Linux系统下ssh使用总结

我是真的爱你

转自：https://www.cnblogs.com/kevingrace/p/6110842.html
-bash: ssh: command not found
处理法子；
yum install －y openssh-server openssh-clinets
（0）ssh登录时提醒：Read from socket failed: Connection reset by peer.
测验考试了很多处理计划均无效，无法！卸载sshd，然后从头装置
# yum remove openssh*
# rm -rf /etc/ssh*
# yum install -y openssh*
# systemctl start sshd.service
（1）ssh长途登陆后的提醒疑息，题目疑息
我们常常会利用中控机ssh信赖跳转到其他机械上，可是没有明白有无运维伴侣留意到ssh跳转成功后的末端显现的提醒疑息？
那些提醒疑息，是为了便利我们正在第一工夫明白ssh跳转到哪台目的机上，也是为了避免持久频仍跳转后因为粗心酿成的误进机械操纵的风险，我们凡是会正在ssh跳转到目的机械后显现一些提醒疑息，正在一些国度, 登进给定体系前, 给出已经受权大要用户监视正告疑息, 将会遭到法令的庇护.以下：
[root@bastion-IDC ~]# ssh -p22 192.168.1.15
Last login: Fri Jul 15 13:26:53 2016 from 124.65.197.154
===================================
|||||||||||||||||||||||||||||||||||
===================================
HOSTNAME: monit-server
IPADDRES: 192.168.1.15
===================================
IDC监控机
===================================
那末上里白色地区的提示疑息是正在哪设置的呢？
做法一：实在很简朴，那些疑息是正在目的机械的/etc/motd文件里自定义的
[root@monit-server ~]# cat /etc/motd 
===================================
|||||||||||||||||||||||||||||||||||
===================================
HOSTNAME: monit-server
IPADDRES: 192.168.1.15
===================================
IDC监控机
===================================
做法两：正在目的机械的/etc/ssh/sshd_config文件里定义，然后重启sshd效劳便可。那两种做法是分歧的结果！
Banner /etc/sshfile
[root@host-192-168-1-117 ~]# cat /etc/sshfile
this is 192.168.1.117
长途登陆：
[root@linux-node2 ~]# ssh 192.168.1.117
this is 192.168.1.117
[root@host-192-168-1-117 ~]#
（2）完成SSH无暗码登录:利用ssh-keygen战ssh-copy-id
ssh-keygen 发生公钥取公钥对.
ssh-copy-id 将本机的公钥复造到长途机械的authorized_keys文件中，ssh-copy-id也能让您有到长途机械的/home/username/.ssh战~/.ssh/authorized_keys的权益.
操纵记载：
1）第一步:正在当地机械上利用ssh-keygen发生公钥公钥对
#ssh-keygen -t rsa //一起默许回车
如许便会正在当前用户家目次下的.ssh目次里发生公钥战公钥文件：id_rsa.pub、id_rsa。能够将id_rsa.pub公钥文件复造成authorized_keys
2）第两步：能够脚动将本机的id_rsa.pub公钥文件内乱容复造到长途目的机的.ssh/authorized_keys文件中，能够就能够完成ssh无暗码登陆。
当然，也能够正在本机间接利用ssh-copy-id将公钥复造到长途机械中
#ssh-copy-id -i /root/.ssh/id_rsa.pub user@ip ［把本机的公钥拷贝到长途机械上，比如B机械］
也能够没有减公钥途径，会默许减上
#ssh-copy-id user@ip 
留意: 
ssh-copy-id 将key写到长途机械的 ~/ .ssh/authorized_key.文件（文件会主动创立）中

1 2	关于非22端心(比如22222)状况下的ssh-copy-id的利用，需求如许用： ssh-copy-id -i  /root/.ssh/id_rsa.pub  '-p 22222 root@192.168.18.18'

