxAuthTries 6最大密碼嘗試次數MaxSessions 10最大終端數PasswordAuthentication yes是否允許密碼驗證PermitEmptyPasswords no是否允許空密碼登錄（很不安全）sshd服務配置文件中包含的重要參數如表6-1所示。表6-1 sshd服務配置文件中包含的參數及其作用現有計算機的情況如下。計算機名為RHEL 7-1，角色為RHEL 7服

41、務器，IP為/24。計算機名為RHEL 7-2，角色為RHEL 7客戶機，IP為0/24。需特別注意兩臺虛擬機的網絡配置方式一定要一致，本例中都改為：橋接模式。33rootRHEL7-2 # ssh The authenticity of host () cant be established.ECDSA key fingerprint is SHA256:f7b2rHzLTyuvW4WHLjl3SRMIwkiUN+cN9y1yDb9wUbM.ECDSA key fingerprint is MD5:d1:69:a4:4f:a3:68:7c:f1:bd:4c:a8:b3:84:5c:50:19

42、.Are you sure you want to continue connecting (yes/no)? yesWarning: Permanently added (ECDSA) to the list of known hosts.roots password: 此處輸入遠程主機root管理員的密碼Last login: Wed May 30 05:36:53 2018 from 192.168.10.rootRHEL7-1 # rootRHEL7-1 # exitlogoutConnection to closed.在RHEL 7系統中，已經默認安裝并啟用了sshd服務程序。接下來

43、使用ssh命令在RHEL 7-2上遠程連接RHEL 7-1，其格式為“ssh 參數 主機IP地址”。要退出登錄則執行exit命令。在RHEL 7-2上操作。34如果禁止以root管理員的身份遠程登錄到服務器，則可以大大降低被黑客暴力破解密碼的概率。下面進行相應配置。（1）在RHEL 7-1 SSH服務器上。首先使用vim文本編輯器打開sshd服務的主配置文件，然后把第38行#PermitRootLogin yes參數前的井號（#）去掉，并把參數值yes改成no，這樣就不再允許root管理員遠程登錄了。記得最后保存文件并退出。rootRHEL7-1 # vim /etc/ssh/sshd_con

44、fig 36 37 #LoginGraceTime 2m 38 PermitRootLogin no 39 #StrictModes yes 35（2）一般的服務程序并不會在配置文件修改之后立即獲得最新的參數。如果想讓新配置文件生效，則需要手動重啟相應的服務程序。最好也將這個服務程序加入到開機啟動項中，這樣系統在下一次啟動時，該服務程序便會自動運行，繼續為用戶提供服務。rootRHEL7-1#systemctlrestartsshdrootRHEL7-1#systemctlenablesshd（3）當root管理員再來嘗試訪問sshd服務程序時，系統會提示不可訪問的錯誤信息。仍然在RHEL 7

45、-2上測試。rootRHEL7-2#sshroot0spassword:此處輸入遠程主機root管理員的密碼Permissiondenied,pleasetryagain.注意：為了不影響下面的實訓，請將/etc/ssh/sshd_config配置文件的更改恢復到初始狀態。366.4.2 安全密鑰驗證 加密是對信息進行編碼和解碼的技術，在傳輸數據時，如果擔心被他人監聽或截獲，就可以在傳輸前先使用公鑰對數據加密處理，然后再行傳送。這樣，只有掌握私鑰的用戶才能解密這段數據，除此之外的其他人即便截獲了數據，一般也很難將其破譯為明文信息。 在生產環境中使用密碼進行口令驗證存在著被暴力破解或嗅探截獲的風

46、險。如果正確配置了密鑰驗證方式，那么sshd服務程序將更加安全。下面使用密鑰驗證方式，以用戶student身份登錄SSH服務器，具體配置如下。rootRHEL7-1 # useradd studentrootRHEL7-1 # passwd student37（2）在客戶端主機RHEL 7-2中生成“密鑰對”。查看公鑰id_rsa.pub和私鑰id_rsa。rootRHEL7-2 # ssh-keygenGenerating public/private rsa key pair.Enter file in which to save the key (/root/.ssh/id_rsa):

47、/按回車鍵或設置密鑰的存儲路徑Enter passphrase (empty for no passphrase): /直接按回車鍵或設置密鑰的密碼Enter same passphrase again: /再次按回車鍵或設置密鑰的密碼Your identification has been saved in /root/.ssh/id_rsa.Your public key has been saved in /root/.ssh/id_rsa.pub.The key fingerprint is:SHA256:jSb1Z223Gp2j9HlDNMvXKwptRXR5A8vMnjCtCYPC

48、THs rootRHEL7-1The keys randomart image is:+-RSA 2048-+| . o.| + . . * oo.| = E.o o B o| o. +o B.o | . S ooo+= =| o .o.=| . o o.=o| o .=o+| .o.oo|+-SHA256-+ rootRHEL7-2 # cat /root/.ssh/id_rsa.pubssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCurhcVb9GHKP4taKQMuJRdLLKTAVnC4f9Y9 H2Or4rLx3YCqsBVYUUn4gSzi8LAcKP

49、cPdBZ817Y4a2OuOVmNW+hpTR9vfwwuGOiU1Fu4Sf5/14qgkd5EreUjE/KIPlZVNX904blbIJ90yu6J3CVz6opAdzdrxckstWrMSlp68SIhi517OVqQxzA+2G7uCkplh3pbtLCKlz6ck6x0zXd7MBgR9S7nwm1DjHl5NWQ+542Z+MA8QJ9CpXyHDA54oEVrQoLitdWEYItcJIEqowIHM99L86vSCtKzhfD4VWvfLnMiO1UtostQfpLazjXoU/XVp1fkfYtc7FFl+uSAxIO1nJ rootRHEL7-2rootRHEL7-2

50、# cat /root/.ssh/id_rsa38（3）把客戶端主機RHEL 7-2中生成的公鑰文件傳送至遠程主機：rootRHEL7-2#ssh-copy-idstudent/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed - if you are prompted now it is to ins

51、tall the new keysstudents password: /此處輸入遠程服務器密碼Number of key(s) added: 1Now try logging into the machine, with: ssh studentand check to make sure that only the key(s) you wanted were added.（4）對服務器RHEL 7-1進行設置（65行左右），使其只允許密鑰驗證，拒絕傳統的口令驗證方式。將“PasswordAuthentication yes”改為“PasswordAuthentication no”。記得在修改配置文件后保存并重啟sshd服務程序。rootRHEL7-1#vim/etc/ssh/sshd_con