– Mục tiêu: đây là bài thực hành cấu hình cơ bản cho dịch vụ ssh và thực hành cách khởi động và dừng dịch vụ ở trong máy linux server
– Các mục trong bài lab
+ Cấu hình dịch vụ SSH cơ bản
+ Cấu hình dịch vụ SSH nâng cao
Cấu hình dịch vụ SSH cơ bản
– Cấu hình dịch vụ SSH hoạt động port mặc định là TCP/22 chuyển sang port TCP/2222 và chỉ cho phép user “root” va “test” được phép kết nối SSH vào máy tính.
– Tạo user:
[root@thanhdd ~]# useradd test
[root@thanhdd ~]# passwd test
[root@thanhdd ~]# useradd test1
[root@thanhdd ~]# passwd test1
– Vi sửa file cấu hình dịch vụ ssh
[root@thanhdd ~]# cd /etc/ssh/
[root@thanhdd ssh]# ls
sshd_config
=> file “sshd_config” là file cấu hình cho dịch vụ SSH
[root@thanhdd ssh]# vi sshd_config
#Kiếm dòng “Port 22”, thay bằng “Port 2222”
Port 2222
#Đi xuống dưới cùng file, cấu hình cho phép user root va test
AllowUsers root test
AllowGroups root test
[root@thanhdd ssh]# /etc/init.d/sshd restart
hoặc [root@thanhdd ssh]# systemctl restart sshd
=> restart lại dịch vụ SSH. Sau khi reset dịch vụ SSH thì sẽ tác dụng trên các phiên SSH mới. Nếu máy đang on firewall cần cấu hình thêm mở rule cho port 2222 mới tạo này.
# Kiểm tra lại sẽ thấy port 2222 đang mở
[root@thanhdd ssh]# netstat -ltunp
– Kiểm tra kết nối SSH vào máy LINUX
+ Kết nối vào máy Linux bằng chương trình SSH client ở TCP/2222. Nếu như kết nối bị fail thì lý do là firewall của máy linux đang ngăn cản.
+ Ta thiết lập firewall iptables cho phép kết nối đi vào ở TCP/2222
[root@thanhdd ~]# vi /etc/sysconfig/iptables
# Phải ghi thêm vào ở trên dòng”-A INPUT -j REJECT –reject-with icmp-hostprohibited”:
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2222 -j ACCEPT
# restart iptables: [root@thanhdd ~]# service iptables restart
+ Kết nối vào máy linux một lần nữa và thử đăng nhập với các loại user khác
nhau.
=> user root thành công
=> user test thành công
=> user test1 thất bại
2. Cấu hình dịch vụ SSH nâng cao
– Ta tạo các IP phụ cho card mạng máy linux.
[root@thanhdd ~]# ifconfig ens33
=> hiện tại máy tính đang có địa chỉ IP là 192.168.126.201
[root@thanhdd ~]# ifconfig ens33:1 192.168.126.202/24 up
=> tạo ra ip phụ (subinterface) ens33:1 và gán vào IP 192.168.126.202/24
[root@thanhdd ~]# ifconfig ens33:2 192.168.126.203/24 up
=> tạo ra ip phụ (subinterface) ens33:1 và gán vào IP 192.168.126.203/24
– Cấu hình thêm các tính năng cho dịch vụ SSH
[root@thanhdd ~]# vi /etc/ssh/sshd_config
#Sử dụng SSH Version 2
Protocol 2
#Linux sẽ Listen ở Port 2222 ở trên “tất cả các IP của máy” nếu như không sử dụng biến “ListenAddress”
Port 2222
#Listen ở Port 4422 tren IP 192.168.126.202
ListenAddress 192.168.126.202:4422
#Listen ở Port 5522 tren IP 192.168.126.203
ListenAddress 192.168.126.203:5522
#Nếu ta sử dụng biến “ListenAddress” thì biến “Port” sẽ không còn tác dụng
#Ghi thêm vào
#SSH vào máy với User root thì phải từ IP 192.168.126.205
#SSH vào máy với User test thì phải từ IP 192.168.126.206
AllowUsers root@192.168.126.205 test@192.168.126.206
#Thêm giá trị Group có thể là “Group Primary hoac Group”
AllowGroups root test
#Restart lại dịch vụ SSH
[root@thanhdd ssh]# /etc/init.d/sshd restart
hoặc [root@thanhdd ssh]# systemctl restart sshd
# Kiểm tra
[root@thanhdd ~]# netstat -ltunp | more tcp 0 0 192.168.126.202:4422 0.0.0.0:* LISTEN 22 43/sshd tcp 0 0 192.168.126.203:5522 0.0.0.0:* LISTEN 22 43/sshd
– Kiểm tra kết SSH theo các điều kiện sau:
+ Từ máy có IP 192.168.126.205 chỉ có thể SSH vào máy bằng IP phụ 192.168.126.202 ở port 4422 và bằng user root
+ Từ máy có IP 192.168.126.206 chỉ có thể SSH vào máy bằng IP phụ 192.168.126.203 ở port 5522 và bằng user test