3）如许，本机登录到上里长途机械（B机械）便不消输进暗码
#ssh user@ip
（3）ssh登录失利,报错：Pseudo-terminal will not be allocated because stdin
征象：
需求登录线上的一台目的机械A,可是不克不及间接登录（出有登录权限），需求先登录B机械，然后从B机械跳转到A机械。
剧本以下：
localhost:~ root# cat IDC-7.sh
#!/bin/bash
ssh root@101.201.114.106 "ssh -p25791 root@103.10.86.7"
可是正在施行剧本的时分报错以下：
Pseudo-terminal will not be allocated because stdin
缘故原由：
真末端将没法分派，由于尺度输进没有是末端。
处理法子：
需求增长-t -t参数去强迫真末端分派，即便尺度输进没有是末端。
正在剧本里增加－t －t参数便可，以下：
localhost:~ root# cat IDC-7.sh
#!/bin/bash
ssh root@101.201.114.106 "ssh －t －t -p25791 root@103.10.86.7"
大要
localhost:~ root# cat IDC-7.sh
#!/bin/bash
ssh －t root@101.201.114.106 "ssh －t －t -p25791 root@103.10.86.7"
（4）ssh长途登陆迟缓成绩
处理法子：
编译/etc/ssh/sshd_config设置文件：
UseDNS no
GSSAPIAuthentication no
然后重启sshd效劳便可！
（5）ssh登录呈现：permission denied(publickey.gssapi-with-mic)
处理办法：
修正/etc/ssh/sshd-config文件，将此中的：
PermitRootLogin no修正为yes
PubkeyAuthentication yes 
AuthorizedKeysFile .ssh/authorized_keys前里减上#屏障失落
PasswordAuthentication no修正为yes
最初重启sshd效劳便可！
(6)ssh毗连毛病成绩
1)正在利用ssh或scp或rsync长途毗连的时分，呈现以下报错：
Address **** maps to localhost, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
处理办法：
修正本机ssh_config文件 
[root@kvmserver ~]# vim /etc/ssh/ssh_config 
GSSAPIAuthentication no
[root@kvmserver ~]#/etc/init.d/sshd restart
成绩水到渠成～～
2)本机scp、rsync号令皆已具有，可是正在利用scp或rsync长途同步的时分报错：
bash: scp: command not found
bash: rsync: command not found
缘故原由：是因为长途机械上出有装置scp或rsync酿成的！装置那两个号令便可～
yum install openssh-clients
yum install rsync
3）长途ssh毗连时毛病“ The X11 forwarding request was rejected!”
处理办法：
将sshd_config中 设置 X11Forwarding yes
重启sshd效劳。
(7)ssh毗连超时被踢出成绩处理
当利用xshell，SecureCRT等客户端会见linux效劳器，偶然候会呈现末端按期超时被踢出的状况。
上面引见三种办法去避免超时被踢出的办法，后两种状况的设置办法和经由过程设置shell变量去抵达此目标的办法：
1、 设置效劳器
#vi /etc/ssh/sshd_config
1）找到 ClientAliveInterval参数，假如出有便本人减一止
数值是秒，比如您设置为120 ，则是2分钟
ClientAliveInterval 120
2）ClientAliveCountMax
指假如发明客户端出有呼应，则判定一次超时，那个参数设置许可超时的次数。如3 、5等自定义
修正两项参数后以下：
----------------------------
ClientAliveInterval 120
ClientAliveCountMax 3                      //0 没有许可超时次数
修正/etc/ssh/sshd_config文件，将 ClientAliveInterval 0战ClientAliveCountMax 3的正文标记来失落,将ClientAliveInterval对应的0改成60，出有便本人输进。
ClientAliveInterval指定了效劳器端背客户端恳求动静 的工夫距离, 默许是0, 没有收收.而ClientAliveInterval 60表示每分钟收收一次, 然后客户端呼应, 如许便连结少毗连了.ClientAliveCountMax, 利用默许值3便可.ClientAliveCountMax表示效劳器收回恳求后客户端出有呼应的次数抵达必然值, 便主动断开. 一般状况下, 客户端没有会没有呼应.
从头减载sshd效劳。退出客户端，再次登陆便可考证。
3)重启sshd service
sudo /etc/init.d/ssh restart
2、 设置客户端
#vim /etc/ssh/ssh_config
然后找到里面的
ServerAliveInterval
参数，假如出有您一样本人减一个就行了
参数意义不异，皆是秒数，比如5分钟等
ServerAliveInterval 300
3、echo export TMOUT=1000000 >> /root/.bash_profile; source .bash_profile
正在Linux 末真个shell状况中经由过程设置状况变量TMOUT去阻遏超时。假如显现空缺,表示出有设置, 便是利用默许值0, 普通状况下该当是没有超时. 假如年夜于0, 能够正在如/etc/profile之类文件中设置它为0.
（8）ssh长途登陆，公钥受权欠亨过：Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
公司IDC机房效劳器，之前做了跳板机状况，其他机械只许可从跳板机ssh无暗码信赖已往，而且正在信赖干系做好后，禁用了其他机械的暗码登陆功用（sshd_config文件里设置“PermitEmptyPasswords no”）
后来跳板机呈现了成绩，筹算重拆那台机械，重拆前打消了其他机械里只许可跳板机ssh信赖干系，而且规复了暗码登陆功用：
[root@bastion-IDC ssh]# vim /etc/ssh/sshd_config
PermitEmptyPasswords yes
[root@bastion-IDC ssh]# service sshd restart
修正后，其时正在其他机械间是能够ssh互相登陆，其时出在乎，觉得统统ok了。
但是，到了第两天，再次ssh登陆时，僧玛，竟然报错了~~
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
最初发明是selinux惹的福！封闭它便可。
1）暂时封闭selinux
[root@bastion-IDC ssh]# setenforce 0
[root@bastion-IDC ssh]# getenforce 
Permissive
2）永世封闭
[root@bastion-IDC ssh]# vim /etc/sysconfig/selinux 
SELINUX=disabled
[root@bastion-IDC ssh]# reboot #重启体系才气见效
阐明：
1）ssh可同时撑持publickey战password两种受权方法，publickey默许没有开启，需求设置为yes。 
假如客户端没有存正在.ssh/id_rsa，则利用password受权；存正在则利用publickey受权；假如publickey受权失利，仍然会担当利用password受权。
2）GSSAPI身份考证.
GSSAPIAuthentication 能否许可利用基于 GSSAPI 的用户认证.默许值为"no".仅用于SSH-2.
GSSAPICleanupCredentials 能否正在用户退出登录后主动烧毁用户凭据缓存。默许值是"yes".仅用于SSH-2.
需求出格留意的是：
GSSAPI是大众宁静事件使用法式接心(GSS-API)
大众宁静事件使用法式接心以一种同一的形式为利用者供给宁静事件,因为它撑持最根本的机造战妙技,以是包管不同的使用状况下的可移植性.
该标准定义了GSS-API事件战根本元素,并自力于根本的机造战法式设想言语状况,并借助于别的相干的文档标准完成.
假如我们正在效劳端翻开GSSAPIAuthentication设置项,以下:
[root@server ~]#vim /etc/ssh/sshd_config
........
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
那末正在客户端登录效劳端会用gssapi-keyex,gssapi-with-mic举办身份校验,一样客户端也要撑持这类身份考证,以下:
[root@client ~]#vim /etc/ssh/ssh_config
GSSAPIAuthentication yes
GSSAPIDelegateCredentials yes
我们正在客户端毗连SSH效劳端,以下:
ssh -v 192.168.1.11
.................
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
我们看到以下的疑息:
debug1: Unspecified GSS failure. Minor code may provide more information
No credentials cache found
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
debug1: Next authentication method: gssapi-keyex
debug1: No valid Key exchange context
阐明SSH登录时接纳GSSAPI的方法举办身份考证,但我们的体系没有撑持.
最初假如我们不消这类方法举办身份考证的话,倡议封闭那个选项,如许能够进步考证时的速率.
（9）ssh自定义宁静设置
1)为了ssh登陆的时分减一层庇护，能够修正默许端心。修正ssh效劳设置文件/etc/ssh/sshd_config
port 2222
如许长途毗连时减短裤
#ssh 192.168.1.83 -p 2222
2)ssh利用时减-l后背跟用户名，表示登陆到对圆的那个用户上面。
#ssh -l wangshibo 192.168.1.83 -p 2222
同等于
#ssh wangshibo@192.168.1.83 -p 2222
3)限定ssh登陆的滥觞ip，利剑名单设置（hosts.allow劣先级最下，详细参考：Linux效劳器宁静登录设置记载）
一是经由过程iptables设置ssh端心的利剑名单,以下设置只许可192.168.1.0/24网段的客户机能够长途毗连本机
#vim /etc/sysconfig/iptables
-A INPUT -s 192.168.1.0/24 -p tcp -m state --state NEW -m tcp --dport 2222 -j ACCEPT
两是经由过程/etc/hosts.allow里面举办限定(以下)，/etc/hosts.deny文件没有要任何内乱容编纂，连结默许！
#vim /etc/hosts.allow
sshd:192.168.1.*,192.168.9.*,124.65.197.154,61.148.60.42,103.10.86.7:allow
sshd:all:deny
4）仅许可特定的用户经由过程SSH登陆
如没有许可root用户登录；
只许可几个指定的用户登录(比如wangshibo、guohuihui、liuxing用户)
抑制某些指定的用户登录（比如zhangda，liqin用户）
可是要留意：设置的那几个用户必需同时存正在于本机战对圆机械上
修正ssh效劳设置文件/etc/ssh/sshd_config
PermitRootLogin no //将yes修正为no
AllowUsers      wangshibo guohuihui liuxing //那个参数AllowUsers假如没有存正在，需求脚动创立，用户之间空格离隔
DenyUsers      zhagnda liqin //那个参数DenyUsers假如没有存正在，需求脚动创立，用户之间空格离隔
也能够设置仅许可某个组的成员经由过程ssh会见主机。
AllowGroups wheel ops
真例阐明：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44

1）只许可指定用户举办登录（利剑名单）： 正在 /etc/ssh/sshd_config 设置文件中设置 AllowUsers 选项。格局以下：   AllowUsers    root grace kevin app          表示只许可grace用户、kevin用户经由过程ssh登录本机。   AllowUsers    root@192.168.10.10 app@192.168.10.11 kevin@192.168.10.13          表示只许可从192.168.10.10登录的root用户、从192.168.10.11登录的app用户、从192.168.10.13登录的kevin用户能够经由过程ssh登录本机。     2）只回绝指定用户举办登录（乌名单）：) 正在/etc/ssh/sshd_config设置文件中设置DenyUsers选项。格局以下：     DenyUsers    wangbo linan zhangyang     表示回绝wangbo、linan战zhangyang用户经由过程ssh登录本机。   需求留意的是： - AllowUsers、DenyUsers跟后背的设置之间利用TAB键举办离隔 - 多个百名单或乌名单之间利用空格离隔     例子： [root@Centos6 ~]# cat /etc/ssh/sshd_config ....... AllowUsers    root@192.168.10.202 app@192.168.10.200 kevin@192.168.10.202 [root@Centos6 ~]# /etc/init.d/sshd restart     [root@Centos6 ~]# cat /etc/ssh/sshd_config ....... AllowUsers    root app kevin [root@Centos6 ~]# /etc/init.d/sshd restart     [root@Centos6 ~]# cat /etc/ssh/sshd_config ....... DenyUsers    wangbo linan zhangyang [root@Centos6 ~]# /etc/init.d/sshd restart   以下，因为曾经许可了app战root登录，则后背针对root@192.168.10.202战app@192.168.10.200的限定便无效了（二者别放正在一同设置） [root@Centos6 ~]# cat /etc/ssh/sshd_config ....... AllowUsers    app root root@192.168.10.202 app@192.168.10.200 [root@Centos6 ~]# /etc/init.d/sshd restart

================================================================
除上里的办法能够限定ssh指定用户登录中，借可使用pam划定规矩举办设置。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68

1）许可指定的用户（比如kevin、grace账号）举办登录 正在/etc/pam.d/sshd文件第一止参与，必然要正在第一止，由于划定规矩是自上而下举办婚配的。 auth required pam_listfile.so item=user sense=allow file=/etc/sshusers onerr=fail   然后正在/etc下成立sshusers文件,编纂那个文件,参与您许可利用ssh效劳的用户名,不消从头启动sshd效劳。 最初重启sshd效劳便可！   操纵以下： [root@docker-test1 ~]# vim /etc/pam.d/sshd #%PAM-1.0 auth required pam_listfile.so item=user sense=allow file=/etc/sshusers onerr=fail ........   [root@docker-test1 ~]# touch /etc/sshusers [root@docker-test1 ~]# vim /etc/sshusers kevin grace   [root@docker-test1 ~]# /etc/init.d/sshd restart     2）pam划定规矩也能够写成deny的。比如回绝kevin、grace账号举办登录 操纵以下： [root@docker-test1 ~]# vim /etc/pam.d/sshd #%PAM-1.0 auth required pam_listfile.so item=user sense=deny file=/etc/sshusers onerr=succeed ........   [root@docker-test1 ~]# touch /etc/sshusers [root@docker-test1 ~]# vim /etc/sshusers kevin grace   [root@docker-test1 ~]# /etc/init.d/sshd restart   3)pam划定规矩可使用group限定。   许可划定规矩： auth required pam_listfile.so item=group sense=allow file=/etc/security/allow_groups onerr=fail   抑制划定规矩： auth required pam_listfile.so item=group sense=deny file=/etc/security/deny_groups onerr=succeed     操纵以下： [root@docker-test1 ~]# vim /etc/pam.d/sshd   #%PAM-1.0 auth required pam_listfile.so item=group sense=allow file=/etc/security/allow_groups onerr=fail   新建一个组，组名为bobo，然后将kevin战grace增加到那个bobo组内乱 [root@docker-test1 ~]# groupadd bobo [root@docker-test1 ~]# gpasswd -a kevin bobo Adding user kevin to group bobo [root@docker-test1 ~]# usermod -G bobo grace [root@docker-test1 ~]# id kevin uid=1000(kevin) gid=1000(kevin) groups=1000(kevin),1002(bobo) [root@docker-test1 ~]# id grace uid=1001(grace) gid=1001(grace) groups=1001(grace),1002(bobo)   正在/etc/security/allow_groups文件按中参与组名（留意假如没有减root，则root便不克不及被许可登录了） [root@docker-test1 ~]# vim /etc/security/allow_groups bobo   [root@docker-test1 ~]# /etc/init.d/sshd restart   如上设置后，则只要kevin用户能被许可登录！ 假如是抑制划定规矩，则第一止改成上面内乱容： auth required pam_listfile.so item=group sense=deny file=/etc/security/deny_groups onerr=succeed

================================================================
除此以外，抑制某些用户ssh登录，可使用passwd或usermod号令举办账号锁定。
https://www.cnblogs.com/kevingrace/p/6109818.html
5）打消暗码考证，只用稀钥对考证
修正ssh效劳设置文件/etc/ssh/sshd_config
PasswordAuthentication no
PubkeyAuthentication yes
6）给账号设置强健的暗码：将暗码保留到文本举办复造战粘帖就能够了
# rpm -ivh expect-5.43.0-5.1.i386.rpm| yum -y install expect
# mkpasswd -l 128 -d 8 -C 15 -s 10                  //将上面暗码保留到文本举办复造、粘揭便可
lVj.jg&sKrf0cvtgmydqo7qPotxzxen9mefy?ej!kcaX2gQrcu2ndftkeamllznx>iHikTagiVz0$cMtqOcIypkpd,vvD*kJhs3q@sb:CiCqgtqdqvse5lssfmranbtx
参数阐明：
-l 暗码少度
-d 几个数字
-C 年夜写字母个数
-s 特别标记的个数
7）只许可经由过程指定的收集接心去会见SSH效劳，(假如本效劳器有多个IP的时分)
仍旧是修正/etc/ssh/sshd_config，以下：
ListenAddress 192.168.1.15                //默许监听的是0.0.0.0
如许，便只许可长途机械经由过程ssh毗连本机的192.168.1.15内乱网ip去举办登陆了。
8）抑制空暗码登录
假如本机体系有些账号出有设置暗码，而ssh设置文件里又出做限定，那末长途经由过程那个空暗码账号就能够登陆了，那是及其没有宁静的！
以是必然要抑制空暗码登陆。修正/etc/ssh/sshd_config，以下：
PermitEmptyPasswords no //那一项，默许便是禁用空暗码登陆
9) ssh_config战sshd_config
ssh_config战sshd_config皆是ssh效劳器的设置文件，两者区分正在于，前者是针对客户真个设置文件，后者则是针对效劳真个设置文件。两个设置文件皆许可您经由过程设置不同的选项去改动客户端法式的运转方法。sshd_config的设置普通皆比力熟习，上面零丁道下ssh_config针对客户真个设置文件：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57

[root@dns01 dns_rsync]# cat /etc/ssh/ssh_config # Site-wide defaults for various options    Host *         ForwardAgent no         ForwardX11 no         RhostsAuthentication no         RhostsRSAAuthentication no     ‍    RSAAuthentication yes         PasswordAuthentication yes         FallBackToRsh no         UseRsh no         BatchMode no         CheckHostIP yes         StrictHostKeyChecking no         IdentityFile ~/.ssh/identity         Port 22         Cipher blowfish         EscapeChar ~   上面临上述选项参数逐举办表白： # Site-wide defaults for various options 带“#”表示该句为正文没有起做，该句没有属于设置文件本文，意正在阐明上面选项均为体系初初默许的选项。阐明一下，实践设置文件中也有很多选项前里减有“#”正文，固然表示没有起感化，实际上是阐明此为体系默许的初初化设置。 Host * "Host"只对婚配后背字串的计较机有用，“*”表示一切的计较机。从该项格局前置一些能够看出，那是一个相同于齐局的选项，表示上面缩进的选项皆合用于该设置，能够指定某计较机交换*号使上面选项只针对该算机械见效。 ForwardAgent no "ForwardAgent"设置毗连能否颠末考证代办署理（假如存正在）转收给长途计较机。 ForwardX11 no "ForwardX11"设置X11毗连能否被主动重定背到宁静的通讲战显现散（DISPLAY set）。 RhostsAuthentication no "RhostsAuthentication"设置能否利用基于rhosts的宁静考证。 RhostsRSAAuthentication no "RhostsRSAAuthentication"设置能否利用用RSA算法的基于rhosts的宁静考证。 RSAAuthentication yes "RSAAuthentication"设置能否利用RSA算法举办宁静考证。 PasswordAuthentication yes "PasswordAuthentication"设置能否利用心令考证。 FallBackToRsh no "FallBackToRsh"设置假如用ssh毗连呈现毛病能否主动利用rsh，因为rsh其实不宁静，以是此选项该当设置为"no"。 UseRsh no "UseRsh"设置能否正在那台计较机上利用"rlogin/rsh"，缘故原由同上，设为"no"。 BatchMode no "BatchMode"：批处理形式，普通设为"no"；假如设为"yes"，交互式输进口令的提醒将被抑制，那个选项对剧本文件战批处理使命非常有效。 CheckHostIP yes "CheckHostIP"设置ssh能否检察毗连到效劳器的主机的IP地点以避免DNS棍骗。倡议设置为"yes"。 StrictHostKeyChecking no "StrictHostKeyChecking"假如设为"yes"，ssh将没有会主动把计较机的稀匙参与"$HOME/.ssh/known_hosts"文件，且一旦计较机的稀匙发作了变革，便回绝毗连。 IdentityFile ~/.ssh/identity "IdentityFile"设置读与用户的RSA宁静考证标识。 Port 22 "Port"设置毗连到长途主机的端心，ssh默许端心为22。 Cipher blowfish “Cipher”设置减稀用的稀钥，blowfish能够本人随便设置。 EscapeChar ~ “EscapeChar”设置escape字符。 ====================================================== 比如道，A机械的ssh端心是22，B机械的端心是22222，普通来讲A机械ssh毗连B机械的时分是利用-p22222指定端心。可是能够修正A机械的/etc/ssh/ssh_config文件中的 Port为22222，如许A机械ssh毗连的时分便默许利用22222端心了。

centos7下修正ssh默许的22端心后，呈现重启ssh失利的征象。大要缘故原由：
selinux出有封闭
# setenforce 0
# sed -i 's/SELINUX=enforcing/SELINUX=disabled' /etc/sysconfig/selinux
# reboot
修正ssh端心后，长途ssh毗连没有上。大要缘故原由：
firewalld防水墙出有封闭，默许的22端心是开启的，假如防水墙出有封闭，则ssh修正后的新端心是欠亨的。
# systemctl stop firewalld
# systemctl disable firewalld
# firewall-cmd --state
-------------------------------------------来失落SSH公钥检查的办法（交互式yes/no）------------------------------------------------
SSH公钥检查是一个主要的宁静机造，能够防备中心人挟制等乌客进犯。可是正在特定状况下，严厉的 SSH 公钥检查会毁坏一些依靠SSH和谈的主动化使命，便需求一种手腕可以绕过SSH的公钥检查。
SSH毗连长途主机时，会检查主机的公钥。假如是第一次毗连该主机，会显现该主机的公钥择要，弹出公钥确认的提醒，提醒用户能否信赖该主机（Yes/no）。中选择Yes担任，便会将该主机的公钥逃减到文件 ~/.ssh/known_hosts 中。当再次毗连该主机时，便没有会再提醒该成绩了。
SSH公钥检查有益处，但初次毗连时会招致某些主动化使命中止，大要因为 ~/.ssh/known_hosts 文件内乱容浑空，招致主动化使命中止。
来失落SSH公钥检查的办法：
1）SSH客户真个StrictHostKeyChecking 设置指令，能够完成当第一次毗连效劳器时，主动担任新的公钥。只需求修正 /etc/ssh/ssh_config 文件，包罗以下语句：
StrictHostKeyChecking no
2）大要正在ssh毗连号令中利用-oStrictHostKeyChecking=no参数
[root@puppet ~]# ssh -p22222 172.168.1.33 -oStrictHostKeyChecking=no 
大要
[root@puppet ~]# ssh -p22222 172.168.1.33 -oUserKnownHostsFile=/dev/null -oStrictHostKeyChecking=no
====================ansible中打消ssh交换式yes/no==================
设置文件/etc/ansible/ansible.cfg的[defaults]中（翻开正文）
# uncomment this to disable SSH key host checking
host_key_checking = False
=========================设置末端登录超不时间====================

1 2 3 4 5 6 7

长途登录linux效劳器，怎样设置末端生效工夫（即过了多暂没有操纵，末端行将生效）。办法以下： [root@mq-console-nameserver ~]# vim /etc/profile ...... export TMOUT=600 [root@mq-console-nameserver ~]# source /etc/profile   如上设置后，登录那台效劳器的末端正在10分钟内乱没有做操纵，则该末端便将生效！

=======================SSH效劳启动报错案例=======================
正在某台效劳器上布置了sftp效劳，最初发明sftp长途登录一般，可是ssh长途登录失利（尽管曾经输进了准确的用户名战暗码）。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26

[root@kevin ssh]# service sshd restart Stopping sshd: [ OK ] Starting sshd:/etc/ssh/sshd_config line 81: Unsupported option GSSAPIAuthentication /etc/ssh/sshd_config line 83: Unsupported option GSSAPICleanupCredentials Starting sshd: [ OK ]   如上启动后，长途ssh登录那台机械，输进准确的用户名战暗码，则会登录失利！！   [root@kevin ssh]# ssh -V OpenSSH_7.6p1, OpenSSL 1.0.1e-fips 11 Feb 2013   缘故原由是新版本的openssh没有撑持以上参数，需求修正sshd的设置文件。 修正内乱容以下，不然依旧没法经由过程ssh登录那台效劳器： [root@kevin ssh]# vim /etc/ssh/sshd_config ....... ##来失落前里的正文，许可root经由过程ssh登录 PermitRootLogin yes ##正文失落上面三个参数 #GSSAPIAuthentication yes #GSSAPICleanupCredentials yes #UsePAM yes   再次重启ssh，上里的报错疑息便出有了。此时长途ssh登录便OK了！ [root@kevin ssh]# service sshd restart Stopping sshd: [ OK ] Starting sshd: [ OK ]

免责声明：假如进犯了您的权益，请联络站少，我们会实时删除侵权内乱容，感谢协作！